Men i dagens moderna utvecklingssamhälle där all information i alla företag samlas i dess IT-system är det långt ifrån bara militär hemlig information som dagens "spioner" vill komma åt

Idag är det produkt- och företags-information i alla branscher som är "målet" för industrispionage

Och efter hand som företag blir bättre på att skydda sina miljöer från intrångsförsök utifrån ökar istället riskerna med insiders och andra interna hot

Flera exempel på hur sådana attacker kan gå till skrevs nyligen i en artikel på E24.se "Svenska spionjägare" 2010-07-19

Särskilt intressant i den artikeln är att de "spionerande" konkurrenterna idag upplever det svårt att "hacka" sig in hos den de vill komma åt information hos och skaffar sig istället hellre "en man på insidan"

En viktig målgrupp för detta är personal på IT-avdelningen

Fortfarande har många tekniker och service-personer på IT-avdelningen mycket höga rättigheter till de flesta system och känslig företagsinformation som varken övrig personal eller höga chefer kan komma åt normalt.

Därför är det idag mycket viktigt att ta tag i detta problem med behörigheter hos er egen IT-personal

Dessa behörigheter skall följa två mycket viktiga principer:
- Segregation of Duties, SoD
- Least privileged principle (inte mer rättigheter än vad som behövs för att sköta sitt uppdrag)

Grundprincipen för en bra säkerhet är att normalt skall ytterst få personer ha permanenta priviligierade behörigheter till hela eller delar av produktionsmiljön där känslig information finns.

Naturligtvis skall personer få de behörigheter de behöver, när de behöver dem, men inte ha dem hela tiden

Hur bör man då hantera detta:

- Process och verktyg för att ta beslut om ändringar i produktionsmiljön som bygger på SoD och ser till att ingen enskild person kan ta beslut om ändringar i produktionsmiljön. Detta kan vara olika typer av system för "Change Management" eller "Ärendehantering" som bygger på ITIL-principer

- Process och verktyg för "Privileged Access Management", PAM. som baseras på beslut från Change-processen och som tilldelar IT-personal och utvecklare tillfälliga priviligierade rättigheter till de berörda systemen för att genomföra den beslutade ändringen. Dessa behörigheter stängs sedan när ändringen är genomförd eller efter en förutbestämd tid.

- Process och verktyg för säkerhets-loggning. De beslut som tas om ändringar, de rättigheter som delas ut och de ändringar som genomförs i produktionsmiljön skall alla loggas så att man får en spårbarhet på ändringar i produktionsmiljön och kan se när felaktigheter uppstår i processen och man kan spåra när något har gått fel. Detta är inte enbart för att "hänga någon" utan kanske mest för att en mycket stor del av problem på IT-sidan orsakas av fel som görs oavsiktligt vid uppdateringar och ändringar.
Genom spårbarheten kan man snabbt hitta orsaken till problemet och fixa till den och därigenom kraftigt minska påverkan på drift av systemen och verksamheten

Ett typiskt exempel på en tekniker med för höga rättigheter gör att han kan kopiera eller ändra data i en databas eller byta ut ett program/installera ett malware-program och sedan radera information om att detta gjorts i loggfiler eftersom hans "admin-rättigheter" inte är begränsade i omfattning eller tid.

Det kanske intressantaste (?) är att hela checklistan börjar med (och innehåller uteslutande) tekniken, vilket förstås är helt fel!

Första punkten måste alltid vara utred behoven och förväntningarna – att börja i den tekniska änden kommer alltid att sluta i tårar!