Virksomhedernes fysiske distribution er et overset emne rent sikkerhedsmæssigt. Strømskinner, nødstrømsanlæg og køleanlæg er rent guf for en hacker, der her ofte finder en bagindgang, som er åben som en ladeport.
De fleste ved godt, hvor vigtigt det er at holde virksomhedens it-infrastruktur trimmet med de seneste opdateringer. Men it-infrastruktur handler om meget mere end blot servere og it-sikkerhedssoftware. Stort set alle de enheder, vi til daglig omgiver os med som forbrugere, er i stand til at gå på nettet, og det samme gælder de enheder, der befinder sig i virksomhederne. Så uanset om der er tale om en babyalarm eller en strømskinne, er der en risiko for at blive hacket.
”Hos Schneider Electric arbejder vi med sikkerhed, når det gælder fysisk distribution. Det vil sige, vi ligger i laget under f.eks. servere, og her er det lige præcis sådan noget som strømskinner, køleanlæg og nødstrømsanlæg, der er i fokus. De er nemlig også på nettet, og risikoen for at blive hacket her er mindst lige så stor om ikke større. For mens alle har fokus på serverne, glemmer man typisk laget nedenunder”. Det siger Søren Schrøder, der er salgschef i Schneider Electric
Problemet er kæmpestort
Netop til det brug har man hos Schneider Electric udviklet softwaren EcoStruxure IT Expert, hvis fornemmeste opgave blandt andet er at overvåge, at alle enheder er opdateret til den seneste firmwareversion. Men ifølge en analyse, som Schneider Electric selv har lavet, viser det sig, at mere end halvdelen af de enheder, som softwaren overvåger, rent faktisk ikke er opdateret, og det udgør ifølge Søren Schrøder en kæmpe risiko.
”På verdensplan har vi mere end 60.000 kunder, der benytter vores software, og hvis du prøver at gange op med det antal enheder til fysisk distribution, som formentlig er i drift, får du en fornemmelse af problemets omfang”, forklarer Søren Schrøder. Det burde være unødvendigt at skrive, at de it-kriminelle bliver stadig mere snedige og konstant afsøger mulighederne for på nemmest mulig måde at trænge ind i virksomhedernes netværk.
En masse bagdøre åbnes
Ifølge Søren Schrøder oplever Schneider Electric en stigende interesse for det, man kalder for Edge Computing. Det vil sige virksomheder, som ønsker at distribuere og placere dele af it-driften på lokale lokationer. Det kan der være flere årsager til, men en af de primære er, at man måske synes afviklingen sker for langsomt, hvis driften f.eks. er samlet centralt on-premise i virksomhedens hovedsæde.
”Hvis man driver sin it-infrastruktur via en ekstern cloudprovider, tager denne sig af alle aspekter af sikkerheden, og typisk er der jo tale om et lukket miljø. Når virksomheden selv kaster sig over lokal drift af it, er risikoen på den anden side, at man reelt åbner en masse bagdøre, som de it-kriminelle med stor for-
nøjelse kaster sig over. Så hvis man ikke sørger for, at firmwaren er opdateret, beder man groft sagt selv om problemer”, uddyber Søren Schrøder.
Standardpasswords skal ændres
Han føjer til, at hvis først de it-kriminelle er kommet ind via installationen på et lokalkontor, åbner der sig en hel verden af muligheder for at komme videre ind i virksomhedens systemer, ganske enkelt fordi mange små datacentre på den måde er forbundet. Typisk sker der også det, at når først en enhed som f.eks. en strømskinne er sat i stikkontakten, ja så får den bare lov til at passe sig selv.
”Langt de fleste af den slags enheder kører på den protokol, der hedder SNMP v1, uagtet at vi anbefaler, at man mindst kører på den seneste version SNMP v3, der yder langt bedre sikkerhed. Samtidig skal man som virksomhed naturligvis sørge for at ændre de standardpasswords, som enhederne leveres med. Det kan godt være, det lyder lidt kedeligt, men det er faktisk supervigtigt at være opmærksom på disse ting”, siger Søren Schrøder.
Der er ingen god undskyldning
Med softwaren EcoStruxure IT Expert har virksomhederne rent faktisk gode muligheder for både nemt og enkelt at sørge for, at også kedelige enheder som strømskinner og nødstrømsanlæg er opdateret, men når det ikke sker, handler det i høj grad om, at der er brug for et ændret mindset således, at man for alvor bliver opmærksom på vigtigheden af den del af infrastrukturen, der måske er lidt abstrakt, fordi man ikke lige tænker over, at den er der.
”Vores organisation er langt hen ad vejen drevet af samarbejde med partnere, så hvis man handler sin hardware hos en af de store it-leverandører, vil man typisk kunne lave en aftale, om at de via vores software kan overvåge kundens installation. Så selv om jeg godt ved, at it-ressourcerne ofte er begrænsede i de mindre virksomheder, er der reelt ikke nogen undskyldning for ikke at have it-sikkerheden på plads”, slutter Søren Schrøder.
