Autoleaks – ditt neste mareritt?

Hva skal vi med Wikileaks når vi har 'autoleaks'? De fleste har hørt historien – om 885 millioner dokumenter propp fulle av personopplysninger, åpne på nett fra ett og samme selskap. Kanskje tidenes lekkasje – men mest av alt en veritabel tankevekker: 'Autoleaks' finnes i titusentall – er noen av dem våre?

Ikke innbrudd, ikke utbrudd, ikke bugs, ikke zero day vulnerability eller noen av de andre vanlige årsakene til sikkerhetskatastrofer. Bare uaktsomhet – rett og slett sløvhet. Ikke bare glemte 'noen' å lukke og låse døra, de glemte å installere den. Og om mulig enda verre - de la ikke merke til at den manglet før en besøkende kommenterte forholdet - etter 15 år.

Det er lett å harselere med First American Financials' nylig avslørte gigant-tabbe. Tallene får alt annet vi har sett de siste 2 årene til å blekne: 885 millioner pantedokumenter med alle tenkelige personlige detaljer åpne for hvem som helst. Mange av dem i årevis, muliggjort av web-alderens enkelhet: "Vi lager en URL til dokumentet så kan kunden se selv." Hva er mer naturlig (lettvint) enn å bruke filnavn som siste del av lenken? Det ingen tenkte over da mekanismen ble laget for 15+ år siden, var at filnavn er saksnummer, og saksnummere er forutsigbare. Vet vi én, vet vi den neste, den forrige og så videre.

Så er det lett å kaste seg på bølgen og ramse opp alt som er galt og alt som burde vært gjort. Det har mange velkvalifiserte kilder tatt seg av de siste ukene (se referanser nedenfor). Vårt poeng ligner mer på selvransakelse: Har vi selv tilsvarende svin på skogen? Det er lett å svare 'nei' og gå videre. Det gjorde sikkerhets-direktøren i First American også, og hevet  mange millioner USD i årslønn. I mange år. I god tro.

I dette segmentet er 'god tro' det samme som 'dårlig jobb'.
Men i dette segmentet er god tro det samme som dårlig jobb, kvalifiserende til avskjedigelse. Det er jobben til sikkerhetsledere og sikkerhetsansvarlige å vite. Å teste, kontrollere, utvikle, utfordre. Spesielt det siste. Utfordre systemer, mekanismer, tiltak – og like viktig - utfordre organisasjonen (se Hvorfor vente på katastrofen når du kan lage den selv?).

Hvilket er vårt hovedpoeng: Latskap er all sikkerhets største utfordring – ikke minst organisasjonell latskap. Og 'det virker jo' er den mest alminnelige unnskyldningen for å gjøre ingen ting. Like utbredt i 2019 som i 2010 og 2000, men mye farligere i dag. En av de sterkeste bremsene mot nødvendig utvikling og viktigste årsak til autoleaks. Faktum er at 'det virker jo' alltid må trigge en alarm. Det indikerer gammelt, glemt og risikabelt!

For sikkerhetsledere er First American-skandalen et incentiv til å ta en ekstra kontrollrunde der alle stener snues enda en gang, og de gamle snues flere ganger. Det siste vi trenger er en autoleak som noen andre oppdager før oss. Da holder det ikke å sjekke brannmur-regler, IDS-oppsett og Apache rewrites.

Om noen virkelig har tappet dokumenter fra First American får vi kanskje aldri vite. Det vi vet med sikkerhet er at det finnes tusenvis av lignende tilfeller – 'åpne systemer' som sannsynligvis lekker kontinuerlig. Jobben er å garantere at det ikke gjelder oss. Cyberforsvar er krevende. Autoleaks er skjødesløshet.

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.