Gå til innhold

NSM snek seg inn i offentlig bygg og gjemte seg på do til alle var gått


Anbefalte innlegg

Videoannonse
Annonse
Gjest Slettet-Pqy3rC

ni av ti ansatte i en offentlig virksomhet til å klikke på lenken, og fem av ti til å aktivere skadevaren. Tre av ti oppga påloggingsinformasjonen sin.

Regn alltid samtlige brukere som løse kanoner på dekk, konfigurer sikkerhet deretter. Dersom det eksisterer kjernebrukere med utvidet rettighetsnivå må disse kurses slik at de er fullstendig klar over det ansvaret som medfølger.
Lenke til kommentar

Problemet i større bedrifter med veldig mange PC-brukere er at 90% syns sånne sikkerhetskurs er bare teit og dilldall. Og gjør innsats etter det. "Mas og blir trøkka ned over oss ovenfra". Også går jeg rundt og ser brukernavn og passord hengende på gule lapper på tavla på kontoret deres dagen etter. Jeg var på et sånt kurs for ikke lenge siden, og så folk sitte og himle med øynene til hverandre som om "herreguuud så boring dette gjelder jo ikke meg".

 

"Jeg er jo bare en liten operatør ingen hacker vel meg". De må gjerne kjøre kursing, men folk følger jo knapt med.

 

For litt over ett år siden var det en person i lønnsavdelingen i Tyskland som GA BORT 300k Euro til en svindler fordi svindleren utga seg for å være konsernsjefen som trengte hjelp med en personlig business-transaksjon (via hotmail-konto). De snakket tilogmed med hverandre på telefon flere ganger. Han reagerte ikke før ETTER han hadde overført pengene, da virket det visst litt rart likevel.

Banken rakk heldigvis å stoppe overføringen fordi personen sa fra til nærmeste leder like etterpå.

Endret av Bytex
  • Liker 9
Lenke til kommentar
Gjest Slettet-Pqy3rC

Problemet i større bedrifter med veldig mange PC-brukere er at 90% syns sånne sikkerhetskurs er bare teit og dilldall. ...

Yep. Når det gjelder slike "generelle kurs for alle" er det tilnærmet håpløst. Så for flertallet brukere bør sikkerhet i all hovedsak være teknisk styrt.

 

For "kjernebrukere" er det generelt noe enklere for kursleder å påkalle oppmerksomhet, siden de gjerne er vant til mer ansvar fra før.

Lenke til kommentar
Gjest Slettet-t8fn5F

Derfor har man en besøksprotokoll liggende i velkomstskranken som alle skal signere, før de får et besøkskilt på brystet.

 

De fast ansatte har selvsagt egne adgangskort.

Lenke til kommentar

Det har heldigvis vi. Er ingen som kommer forbi resepsjonen uten besøksskilt. Men de kan jo fortsatt gjemme seg på dass ellernoe hvis ingen følger med de. Men regel hos oss er at besøkende skal alltid være med en ledsager som er fast ansatt eller leder. Skal ikke bare være der for seg selv. Får noen beskjed om å føre denne personen inn i teknisk avdeling vil "noen" stusse hvis han bare forsvant plutselig.

Endret av Bytex
  • Liker 1
Lenke til kommentar

La meg fortelle dagens episode.

I går kom en fyr og kjøpte en brukt laptop for 1000,-

I dag kom han tilbake, han ville ikke ha PC’n likevel. Mmkay

Tar den ut av posen og den bader i vann.

Det er tilogmed is-slaps i usb-portene på en side. Jeg sier; «Nix, den tar vi ikke tilbake igjen. -Og absolutt ikke i bytte mot den andre du peker på.» -Peker på isen og vannet på PC og disken.

Så begynner han å ramse opp noe på høylydt afrikansk om 14 dagers returrett osv.

-Jeg peker på døra «Ut».

Lenke til kommentar
Gjest Slettet-376f9

NSM på do er en klassiker, fordi vedkommende som går inn først, ikke sjekker de(n) som kommer etter. Er du frekk nok, kan du komme langt på den måten.

Lenke til kommentar

"Vi oppfordrer alle til å anmelde. - Abelia" Lurer på hvor mange som anmeldte nsm på doen,,, håper det var noen,, håper di ble misshandlet på wc'en som alle andre kriminelle ,, samme om di har papirer på at alt er "ok" ... :):):)

 

De ble jo ikke oppdaget, smart ass.

  • Liker 1
Lenke til kommentar

De som kommer inn via resepsjonen er jo ikke problemet.

Det er de som kommer via personalinngangen, hvor døra kanskje er oppe 1/2 minutt etter at den som brukte kortet sitt åpnet. Sluser (når jeg jobbet på EVRY hadde de "luftsluse" med plass til kun en person) må til siden de ansatte ikke venter til døra lukker seg når de går inn (eller ikke bryr seg om at en person går inn sammen med dem)

  • Liker 3
Lenke til kommentar

 

ni av ti ansatte i en offentlig virksomhet til å klikke på lenken, og fem av ti til å aktivere skadevaren. Tre av ti oppga påloggingsinformasjonen sin.

Regn alltid samtlige brukere som løse kanoner på dekk, konfigurer sikkerhet deretter. Dersom det eksisterer kjernebrukere med utvidet rettighetsnivå må disse kurses slik at de er fullstendig klar over det ansvaret som medfølger.

Sett fra IT-avdelingens synspunkt, er selvsagt alle brukerne sauer som må passes på. De kan ikke ha administrator-rettigheter, brannvegger må ikke kunne skrus av, brukerne må ikke kunne legge inn egne programmer og drivere, og datamaskinene må omstartes automatisk jevnt og trutt for å oppdatere operativsystemet.

