Heime vs Kontoret!

«Hei – velkomen til Magnar sitt heimekontor, har du ein avtale?»

«Kan eg by deg ein kopp kaffi eller eit glas vatn medan du ventar?»

«Beklagar, Magnar er litt forsinka i eit møte, men det er snart ferdig. Du kan sette deg ned å vente viss du vil?»

 

Virka det kjent? Kanskje ikkje, det er tross alt dei færraste av oss som har eigen resepsjon heime. Det nærmaste me kjem er om vår betre halvdel, borna våre eller om nokon i kollektivet opnar døra. Med det er vel svært lite sannsynleg, ei heller særleg fornuftig, at du ber dei tiltre i ein slik rolle. Reglar rundt korleis me skal handtere gjester i vår eigen heim, kjente som ukjente, er definerte igjennom tid og kultur. Nokon har freista å skrive dei ned, definert til kvart einskild høve ein skulle treffe, og kallar det etikette – der nokon gjerne er flinkare enn andre. Sheldon Cooper i Big Bang Theory er eit godt eksempel på dette som støtt og stadig tilbyr gjester «a cup warm beverage».

 

Reglar for tilkomst til våre lokale:
Så lenge resepsjonen ikkje er bemanna, skal døra vera låst og ein må nytte tilkomstkort i kombinasjon med pinkode for å kome inn. I tidsrommet 07-17 er resepsjonen bemanna, og ein må då identifisere seg her.
Tilkomstskortet skal til ein kvar tid bærast synleg, enten i ei snor rundt halsen eller alternativt i ein korthaldar i beltet.

Kva gjeld rutinar rundt låsing av dører og lukking av vindauge før ein legg seg er nettopp dette, rutinar og vaner. Dei er ikkje definert på same måte som på kontoret, og vert ikkje kontrollert like ofte. Nokon gonger har ein gløymt både dør og vindauge – og ein prisar seg lykkeleg morgonen etter at ingen uvedkomande oppdaga det igjennom natta. For ingenting var vekk og det var ikkje spor etter innbrot…

Men kva om denne uvedkommande ikkje var ute etter ein snøgg vinst iform av bilnøkkel, Mac, sølvbestikk osv – men heller såg etter ein vinst over eit lengre tidsperspektiv. Kanskje dette var huset til forsvarspersonell, personar i leiande stillingar eller andre samfunns-toppar som sit på sensitiv informasjon – enten i form av telefonsamtalar, samtaler med betre halvdel, heimekontor (!!) eller til og med kanskje oppbevaring av viktige dokument?

 

Det ER ein stor skilnad mellom kontoret og heimekontoret.
Ikkje berre fordi ein på kontoret har fleire kollegaer rundt seg og at det er andre sosiale spelereglar der – men sikkerheita er óg annleis. Stort sett strengare, meir definert og konkret, nedskrive, vert øvde på og halde ved like (og kontrollert) av for eksempel ein resepsjon og vektar. Kor mange dører og låser må DU gå igjennom frå gata til du sit ved skrivebordet ditt? Kor mange, direkte eller indirekte, har kontrollert deg på vegen og enten verifisert at du har tilgang eller kjenner deg og veit at du har tilgang?

Altså – eg meina ikkje at me skal tilsetje eigen resepsjon heime, ei heller at ein vektar skal kome og kontrollere at alle dørar og vindauge er låst ved leggetid (sjølv om nokon av oss hadde trengt det somme tider), for det virka litt dumt?


Men korleis er det på IT-sida då?
Jamfør eit normalt samfunn, er dei fleste arbeidstakarar på kontoret. Det er unntaket at ein jobbar heimanfrå. Dermed er og all sikkerheitsarkitektur designa rundt dette prinsippet – flest på kontoret og dei heima er unntaket.

