Artikel - S?an g? vi

IT-sikkerhed og Br?derslev bibliotek

- en l?erig opgave.

Artiklen er skrevet af Anni Guldberg Madsen, Br?derslev Bibliotek.

Som specialefag p?datanomuddannelsen havde jeg valgt IT-sikkerhed, og det blev bestemt, at mit speciale skulle v?e en risikoanalyse af min egen arbejdsplads med dertil h?ende sikkerhedsh?db?er og beredskabsplan.

Det viste sig at v?e meget nyttigt og l?erigt - en rigtig "eye-opener" - og b?e selve analysen og den proces, den f?te med sig, har v?et af stor v?di for os.

IT-sikkerhed var for mig, inden jeg startede p?analysen, s?an noget med virus og hackere (og s?alle de opfindsomme og initiativrige unge mennesker, der sidder ved vores publikumsmaskiner). S?jeg vil starte med at definere (som jeg har l?t det) hvad IT-sikkerhed drejer sig om: At beskytte virksomhedens ressourcer og drift mod trusler.

De tre grundpiller hedder tilg?gelighed, fortrolighed og p?idelighed. Tilg?gelighed i den forstand, at man skal kunne komme til ressourcerne, n? man har brug for dem, fortrolighed i den forstand, at ens data skal beskyttes mod uvedkommende, og p?idelighed, ja, det siger sig selv.

(Efter at Internethandel m.m. er kommet til, er to nye grundpiller blevet tilf?et: ?thed og uafviselighed. ?thed - at man er den, man giver sig ud for at v?e, og uafviselighed, at der er foreg?t det, der er.)

I en risikoanalyse drejer det sig om at indkredse, hvad der er vigtigt og mindre vigtigt for virksomhedens drift og ressourcer og hvor h? en grad af beskyttelse man derfor skal satse p? Jo h?ere beskyttelsen, jo flere ressourcer skal man bruge p?det. 100% kan for eksempel kr?e, at man har en opdateret server st?nde ved siden af klar til at s?te ind. Derefter identificerer man truslerne og sammenholderne beskyttelsen mod dem med det, der er ?skv?digt og det, der er muligt. Der findes logaritmer for, hvordan man kan udregne tab ved nedetid og derudfra regne ud, hvor meget man b? bruge p?beskyttelse. Det er lidt sv?t for folkebiblioteker, men man kan da se p? hvad retablering koster. Og selv om vi ikke tjener millioner p?vores IT, kan vi alligevel sagtens analysere vigtigheden af, at det fungerer.

Selve det at s?te sig ned og beskrive, hvad der sker, og hvor vigtige de enkelte funktioner er i forhold til hinanden, er utroligt nyttigt i sig selv. Jeg startede med at beskrive pr?isserne: lovgivning, m?s?ninger, rammer og krav (?onomiske s?el som andre) samt bibliotekets IT. Derefter gennemgik jeg bibliotekets IT-funktioner og deres vigtighed for bibliotekets drift i forhold til de tre grundpiller: tilg?gelighed, p?idelighed og fortrolighed.

En generel gennemgang af trusselsbilledet var det n?te punkt. Truslerne kunne deles ind i seks overordnede punkter: Fysiske fejl eller svigt (harddiske, netkort, sk?me, stik m.m. - det skal der v?e tager h?de for).Uheld (brand, vandskade, varme, kulde, st?, str?svigt osv.) Programfejl (som kan opst?ved indl?ning af nye versioner, men ogs?dukke op ved gennempr?ede programmer). Forkert betjening/ufrivillige fejl (faktisk en af de st?ste trusler mod s?el tilg?gelighed som fortrolighed og p?idelighed, og det kan ske p?alle mulige niveauer).Indtr?gen udefra (det vil sige hvor folk ikke befinder sig fysisk p?stedet, men kommer ind via netv?k). Indtr?gen indefra (folk, der fysisk befinder sig i huset, enten de sidder ved pc-erne eller sniger sig ind i edb-rummet).

Derefter blev truslerne sammenholdt med de enkelte funktioner, deres betydning for biblioteket og den m?e, de i skrivende stund var beskyttet p? Og endelig afsluttedes beskrivelsen med en problemliste med l?ningsforslag og en opsummering med anbefalinger.

Listen var opdelt i 5 hovedomr?er: krydsfelt og netv?k, operativsystemer (AIX og Windows NT), biblioteksdatabasen, cpr-numrene og h?db?er. Og de konkrete l?ningsforslag var b?e store og sm? Vi arbejder p?for ?eblikket at f?etableret et afl?t serverrum, fordi vores Riscmaskine med biblioteksdatabasen er det allervigtigste at beskytte. Omkonfigurering af vores firewall og ?dring af arkitekturen i vores Windows NT-netv?k st? ogs?p?listen. P?adressen www.cert.org (adressen for Computer Emergency Response Team) kan man finde en r?ke gode oplysninger, dels om aktuelle trusler, dels grundige artikler om for eksempel ops?ning af Unix og Windows NT. Omkring Windows NT kan der ogs?findes gode artikler p?Microsofts hjemmesider - specielt den om ops?ning af Internet Information Server synes jeg er god. Og det er godt at abonnere p?Microsofts Tech Net-information.

Password-sikkerhed har vi altid lagt megen v?t p? Folk har mange gange moret sig over vores lange og indviklede password, men mit arbejde med IT-sikkerhed har bekr?tet mig i, at det er utroligt vigtigt. Mindst ni tegn, skiftes hver tredje m?ed, ingen navne, datoer, bilnumre eller andet, der kan g?tes. Det er vigtigt at have resten af personalets forst?lse for betydningen af det; ellers kan man risikere, at de slipper nemt om ved det, og eet hul er s?an set nok. Man kan selvf?gelig ogs?downloade programmer, som checker passwordene, men det er rarest at v?e fri for.

P?CERTs liste st? der ogs?ting som at huske at s?te password p?bios'en, at s?te bootningsr?kef?gen til at starte med harddisken, s?man ikke kan snige sig udenom med en diskette, at skjule seneste login, at omd?e administratorloginet og at slette shutdown fra logon-menuen. Der ligger selvf?gelig ogs?et sikkerhedsvalg i. hvilke programmer man bruger. Vi har valgt Windows NT som det sikreste, fordi man kan s?te brugerrettigheder hele vejen igennem. Desuden bruger vi Netscape som browser over alt - Internet Explorer er fuld af sikkerhedshuller.

Vi har indtil nu brugt cpr-numre som l?ernumre, men vi diskuterer meget, om vi af sikkerhedsm?sige grunde skal g?over til stregkoder. Folk har i forvejen valget hos os, og vi forlanger et stregkodenummer for at give folk mulighed for at reservere over Internettet. Ellers skal vi bruge en masse penge p?kryptering og m?ke stadig have et sikkerhedsm?sigt problem, fordi der kan v?e huller i krypteringen. Men lige nu overvejer vi.

Som bilag udarbejde jeg dels en sikkerhedsh?dbog for personalet, en sikkerhedsh?dbog for systemadministratorer og en beredskabsplan (det sidste er den, man skal bruge, hvis biblioteket br?der, hvis biblioteksserveren bliver stj?et, eller ved andre store katastrofer. Det handler om, hvordan vi kan forts?te s?meget af vores virksomhed som muligt s?hurtigt som muligt).

I sikkerhedsh?dbogen for personalet st? der om krav til login og password, om selvdisciplin for at sikre p?ideligheden af de oplysninger, vi har liggende, regler for download (kun systemadministrator) og disketter (checkes af systemadministrator f?st). Om mails og vedh?tede filer og mail-disciplin i det hele taget. Og om hvad man g?, hvis der opst? problemer.

Ingen systemer er bedre end dem, der betjener dem. Derfor er personalet en meget vigtig faktor, n? det drejer sig om sikkerhed.

Som tidligere n?nt var processen omkring arbejdet her ikke det mindst nyttige. Jeg fik hj?p fra mange af mine kolleger, som l?te materialet l?ende igennem og kom med kommentarer - en prioritering af, hvilke funktioner der er de vigtigste, skal n?vendigvis bygge p?en bred enighed. Jeg fortalte l?ende om arbejdet p?vores m?edlige personalem?er (hvor vi i forvejen har IT p?som fast punkt). Og specielt sikkerhedsh?dbogen for personalet blev n?e gennemg?t (og der kom et par meget konstruktive tilf?elser).

Jeg arbejder stadig p?at f?implementeret den liste med anbefalinger, som risikoanalysen indeholdt. Det er ikke gjort fra den ene dag til den anden, men vi er godt p?vej. For eksempel er vi ved at f?hold p?den fysiske sikkerhed omkring vores biblioteksserver. Brandskabet er flyttet, s?det st? i en anden del af biblioteket end serveren. Jeg tager hver m?ed en backup af b?e bibliotekssystemet og vores NT-server med hjem. Logbogen over bibliotekssystemet er flyttet v? fra serveren og ind p?et kontor, og den bliver ajourf?t, hver gang vi for eksempel trimmer.

Og alle de sp?gsm?, jeg undervejs har stillet, har ogs?sat gang i andre ting. (Det viste sig, at vi havde en brandinstruks liggende i en skuffe - den er nu mangfoldiggjort og sat op ved telefonerne). N? jeg er n?t et stykke l?gere, er det tid at revidere sikkerhedsh?db?erne. Det er mit m? at have den for hele personalet p?personalem?e en gang hver halve ?.

Jeg fandt ogs?en del fremragende steder p?nettet, hvor ens viden kan ajourf?es l?ende, blandt andet www.cert.org, som jeg tidligere har omtalt, og Microsoft sikkerhedssider. I Kyas' bog om Sikkerhed p?Internet (Teknisk Forlag, 2000) er der ogs?en lang r?ke gode adresser.

Ovenst?nde er kun en kort introduktion til emnet IT-sikkerhed. P?vores generalforsamling den 11.november indleder vi med et fagligt arrangement om netop IT-sikkerhed, hvor min l?er i faget. Steen Ledet fra Nykredits afdeling for IT-sikkerhed, vil fort?le om omr?et. Og jeg svarer selvf?gelig gerne p?sp?gsm?/mails om min opgave, som jo alts?handler specifikt om sikkerheden hos os.

Anni Guldberg Madsen, Br?derslev bibliotek