 

En del av disse brukerne er gjerne ingeniører som bruker datamaskinen som verktøy som kobles opp mot annet teknisk utstyr. Det kan være roboter, diagnoseutstyr, loggere, nye kretskort man utvikler og så videre. For slike personer er det faktisk ikke mulig å jobbe med brannvegger, plutselige omstarter, drivere som ikke lar seg installere, og alle andre begrensninger IT-avdelingen synes er nødvendig.

 

Det er en stor utfordring å finne et passe kompromiss, der sikkerheten ivaretas, og datamaskinen fremdeles kan fungere som et verktøy.

  • Liker 4
Lenke til kommentar

Nettopp. Dessverre sitter det haugevis av marginalt kompetente IT-småkonger rundt omkring som absolutt ikke skal kompromittere lekegrinda de har laget for absolutt minste felles multiplum av datakyndighet blant de ansatte. Og enten er du i IT-avdelingen eller så sitter du inne i grinda. Om du så er resepsjonist eller programvareutvikler.

 

Enn så frustrerende det er å måtte forholde seg til den gemene hop av brukere ("Nei, jeg husker ikke hva som stod i feilmeldingen. Jeg har ikke greie på slikt likevel.") er det faktisk marginalt verre å måtte forklare at ja, for å jobbe som f.eks. frontendutvikler er det definitivt en fordel å ha Oracle SQL Developer installert på arbeidsstasjonen til en såkalt fagmann som burde skjønne såpass i stedet for å remje om at "men det er jo ikke i listen over godkjente programmer! Hvorfor trenger dere dette når ingen andre avdelinger gjør det?"

  • Liker 2
Lenke til kommentar

Dette forteller det som vi som faktisk har jobbet litt på området alltid har kjent til! Sikre IT-systemer har ingen hensikt om ikke resten er like sikkert, dvs adgangskontroll og fysisk sikring. Derfor må sikkerhet håndteres overordna, og ikke defineres som en IT-sak. Noen grelle eksempler - egenopplevd.

 

1. Switch tilgjengelig i et åpent teknisk skap i hver etasje. Plasseringen av skapet gjorde det svært enkelt å få tilgang uten at noen såg det.

2. Inngående nettverkskabel og telefonlinjer tilgjengelig i skap som enkelt kunne brytes opp, med plassering hvor man fint kunne arbeide uforstyrra et par timer.

3. Skrivere - uten passordsikring - plassert i en korridor hvor "alle" gikk forbi (ansatte, brukere, gjester). Organisasjonen, offentlig, arbeidet med svært sensitive personopplysninger knyttet til helse.

 

I de to første tilfellene var IKT-avdelingen virkelig krye over hvor gode de var på sikkerhet.

Lenke til kommentar
Gjest Slettet-Pqy3rC

Dette forteller det som vi som faktisk har jobbet litt på området alltid har kjent til! Sikre IT-systemer har ingen hensikt om ikke resten er like sikkert, dvs adgangskontroll og fysisk sikring.

Svakeste ledd i kjeden. Noe som kan være et problem i større selskaper er at fysisk og digital sikring gjerne ivaretas av ulike avdelinger. Tankegang som "Den biten er ikke vårt ansvar" kan bli en utfordring.

 

Jeg har sett godt fysisk sikrede kontorlokaler, mens i et nettverkstilknyttet (router-til-router IPSec) produksjonslokale (fabrikk) var det ingen fysisk sikring overhodet.

 

Dette var sågar hos selskap som hadde problemer med at konkurrent(er) på mystisk vis visste mer enn de burde.

Endret av Slettet-Pqy3rC
Lenke til kommentar
Gjest Slettet-t8fn5F

La meg fortelle dagens episode.

I går kom en fyr og kjøpte en brukt laptop for 1000,-

I dag kom han tilbake, han ville ikke ha PC’n likevel. Mmkay

Tar den ut av posen og den bader i vann.

Det er tilogmed is-slaps i usb-portene på en side. Jeg sier; «Nix, den tar vi ikke tilbake igjen. -Og absolutt ikke i bytte mot den andre du peker på.» -Peker på isen og vannet på PC og disken.

Så begynner han å ramse opp noe på høylydt afrikansk om 14 dagers returrett osv.

-Jeg peker på døra «Ut».

Hørt om noe som heter skivebom?

Ditt innlegg er ikke skivebom, det er bærtur.

Skamvett har du garantert ikke hørt om heller.

  • Liker 2
Lenke til kommentar

Derfor har man en besøksprotokoll liggende i velkomstskranken som alle skal signere, før de får et besøkskilt på brystet.

 

De fast ansatte har selvsagt egne adgangskort.

 

Er vel nok av ganger man kommer på jobb på morgenen og det er 3-4 stykker som skal inn gjennom samme døren samtidig. Første man trykker inn kode og går inn, resten følger etter.

 

Hvor mange tror du det er som stopper opp og tvinger de bak seg til å også bruke kort og kode for å komme seg inn ?

 

Velkomst-skranken? De fleste bruker den døren som er nærmest der bilen står parkert, enten det er nede i parkeringshallen eller bakdøra ved kantinen.

 

De fast ansatte går jo ikke gjennom velkomstskranken.

 

Har sett nok av tilfeller hvor noen har glemt adgangskortet på morgenen før resepsjonen åpner og der andre er snille (dumsnille?) og slipper dem inn så de slipper stå ute og fryse.

 

Det er litt ønsketenking at alle skal sluses inn gjennom en velkomstskranke hver morgen. Ihvertfall når den ikke er bemannet før kl 8 og arbeidsdagen for fast ansatte start 7.

  • Liker 2
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...