|
|
 |
 |
|
 |
September 2005 - fra StayInTouch™ - FortConsults elektroniske sikkerhedsnyheder
Af Ulf Munkedal, adm. direktør og grundlægger af FortConsult
Web-applikationer er blevet hackernes foretrukne mål. Amerikanske analytikere som fx Gartner Group estimerer eksempelvis, at 75 procent af alle hacker-angreb rettes mod web-applikationer i dag. Man kan stille spørgsmålstegn ved om dette præcise tal også gælder for Danmark, men jeg er overbevist om, at det ikke er helt ved siden af.
Mange større danske virksomheder arbejder seriøst med at sikre deres web-applikationer i dag, og det er vigtigt, at vi også snart får sat web-applikationssikkerhed på dagsordenen i de mindre og mellemstore virksomheder. Selv for de fleste SMV’er er der ganske enkelt for stor risiko for at en orm eller hacker slipper ind i web-applikationerne, hvis man tager for afslappet på sikkerheden. Og det kan have alvorlige konsekvenser i dag, fordi web-applikationerne i mange tilfælde er forretningskritiske og koblet sammen med interne systemer, hvor der ligger fortrolige data. |
| |
| Alvorlige konsekvenser |
Rigtigt alvorligt bliver det i de tilfælde, hvor man benytter såkaldte web services, det vil sige giver kunder og samarbejdspartnere mulighed for at handle, finde frem til status på varer eller sende oplysninger via ens website. Her kan en ringe sikkerhed medvirke til at skade forholdene til kunderne og forringe virksomhedens konkurrencefordele, hvis en orm eller hacker får mulighed for at slippe ind og stjæle, slette eller ændre data. Tænk blot på, hvad der ville ske, hvis en ordre blev slettet, kundernes kreditkort-data blev kopieret, eller en hacker fik adgang til virksomhedens interne adressebog.
Jeg mener naturligvis ikke, at virksomheder skal undgå at tilbyde web services. Absolut ikke. Det er en ny mulighed på nettet for at skabe mere omsætning og øge kundetilfredsheden - og på længere sigt give konkurrenterne baghjul. Men brug af disse elektroniske serviceydelser uden at sørge for en tilstrækkelig sikkerhed kan kaste en virksomhed ud i uoverskuelige problemer. |
| |
| To vigtige indsatsområder |
De vigtigste sikkerhedsmæssige forholdsregler, man som SMV’er bør tage for at sikre sine web-applikationer, kan begrænses til to områder. Først og fremmest skal man sørge for, at den server, som websitet ligger på, er beskyttet af en firewall og sørge for at få testet, at serveren er tilstrækkelig sikker. Har man web-serveren stående hos et hosting-firma, er det en god ide at bede om at se dokumentation for sikkerheden.
Herudover bør man sørge for, at selve web-applikationen er sikker, og det gøres ved at stille krav til dem, der udvikler applikationen om at indbygge sikkerhed i kodningen af programmerne. Igen er det vigtigt at bede om dokumentation for sikkerheden fx ved at få resultatet af en afsluttende sikkerhedstest at se, inden applikationen går i luften. Bed specifikt om dokumentation for, at der er udviklet et program, der sørger for at kun de tilladte data slipper igennem de steder, hvor brugerne selv kan indtaste oplysninger.
Det er bestemt ikke en uoverkommelig opgave at sørge for, at sikkerheden er i orden i web-applikationerne, men det kræver, at man stiller krav til de personer, der udvikler dem. Og er man i tvivl om, hvordan man gør det, kan man altid spørge en uvildig sikkerhedsrådgiver til råds. |
|
