Oslo, 12.03.2002 -
– Stadig mer fortrolige personopplysninger og annen informasjon oppbevares i norske IT-systemer, men sikkerheten holder ikke følge. Det er konklusjonen etter at konsulentene i Symantec Norge har testet IT-sikkerheten på 48 sentrale systemer i norske virksomheter. Virksomhetene som er undersøkt, har kun gått med på at de samlete resultatene offentliggjøres under forutsetning av full anonymitet. Så vel offentlig som privat sektor er dekket uten at det er funnet forskjeller av betydning.
Personvern i fare
– Mange tror de har full kontroll med nettverket sitt, men vår undersøkelse viser det motsatte, sier seniorkonsulent Stein A. J. Møllerhaug i Symantec. Det handler ikke bare om bedriftens egen overlevelsesevne, men stiller også viktige spørsmål omkring personvern, beredskap og nasjonal sikkerhet.
Et antall systemer oppbevarte sensitive personopplysninger som ville vært lett tilgjengelige i tilfelle datainnbrudd. – Både internt og eksternt er det umulig å ivareta personvernet når systemene er satt opp som vi har sett her, sier Møllerhaug. Vi ser det som naturlig at de som arbeider med samfunnsmessig sårbarhet og personvern tar undersøkelsen videre i form av handling.
– Vi har testet viktige elementer innen seks av de syv prinsippene for grunnleggende IT-sikkerhet: tilgjengelighet, kjente identiteter, atskilte brukergrupper, revisjon, objektsikkerhet, kodekvalitet og grensebeskyttelse, og vi har avdekket alvorlige og unødvendige svakheter innen samtlige områder.
Hele 90% av systemene hadde problemer med passord. 85% av alle testede passord lot seg knekke ved hjelp av enkle metoder. En angriper som skaffer seg adgang til lokalene, ville raskt kunne sette sikkerheten ut av spill.
– Vi har sett denne tilstanden over flere år og gjorde denne undersøkelsen for å kunne gå ut med informasjon om hvordan situasjonen virkelig er, sier Møllerhaug. Det som forbauser meg mest, er hvor enkelt det er å gjennomføre et vellykket angrep. Det kreves ikke mye kunnskap for å ta kontroll over datasystemet og komme langt nok til at det er vanskelig for administrator å ta tilbake kontrollen.
Unikt analyseverktøy
Undersøkelsene er utført ved hjelp av Symantecs analyseverktøy Enterprise Security Manager. Systemene som er testet, er basert på Windows NT og Windows 2000, men erfaringsmessig er situasjonen den samme på andre IT-plattformer.
Enterprise Security Manager er markedets mest omfattende analyseverktøy for IT-sikkerhet over flere plattformer. Det kan gjennomføre sikkerhetsrevisjoner på til sammen 35 ulike operativsystem og på databaser, brannmurer og web-servere, blant annet Windows NT, Windows 2000, Novell, VMS og en rekke UNIX-dialekter.
For systemadministrator byr Enterprise Security Manager på en enklere hverdag. Det innebygde administrasjonskonsollet gir nemlig samlet kontroll med alle plattformer på IT-systemet i ett skjermbilde.
– Den beste nytten får kunden om de kjøper produktet og får hjelp av oss eller en av våre partnere til å sette det opp, og deretter kjører analysen løpende, sier Stein Møllerhaug. – Det gir både en dokumentasjon av sikkerhetstilstanden i øyeblikket og utviklingen over tid, noe som er nødvendig for å få fullstendig oversikt over sikkerhetstilstanden.
Om Symantec
Symantec er en av verdens ledende leverandører innenfor sikkerhetsteknologi for Internett og tilbyr et bredt spekter av sikkerhetsløsninger for innhold og nettverk for så vel store og små virksomheter som privatpersoner. Selskapet er en ledende leverandør av virusbeskyttelse, brannmur og virtuelle, private nettverk, sårbarhetskontroll, innbruddsdeteksjon, filtrering av Internett innhold og e-post, fjerndriftsteknologier og sikkerhetstjenester for store virksomheter over hele verden. Symantecs Norton-familie av sikkerhetsprodukter for forbrukere er global markedsleder både når det gjelder salg og bransjeutmerkelser. Symantec har hovedkontor i Cupertino, California og finnes i 38 land verden over. Mer informasjon finnes på www.symantec.com.
