FLAGGTRIKS: Nils Petter Wien viser hvordan et 17. mai-flagg til fem kroner gjør adgangskort unødvendig. FOTO: NSM
drag, varierer, og at de alltid kan komme med råd og anbefalinger til virksomhe- ten. Men én sårbarhet går igjen:
– Den første og enkleste veien inn er ofte gjennom dårlige passord.
Får bryte loven. For mange fremstår nok jobben som penetrasjonstester som en spennende jobb der ingen dag er lik.
– Det beste med jobben min må være friheten. Jeg får lov til å spille skurk før den ekte skurken dukker opp. Jeg får lov til å gjøre noe man ellers ikke har lov til, svarer Henriette på spørsmålet om hva det beste med jobben hennes er.
– Og det verste?
– Det må vel være at en kjempegod dag på jobben for min del ofte er en dårlig dag for virksomheten vi tester.
Kommunikasjonsrådgiver HERMAN RINGSTAD
 INNTRENGNINGSTESTING
Penetrasjonstesting går ut på å utføre reelle, men kontrollerte dataangrep.
Inntrengningstesting i virksom- heter og informasjonssystemer
er en planlagt og forhåndsbestilt operasjon for å avdekke fysiske, logiske, tekniske, menneskelige og administrative sårbarheter ved et informasjonssystem.
NSM tilbyr pentesting som en tjeneste for virksomheter som er underlagt sikkerhetsloven.
For mer informasjon om pentes- ting, besøk nsm.no/pentest.
I ti år har vi i NSM foretatt inntrengingstester av sivil og militær infrastruktur.
Ti år med inntrengingstesting
Det er få forskjeller mellom militære og sivile systemer når det gjelder logisk sikkerhet. De fleste graderte systemer krever vesentlig lengre passord enn i den ugraderte sfæren. Ugraderte systemer viser seg ofte å være bedre oppdatert enn de graderte, noe som antakelig skyldes at det er enklere å oppdatere ugra-
derte systemer som er direkte koblet til internett.
Passord er som regel den stør- ste svakheten man finner i alle systemer. Det er svært vanlig at både vanlige brukere og admi- nistratorer velger enkle, svake passord.
Eksempelvis er «Sommer20» eller «Sommerferie2020» i bruk hos svært mange
personer i mange systemer. Disse brukes også av admi- nistratorer eller andre brukere med høye systemrettig- heter. En aktør vil derfor prøve disse passordene mot brukerne av et system, og de viser seg ofte å gi store rettigheter. Dette gjør selv ellers sikre systemer unød- vendig sårbare.
God nettverkssikkerhet er vanskelig, og vi ser at nettverket i de fleste systemer er svakt sikret. De fleste systemer er satt opp med mangelfull nettverksbe- skyttelse og med ingen eller mangelfull sonedeling. Følgelig blir servere og sentrale tjenester mer utsatt for potensielle angrep.
Virksomhetene vi tester, viser seg ofte å mangle
en god oversikt over egne systemer. Vi finner både servere, infrastruktur og tjenester som virksomhetene hadde glemt eller ikke visste eksisterte. Et flertall av disse er utenfor normal kontroll og blir i beste fall mangelfullt oppdatert og sikret.
Dessverre viser det seg også at disse ofte er utenfor nyere sikkerhetsmekanismer i informasjonssystemet de er tilkoblet, og at de ofte har høye tilganger inn i sentrale deler av informasjonssystemet.
Forsvaret er gode til å ta hensyn til fysisk sikkerhet, men vi ser at det ofte er mulig å omgå denne. Den fysiske sikkerheten bør derfor ikke gå på bekostning av den logiske sikringen. Gjerder og vakter kan for- seres, adgangskort kan kopieres, og mennesker kan lures. Det er derfor svært viktig å se på sikkerheten som en helhet.
Vi anbefaler alle å teste sikkerheten i systemene sine, både sivile og militære.
Det er alltid bedre å finne egne sårbarheter før fienden gjør det.
her&nå
Sjefingeniør
NILS PETTER WIEN NSMs seksjon for inntrengingstesting
«DET ER ALLTID BEDRE Å FINNE EGNE SÅRBARHETER FØR FIENDEN
GJØR DET»
  AUGUST 2020 97