På kontoret er det ein rekke tiltak på plass; ein avansert brannmur som står i front og ryddar unna så mykje grums den klarar – gjerne med mange ulike modular for å ta mest mogleg, nettverket er kontrollert og me veit kven som er tilkopla, SIEM loggar alt som skjer på essensielle eller kritiske system – som igjen er overvaka av ein SOC i tilfelle noko unormalt skulle inntreffe. Nokre har kanskje til og med teknologi på plass som kontrollera maskiner som vert kopla til, i tilfelle dei skulle ha råka borti noko smitte medan dei var utanfor dei 4 trygge veggane på kontoret.

Og ikkje minst – MASSE kollegaer og IT-avdelinga er innanfor kort rekkevidde dersom det er ein e-post ein er usikker på, eller om PCen med eit skulle starte å oppføre seg merkeleg.
Og om ein er uheldig å trykker på feil lenkje, så vil den avanserte brannmuren stogge kommunikasjonen – sidan antispam’en ikkje fange den lenkja på veg inn.

Heime då? Korleis ser det ut på eit typisk heimekontor?
Ofte med 2 tilsette, dog i forskjellige selskap sidan dei 2 hjerters utkåra ikkje jobbar på same plass.

Mellom PCen og det store skumle internett står det mest sannsynleg 1 eller 2 einingar, enten eit modem som og er innebygd trådlaus router eller eit modem og ein trådlaus router kvar for seg. Det er lite sannsynleg at nokon av desse har avansert sikkerheit, og om den er der er den enten pr. standard de-aktivert eller den har blitt slått av i etterkant fordi eit eller anna vart stogga. Og nettverket er verken kontrollert, satt opp sikkert, overvaka (av nokon som du VIL skal overvake det) ei heller veit ein kva som er tilkopla eller ikkje. Her finn ein gjerne ein salig miks av gaming-pcer, private gamle og langt frå oppdaterte pcer, NAS, spelekonsoller, TVer, SONOS, alarm, ymse dingsar (InternetOfThings), nettbrett og telefonar (både dei som tilhøyre familien, men og alle vener som er innom) OG, ikkje minst jobb-pcer.

Samstundes som sikkerheita framleis byggjer på at jobb-pcen er tilkopla eit moderne nettverk med MANGE andre sikkerheitstiltak…

 

 

 

Er det nokon andre enn meg som ser at dette er RIV RUSKANE GALE og bærer feil av garde?
Misforstå meg rett nok ein gong – eg meina absolutt ikkje at alle og ein kvar skal kopiere alt det som er på kontoret. Men at noko må gjerast vonar eg det ikkje berre er eg som ser.

 

Det er ein rekke gratis tiltak ein kan gjere, og nokre tiltak som må kjøpast inn. Av dei gratis tiltaka går det stort sett på opplæring, instruks og endring av rutinar:

  • Ikkje fokuser ALL sikkerheitsopplæring i oktober, men sprei det ut over heile året. «Eit manns minne» i dag er omlag 14 dagar, det er så mykje informasjon ein skal handtere dagleg at det som er minst viktig for kvar einskild person vert lagt i «treng ikkje hugse» haugen. Ha små drypp minst ein gong i veka, 1 minutts videoar eller «vekas sikkerheitstips».
  • Dropp å fokuser utelukkande på sikkerheita «på jobben». Det er meir sannsynleg for at dette hamnar i «treng ikkje hugse» haugen. Om ein freistar å vende fokuset til noko som kjem den tilsette til nytte i deira PRIVATE kvardag, DÅ festar det seg. Iallfall dersom det er realistiske eksempel som kan råke personar i Noreg. Er ein skikkeleg kreativ sørger ein for at akkurat dette tiltaket òg vil hjelpe på sikkerheita på jobben.
  • PREMIER dei som gjer ein god jobb – gulrota har ALLTID virka betre enn pisken.
    Kjøp inn flaxlodd (ok, det er ein kostnad her – men dette kjem til å vere den garantert billigaste sikkerheitsinvesteringa de nokon gong har gjort!!) og gje dette til; dei som kjem for å sjekke ut ein e-post dei er usikre på, dei som sjekkar med sjefen over telefon om vedkommande faktisk har bedt om ein hurtig utbetaling av eit stort beløp – i Euro, dei som har låst maskina før dei gjekk til lunsj.
  • Få på plass rutinar og instruks på kva ein skal gjere dersom uhellet er ute. Kven skal kontaktast, kva tiltak skal ein gjere med ein gong, når på døgnet er det nokon tilgjengeleg til å ta i mot slike varsel.
  • Vær sikker på at den tilsette ikkje risikera straff eller fryktar å ta kontakt dersom ein har trykka på feil lenkje. Det er menneskeleg å feile, og dersom det ikkje er skummelt å ta kontakt så kjem fleire til å gjere det fortare.

Dei tiltaka som har kostnad ved seg (sett vekk frå flaxloddet over) går på teknologi og løysningar som tek utgangspunkt i at den tilsette ikkje berre er på kontoret – og som er meir retta mot det arbeidslivet me tidlegare drøymte om, men som no er ein realitet:
«Jobb er ikkje ein plass, det er ein tilstand – og kvar ein er når ein jobbar har mindre å sei».

Dette er løysningar som gjev brukaren meir av den sikkerheita ein tek for gitt på kontoret, utan at alle må ha eit server-rack i stova som varmeomn.
Særs enkle å administrere, like enkle å sette opp – og vil løfte sikkerheita mange hakk.

  • I første omgang går det på å sikre den tilsette mot dei trugsmål som er på internett, vera seg sider som er hacka, sider som freistar å infisere brukeren eller phishing-sider.
  • Vidare går det på betre sikring av e-postflyt. Sjølv om ein har løysningar på plass idag, gjerne frå same produsent som og leverar sjølve e-postløysninga – så innehar desse løysningane ofte manglar, nokon fleire enn andre – større eller mindre manglar.
    Sidan me no sit heime, er det ingen brannmur eller andre sikringstiltak som legg det ekstra laget på plass – dersom noko skadeleg kjem seg forbi den første sjekken.
  • Og til slutt, og det skremmer meg at me framleis «masar» om dette, me må vera sikre på at brukaren er den vedkomande utgjev seg for å vera. Brukarnamn og passord er ikkje nok!!! Om me ser på mengde ID-lekkasjar og samstiller dette med det faktum at menneske av natur er late – og at mange framleis berre har 1 «vanskeleg passord» – så vert eg skremt! Brukara i Noreg har inga unnskyldning, me har vore vant med 2-faktor sidan nettbank kom på tidleg 2000-talet. Sidan kom Norsk Tipping med sin løysning, og no brukar me alle BankID som den vanlegaste ting. Kvifor får me det ikkje til på jobben?

 

Om nokon er nyfikne på kva løysningar eg har i tankane i dei 3 siste punkta, så meld deg på nettmøtet eg held 25. november, klokka 13:00. Påmeldinga gjer du her.

 

Så, frå mitt provisoriske skrivebordet (som «i gamle dagar» vart nytta til å samle slekt og familie, gjerne for å nyte eit betre måltid) takkar eg for meg. Eg ser fram til tida der me igjen kan velje å reise inn på kontoret med kollektivtrafikk, utan munnbind og frykt i augne, kunne helse med handa, gje og ta i mot ein klem og møte kollegaer og kundar like ofte som me gjorde før.

Inntil eg igjen får skrivekløe og ein kveld for meg sjølv – ha ein strålande dag vidare!!

 

Magnar!

 

 

 

 

Magnar Barsnes
Magnar Barsnes har jobbet i IT-sikkerhetsbransjen siden 2006, og har innehatt mange ulike roller deriblant foredragsholder, mentor, løsningsrådgiver, fagselger og kundeansvarlig. I Conscia er han ansvarlig for sikkerhetssatsningen og utvikle denne videre fra et salgsperspektiv.