Blogg
Hvorfor teknisk hygiene er ditt beste sikkerhetstiltak
Sikkerhetsmåneden minner oss om at god IT-sikkerhet handler like mye om mennesker, rutiner og teknisk hygiene som om brannmurer og antivirus. I denne bloggen tar vi for oss hvordan angrep utnytter svak tilgangskontroll og teknisk gjeld. Du må derfor starte med å rydde opp i det grunnleggende før moderne verktøy kan gi reell effekt.
Det er oktober, og det betyr både kaldere vær og Sikkerhetsmåned. For å beskytte oss mot frostbitt og forkjølelse finner vi frem vinterjakke og lue. Enkelt og velkjent. På samme måte bør Sikkerhetsmåneden minne oss om at sikkerhet ikke bare handler om brannmurer og antivirus. Det handler også om mennesker, rutiner og teknisk hygiene i et stadig mer komplekst trusselbilde.
Verizon Data Breach Investigation Report 2025 viser at misbruk av stjålet tilgang fortsatt er en av de mest effektive metodene for å bryte seg inn i IT-systemer.
Men hva betyr egentlig «tilgang»? Vi kan dele det inn i tre hovedkategorier:
Tilganger for mennesker
- Brukernavn og passord
- PIN-koder
- Biometri (fingeravtrykk, ansiktsgjenkjenning, øyeleser)
- Sikkerhetsspørsmål som «Hvilket merke var din første bil?»
Tilganger for systemer og applikasjoner
- API-nøkler
- SSH-nøkler
- Sertifikater
Multifaktortilgang (MFA)
- Engangspassord (OTP)
- OAuth-tokens
- Push-meldinger
Alle disse representerer en mulig angrepsflate. Når informasjon kommer på avveie, åpnes døra for en rekke kjente angrep.
Vanlige angrep og formål med angrepet:
Angrep på webapplikasjoner – der formålet ofte er å hente ut sensitiv eller forretningskritisk data.
Tjenestenekt (Denial of Service) – hindre brukere i å få tilgang til tjenester.
Systeminnbrudd – for å installere skadelig programvare, løsepengevirus eller andre skader.
De fleste virksomheter har rutiner for tilgangsstyring, men mange mangler ofte oversikt. Typiske svakheter som går igjen:
- Gjenbruk eller svake passord
- Manglende eller dårlig implementert MFA
- Hardkodede nøkler i kodebibliotek og konfigurasjonsfiler
- Mangelfull logging og varsling
- For mange rettigheter (mangler prinsippet om minste privilegium)
Eksempel 1: lekket API-nøkkel
Se for deg at en ansatt ved et uhell legger en API-nøkkel i et offentlig kodebibliotek. Han/hun sletter den igjen etter to minutter og tenker nok at det ikke er nødvendig å si ifra om dette. Problemet er at skaden allerede har skjedd. Internett er fullt av webcrawlere som kontinuerlig skanner offentlige kodebiblioteker etter lekkede nøkler. Selv etter to minutter kan nøkkelen være fanget opp og lagret, og angriperen har fått en vei inn i infrastrukturen.
Eksempel 2: ARP-spoofing i praksis
Et annet eksempel er et såkalt Adversary-in-the-Middle-angrep, for eksempel gjennom ARP-spoofing. Her manipulerer angriperen det lokale nettverket slik at trafikk som egentlig skulle gått mellom brukere og en gateway, i stedet sendes via angriperens maskin. Dersom organisasjonen fortsatt bruker ukrypterte protokoller, kan angriperen lese påloggingsinformasjon i klartekst og i verste fall få tilgang til interne systemer.
Dette er ikke nye triks. Teknikker som ARP-spoofing har eksistert siden 90-tallet og utføres fortsatt i miljøer med teknisk gjeld og dårlig tilgangskontroll.
Hva er teknisk gjeld?
Teknisk gjeld handler om alle de gamle løsningene, snarveiene og utdaterte systemene som blir stående igjen fordi det føles for tungt, dyrt eller risikabelt å rydde opp. Dette kan være:
Nettverk
- Manglende segmentering
- Ukrypterte protokoller (Telnet, FTP, SNMPv1)
- Ufullstendige brannmurregler
Server- og applikasjonsmiljø
- Legacy-applikasjoner som ikke støtter MFA eller moderne autentisering
- Operativsystemer uten oppdateringer
- Manglende patching og vedlikehold
Infrastruktur og maskinvare
- Utdatert eller ikke-lisensiert utstyr
- Manglende dokumentasjon og eierskap
- Shadow IT (systemer ingen egentlig eier eller overvåker)
I slike miljøer får angripere langt større spillerom. Ukrypterte protokoller, lagrede passord i klartekst og svak MFA-implementasjon gjør det enkelt å bevege seg lateralt i infrastrukturen.
Conscia Blueprints – Security
Tilbake til det grunnleggende
Bedrifter tar i bruk stadig nye verktøy og AI-løsninger for å beskytte seg. Men det bør ikke bare være kunstig intelligens som holder CISOer våkne om natten, det er kombinasjonen av teknisk gjeld og svak tilgangskontroll.
At ukrypterte protokoller fortsatt brukes til administrasjon av kritiske systemer i 2025, er mer vanlig enn du skulle tro. Det gir angripere åpne dører gjennom angrepsteknikker som har eksistert i flere tiår.
Derfor er min oppfordring i sikkerhetsmåneden enkel:
- Rydd opp i teknisk gjeld
- Fjern ukrypterte protokoller
- Håndter nøkler og hemmeligheter på en forsvarlig måte
- Innfør gode logging- og varslingsrutiner
- Kartlegg og reduser tilgangsnivå (minste privileger)
Først når grunnmuren er på plass, kan moderne teknologi virkelig gi effekt.
Sikkerhetsmåneden er en perfekt anledning til å ta en ærlig gjennomgang av egen teknisk hygiene. Start med NSMs grunnprinsipper eller CIS Benchmarks, og ta gjerne kontakt med oss i Conscia om dere ønsker hjelp til kartlegging eller gjennomgang.
Guide for implementering av prioriterte sikkerhetskontroller – CIS Controls
Om forfatteren
Marita Furnes
Senior Consultant
Marita Furnes jobber som seniorkonsulent i Conscia Norge AS, der hun har solid erfaring innen design, implementering og drift av sikkerhets- og nettverksløsninger. Hun brenner for å bygge stabile og sikre infrastrukturer som støtter virksomheters behov, og kombinerer teknisk kompetanse med et sterkt fokus på kvalitet og samarbeid
Relatert
