IT-SIKKERHET Kjemper mot tidstyvene
(3.12.09, 07:20) Tror du at du får mye spam på PC-en? Tro om igjen: Hver dag mottar NTNU 1,4 millioner e-poster gjennom universitetets systemer. 1,2 millioner av dette blir stoppet. IT-folkene Tor Holmen og Stig Henning Verpe (bildet) jobber kontinuerlig med å holde innboksen din håndterlig.
FAKTA | SPAM: (eng.) Spiced ham, kortform spam: Opprinnelig navn på et matvareprodukt av laber kvalitet og beskjeden kjøttprosent. Brukt i dag på all form for uønsket elektronisk reklame | Av de 200.000 e-poster som faktisk kommer gjennom det sentrale spamfilteret og inn i din innboks, er ytterligere 40.000 meldinger med reklame og lureri.
Med andre ord er om lag ti prosent av epostrafikken på NTNU reell kommunikasjon.
Spam koster
- Spam er en tidstyv, det er ingen tvil om det, sier leder av IT-avdelingen ved universitetet, Tor Holmen.
Også søppel må håndteres. IT-avdelingen regner med at 12.000 arbeidstimer går tapt hvert år på opprydning i innboksen. Anslagsvis ti prosent av ansatte i IT-avdelingen jobber med informasjonssikkerhet, deriblant spam. Om lag ti prosent av IT-avdelingens budsjett går til IT-sikkerhet.
|
”Har du gitt fra deg passordet ditt?” : Denne høsten har alle ansatte fått tilbud om nettbaserte lynkurs i datasikkerhet. Samtidig som leksjonen om ikke å gi fra seg passordet gikk ut, fikk noen hundre ansatte en phishing-mail om å gjøre nettopp det. (f.v.) IT-sjef Tor Holmen og leder for IT-sikkerheten ved NTNU, Stig Henning Verpe. Foto: Tor H. Monsen. |
Norsk senter for informasjonssikkerhet (Norsis) er regjeringens eget organ for ”trygg trafikk” på nettet. Seniorrådgiver Christian Meyers inntrykk er at spamprosenten i virkesomheter verden over er langt over 90. Problemet er økende, snarere enn synkende.
- Spam er i ferd med å kvele Internett, mener han.
Det er ingen porto på e-post. Om noen sender ut en million meldinger, og en responderer, vil ”markedsføringen” ha lønnet seg.
Ingen løsning er i sikte for dagens Internett. Enkelte store bedrifter lufter tanken om å etablere et alternativ til et åpent og gratis Internett, ifølge sikkerhetsrådgiveren.
En mulig løsning er å finansiere et lukket, parallelt nett med en form for abonnement. Med tanke på hvor mye penger bedrifter bruker på ”søppeltømming” og ”virusbekjempelse”, kan et betalingsalternativ til Internett lønne seg.
"Return to sender"
Kjære NTNU kontobrukere,
NTNUs web-oppgradering er for tiden går on. This Melding er svært Viktig. Vi er svært opptatt med å stoppe spredning av spam.
Sist uke slapp en såkalt phishing-mail gjennom filteret. Noen hundre ansatte mottok den, ifølge IT-sikkerhetssjef, Stig Henning Verpe. Fiskingen etter passord og brukernavn var amatørmessig utformet – kun tekst, på maskinelt oversatt norsk, og med en avsenderadresse de fleste mottakere skjønte ikke hadde noen med NTNU å gjøre.
Universitetet er et ettertraktet mål for phishing. Klarer noen å dra ut et eller to passord, kan de få tilgang til stor datakapasitet med mulighet for å sende en masse søppel ut i cyberspace.
Spyr en avsender ut en million meldinger i løpet av kort tid, blir det oppdaget rimelig fort av kommersielle selskaper som spesialiserer seg på IT-sikkerhet. Det får imidlertid konsekvenser for NTNU: Selskapene svartelister avsenderen, og kundene av selskapene stenger all e-post fra ntnu.no. IT-avdelingen får da en jobb med å bli fjernet fra verdensomspennende svartelisting.
Bekreft passord
We forsikre dere kvalitet på slutten av dette vedlikeholdet.
Full navn:
Brukernavn:
Passord:
Bekreft passord:
Denne gangen gikk ingen på limpinnen.
Om noen hadde gjort det, ville det blitt fanget opp av IT-avdelingens overvåkning. Så snart et phishing-forsøk blir oppdaget, stanses alle svar på e-posten automatisk. Slipper noen igjennom før tjuveriet blir oppdaget, kontakter IT-avdelingen avsenderne.
Et spørsmål om filter
- Den viktigste IT-sikkerheten sitter mellom ørene til hver bruker, fremholder Holmen.
Driften til en IT-intensiv virksomhet er imidlertid helt og holdent avhengig av skjoldet som stanser de fleste forsøk på å oversvømme innboksen – det såkalte spamfilteret.
- Uten dette ville kommunikasjonsformen e-post ikke fungere, sier Verpe.
NTNU har to dedikerte årsverk til IT-sikkerhet. Filteret oppdateres og forbedres fortløpende, med en kontinuerlig vurdering av hvor finmasket filteret bør være.
Har noen sendt deg en viktig e-post som aldri kom fram? Det er ikke utenkelig.
- Er filteret for stramt, vil vi få kritikk for at e-post ikke når mottakeren. Er det for løst, får vi kjeft for at folk må sitte og rydde i innboksen sin, sier Verpe.
Ny strategi – Strammere tøyler?
NTNU er som en småby, med sine 4500 ansatte og over 20.000 studenter. Trafikk kommer fra campus, hjemmefra eller fra en av studentbyene. Med bare én trojaner kan en inntrenger få tilgang til nesten hele byen.
- Den relativt åpne strukturen er en konsekvens av akademisk åpenhet, men her vil ny IT-sikkerhetspolicy stramme inn praksisen, slik at strukturen baseres på behov. Vi ønsker ikke å virke som en brems på ansattes kreativitet, sier Holmen.
Det er likevel stor forskjell på sikkerhetsregimene mellom store, private bedrifter og universitetene. Holmen har fortid fra Telenor, mens Verpe kom til NTNU fra Storebrand for to år siden.
De er vant til krav om krypterte bærbare PC-er, begrensninger på hvilke data ansatte kan ta med seg ut av huset og jobbe med hjemme, begrensninger på hvilken programvare man kan installere, streng tilgangskontroll for ulike systemer, og strenge skiller mellom jobb- og privatdata.
Ny IT-policy kan begrense friheten
- Retningslinjer for hvor fritt ansatte kan behandle data, går rett inn i diskusjonen om ny IT-sikkerhetspolicy ved NTNU, sier Holmen.
Sensitive opplysninger i forskningsøyemed, er underlagt egne regler, som er rimelig innarbeidet ved universitetene. (Selv om Senter for elektronisk pasientjournal nylig fikk trøbbel med Datatilsynet.) For andre mulige konfidensielle data oppfordrer sikkerhetssjef Verpe ansatte om å benytte krypterte bærbare maskiner. Om hva som er konfidensielle data, brukes ”føre var”-prinsippet.
Forslaget skal i disse dager ut på høring ved fakultetene.
- Det er imidlertid ikke aktuelt for NTNU å implementere en streng versjon av private bedrifters IT-policy ved vårt universitet, kommenterer IT-sjef Holmen.
Av:Tor H. Monsen |