Nedtælling til websikkerhed – nr. 6 eksponering af følsomme oplysninger

Når systemer bliver kompromitteret og følsomme oplysninger slipper ud er konsekvenserne ofte store. Pressen holder sig som regel ikke tilbage (og det skal de heller ikke) og det giver ofte store tab i omsætning, omfattende oprydning og retslige efterspil.

Som jeg skrev tidligere, så kan vi lige så godt antage at vi bliver hacket.

Så er vi forberedt? Kan vi mindske skaden?

  • Er alle følsomme data blevet identificeret?
  • Har vi identificeret alle steder vi gemmer følsomme data? Alt fra backups til logfiler tæller.
  • Hvad med vores eksterne partnere, formår de at leve op til vores sikkerhedskrav?

Angrebseksempel

funktionskontrol
  1. En bruger indtaster sit kreditkort på vores sikre shop.
  2. Der sker en fejl og derfor logger vi en fejl til en fejllog.
  3. Alle i IT har adgang til fejllogs, en medarbejder stjæler alle kreditkort fra loggen og sælger dem til højstbydende. Ifølge informationisbeautiful.net giver et frisk kreditkort op til 32 USD.

Undgå angreb

  1. Kontrollér systemets arkitektur.

    Identificér alle følsomme data og de steder de bliver gemt. Gemmer vi følsomme data som fx. kreditkortnumre i en logfil når der sker fejl bør vi enten fjerne, kryptere eller maskere disse.

  2. Beskyt data med passende mekanismer.

    Gemmes der fx. bruger-kodeord bør disse beskyttes med etablerede sikkerhedsrutiner såsom saltning og hashing. Dermed bliver det tidsmæssigt meget mere omstændigt for en hacker at bruge evt. kompromitterede data til noget.

    Krypteringsnøgler bør kunne skiftes let så det kan gøres løbende.

  3. Analysér systemets kode for typiske fejl.

    Her kan fx. benyttes statisk kodeanalyse der kan afsløre risici for buffer overflows, sql injections osv.

  4. Benyt transportsikkerhed.

    Også kaldet Transport Layer Security (TLS) – kryptering af trafikken imellem server og klient. Anbefalingen er (fra bl.a. Google) at vi begynder at benytte HTTPS over alt. Google er endda begyndt at benytte et websites evne til at beskytte sig som en parameter i deres pagerank algoritme.

    Ligeledes er der et initiativ fra bl.a. Mozilla og Cisco på vej der skal gøre det lettere og billigere (gratis) for os alle at få HTTPS konfigureret korrekt på vores webserver kaldet Let’s Encrypt. Se mere om initiativet i nedenstående video.

    [youtube http://www.youtube.com/watch?v=Gas_sSB-5SU&w=500&h=180]


En systemkompromittering behøver ikke at være kostbar, hvis vi ellers følger industriens standarder for håndtering af data. Jeg håber stadig at en dag kan blive enige om et åbent, fælles sæt af sikkerhedspolitikker så vore brugere ved hvad der sker med de data de afleverer. Også efterhånden som hvert website benytter sig af flere og flere underleverandører stiger behovet for at kunne sammenligne sikkerhed på tværs. Med eller uden fælles politik, sikkerhed er noget vi bliver nød til at forholde os til.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *