Hver fjerde virksomhet mangler adgangskontroll
Gå tilbake

Hver fjerde virksomhet mangler adgangskontroll

6. august 2012

Store beløp investeres i systemer og programvare som beskytter forretningskritisk informasjon. Ifølge Datametrix, med hovedkontor i Grensveien 95 på Bryn-Helsfyr, er det da urovekkende å tenke på at én av fire virksomheter mangler fysisk sikring i form av adgangskontroll.

Om sommeren med mange vikarer i arbeid, kan det bli ekstra vanskelig å vite hvem som skal ha eller ikke ha tilgang til lokalene.

Dette fremkommer ifølge en pressemelding av en undersøkelse Datametrix har fått gjennomført blant 356 norske kommuner og private bedrifter. Respondentene er IT-sjefer og rådmenn i 100 kommuner og IT-sjefer og ledere i 256 private bedrifter med over 50 ansatte.

Adgangskontroll er fellesbetegnelse for alle automatiserte systemer som har som formål å kontrollere individers adgang til avgrensede områder. Kommunene er de som sliter mest med den fysiske sikkerheten i form av manglende adgangskontrollsystemer. Her forteller én av tre (33 prosent) at de ikke har adgangskontroll med bygg. Litt bedre står det til blant private virksomheter hvor én av fem (18 prosent) forteller at de mangler adgangskontroll. Ser vi på størrelsen på virksomhetene så er forskjellen marginal. Den fysiske sikkerheten er altså like dårlig blant virksomheter med 50-100 ansatte som de med 100 ansatte eller mer.

Printeren – det svake punktet
– Den fysiske adgangskontrollen er et glemt sikkerhetshull hos mange bedrifter. Vi er blitt flinke til sikre de forretningskritiske systemene for omverden. Men har man først kommet seg innenfor, så er det straks mye enklere å gjøre skade. Det kan være mange svake punkter i et bygg, for eksempel i skriveren, sier produktsjef sikkerhet Dag Sørlie i Datametrix i meldingen.

Eksemplet med printeren trekkes bevisst frem fordi den representerer en av de aller største sikkerhetshullene på en arbeidsplass. Årsaken er at de fleste bedrifter benytter seg av multifunksjonsskrivere som blant annet har skannere. Disse skannerne er ofte satt opp slik at de sender e-post mot det skannende dokumentet. Veldig ofte kjører denne løsningen på et gammelt operativsystem eller på en e-postløsning uten brukernavn og passord.

– For en datakyndig med onde hensikter er det enkelt å konfigurere printeren slik at all e-post som sendes til den går via sin egen datamaskin før e-posten sendes videre. Dermed får vedkommende åpen adgang til mye informasjon fra bedriften. En annen viktig ting med printere er at de ofte er medlem av domene, og ofte er også en administratorkonto på printeren. Printere er igjen relativt enkle å hacke, og da har man plutselig administratortilgang til hele nettverket og «eier» dette, sier Sørlie.

Ingen stopper en mann i dress
Uten adgangskontroll kan i praksis hvem som helst gå ut og inn av et lokale. «Til vanlig vet man kanskje godt hvem som er kollegaer eller ikke. Nå om sommeren, med mange vikarer i kommuner og større virksomheter, kan det være verre å ha den oversikten», skriver selskapet i meldingen.

– Det sies dessuten at ingen stopper en mann i dress. Går man inn i et lokale i en fin dress og sier man har et møte, så er det ingen som setter spørsmålstegn ved det. Kanskje sier man at man er tidlig ute og ber om å få låne ”nettverket” for å sende en mail mens man venter, og plutselig så er man innenfor nettverket og kan gjøre stor skade. Med et adgangskontrollsystem hvor man må registrere seg selv og hvem man skal besøke vil man få kontroll på hvem som har noe å gjøre i lokalene eller ikke, sier Sørlie.

Undersøkelsen er foretatt av NORSTAT blant en representativt utvalgt av bedrifter over 50 ansatte og norske kommuner i april 2012.

Share on
Facebook Twitter Linkedin Email