Presskontakt Norska företag tar stora risker med IT-säkerheten. En undersökning gjord av Internetsäkerhetsföretaget Symantec identifierade allvarliga säkerhetsproblem i samtliga 48 system som ingick i analysen. Hela 90 procent hade allvarliga brister i lösenordshanteringen. Det finns inget som talar för att situationen skulle vara annorlunda i Sverige. Stockholm den 14 mars 2002 - I dag är fungerande IT-system en absolut förutsättning för den dagliga affärsverksamheten. Allt mer och allt känsligare information hanteras i systemen. Samtidigt uppvisar IT-säkerheten mycket allvarliga brister som i värsta fall kan hota företagens överlevnad. Det är slutsatsen av en undersökning och analys som Internetsäkerhetsföretaget Symantec genomfört av 48 affärskritiska IT-system i norska företag inom privat och offentlig sektor. De företag som har deltagit i undersökningen har medgett offentliggörande av undersökningsresultatet mot garantier om anonymitet. Undersökningen har letts av Stein A. J. Møllerhaug, säkerhetskonsult inom Symantec Security Services. – De flesta företag lever i villfarelsen att de har full kontroll över sitt nätverk, men vår undersökning visar det rakt motsatta. Tidigare undersökningar har också pekat på att situationen är likartad i Sverige, säger Petter Lautin, VD Symantec Nordic. Säkerhetsincidenter stör verksamheten, men leder inte minst till att kunder och partners tappar förtroendet för företaget. Säkerheten är en prioriteringsfråga som kräver koordinerade åtgärder från ledningen och neråt, regler och prioriteringar måste etableras och tvingas igenom. Ytterst handlar det om företagens överlevnad. I flera av de undersökta systemen lagrades känsliga personupplysningar som hade varit fullt tillgängliga i händelse av intrång. Nio av tio system hade allvarliga brister i lösenordshanteringen. Av testade lösenord kunde 85 procent knäckas med enkla metoder. En obehörig person skulle därmed mycket lätt kunna sätta hela verksamheten ur spel. – Vi ser exempel på dessa säkerhetsbrister dagligen. Genom denna undersökning kan vi nu också gå ut med konkret information om hur allvarlig situationen faktiskt är, säger Stein Møllerhaug. Det som förvånar mig mest är hur enkelt det är att genomföra ett framgångsrikt angrepp. Det krävs inte mycket kunskap hos en angripare för att ta full kontroll över IT-systemen. – I de IT-system som vi har analyserat i undersökningen är känslig information i princip oskyddad mot såväl interna som externa intrångsförsök, säger Stein Møllerhaug. Företagen måste vidta en rad åtgärder med början i en sårbarhetsanalys av nätverkssäkerheten samt en prioritering och resurstilldelning för att åtgärda bristerna. Säkerhetspolicies måste upprättas och kontinuerligt revideras. Slutligen måste man informera och öka kunskapen om säkerhetsfrågorna i hela organisationen. – Vi har testat de viktigaste delarna inom sex av de sju för grundläggande fundamenten för IT-säkerhet: tillgänglighet, kända identiteter, användaridentiteter, revision, objektsäkerhet, kodkvalitet och gränsskydd. Undersökningen visar på allvarliga, och onödiga, svagheter inom samtliga områden. Undersökningen är gjord med hjälp av Symantecs analysverktyg Enterprise Security Manager. De testade systemen är baserade på Windows NT och Windows 2000. Erfarenheten visar dock att situationen är den samma på andra IT-plattformar. Enterprise Security Manager är marknadens mest omfattande analysverktyg för IT-säkerhet på multipla plattformar. Det har kapacitet att genomföra säkerhetsrevisioner på totalt 35 olika operativsystem, men även på databaser, brandväggar och webbservrar såsom Windows NT, Windows 2000, Novell, VMS samt olika UNIX-dialekter. För systemadministratörer innebär Enterprise Security Manager en betydande förenkling genom att det via administrationsgränssnittet går att kontrollera säkerheten på samtliga IT-system i en och samma skärmbild. – Det är viktigt för alla företag och organisationer att regelbundet genomföra säkerhetsanalyser, säger Stein Møllerhaug. Enterprise Security Manager ger både en ögonblicksbild av situationen och dokumentation av utvecklingen över tiden, vilket är nödvändigt för att få en helhetsbild av säkerhetssituationen och kunna vidta rätt åtgärder. Pressbilder finns att hämta ner från vårt presscenter: http://www.symantec.se/region/se/PressCenter/nordic_spokes.html Om Symantec Symantec är världsledande inom Internetsäkerhet och erbjuder ett brett spektrum av lösningar för innehållssäkerhet och nätverkssäkerhet åt privatpersoner och företag. Företaget är ledande leverantör av virusskydd, brandväggar och virtuella privata nätverk, sårbarhetsanalyser, intrångsskydd, filtrering av Internetinnehåll och e-post, fjärrhantering samt säkerhetslösningar till företag i hela världen. Symantecs säkerhetsprodukter för konsumentsektorn av märket Norton är marknadsledande vad gäller detaljhandelsförsäljning och branschutmärkelser världen över. Företaget har sitt huvudkontor i Cupertino, Kalifornien och bedriver verksamhet i 37 länder. Mer information finns på www.symantec.com.