En oroväckande händelse

Det är alltid spännande så här års att summera det gångna året. När jag tänker tillbaka så är det en händelse som är starkare än allra andra. Inte för att händelsen i sig är speciellt märkvärdig utan vad händelsen hade för inverkan. Jag tänker på det som har belysts som ett intrång mot SAP.

I sak så har SAP publicerat ett webgränssnitt till sin FirstClass (fc.sapse) som tillåter inloggning med traditionellt användarid och lösenord. Till och med användarregistreringen är publicerad publikt, men ger visserligen bara access till allmän information. Detta är så långt från ordet stark autentisering man kan komma. Något som är en självklarhet i ett sammanhang likt detta.

I media framhålls det att intrång har skett till SAPs interna infrastruktur, men så är inte fallet. Däremot har servern döpts till SAPnet vilket ytterligare förvirrat rapporteringen. Få har rapporterat om att servern har en gammal version som har en rad kända sårbarheter som i sig kan göra information lättillgänglig. När det senare visade sig att det var en person på SSU som överlämnat inloggningsuppgifterna så gick musten ur dem som var övertygade om att någon kommit över uppgifterna genom att avlyssna ett krypterat trådlöst nätverk i Skövde.

Varför skulle någon för övrigt vilja krångla till det så oerhört, speciellt när det fanns kända brister som rätt nyttjade kunde ge samma resultat? Det är inte första, och heller inte sista gången det målas upp scenarios som hämtade ur bestsellers. Det faktum att vi är lata av vår natur glöms lätt bort. Jag vågar påstå att denna skandal aldrig hade skett om man agerat på samma sätt som alla andra företag och organisationer som hanterar känslig information gör.
Jag vill absolut inte försvara det som inträffat utan kan bara konstatera att det näst intill var ett dukat bord.

Den sammantagna bilden är skrämmande och visar på ett lågvattenmärke vad gäller så väl informations- som IT-säkerhet. Bara det faktum att det tog nästan ett år innan intrånget uppmärksammades är förbluffande. Det är också ett lågvatten att den som obehörigen fick tillgång till informationen också tog del av den. Inte minst i ett känsligt läge som en valrörelse är.

Givetvis går det att hitta mängder med likartade fall som förtjänar samma utmärkelse, men unikt i detta fall är att det påverkade valresultatet. Till vems fördel är för tidigt att säga.

Givetvis finns det fler händelser under det gångna året som förtjänar uppmärksamhet men tyvärr innehåller denna historia alla tänkbara ingredienser. Min förhoppning är att alla lär av denna händelse och jag hoppas att något annat liknande inte händer igen då konsekvenserna kan bli förödande.

© 2006 Thomas Nilsson, Certezza AB