Artikel top billede

(Foto: Computerworld)

Nørder lukker hullerne i firmaers it-sikkerhed

Jo mere komplekse vores it-miljøer bliver, desto mere har vi behov for løsninger, som gør arbejdsgangen nemmere. Alt om DATA har talt med to supernørder, som lever af at bygge bro mellem avanceret teknologi og forretningsbehov.

Af Jakob D. Lund, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Da Alt om DATA møder amerikanske Patrick Hubbard, er han netop landet i København efter nogle dages ophold på it-messen CeBIT i Tyskland. Den europæiske sviptur er ikke en fornøjelsestur, men hænger sammen med, at SolarWinds, Patrick Hubbards arbejdsgiver, er i gang med en større europæisk ekspansion.

”Vi følger vores kunder, og det har bragt os til Europa,” siger han indledningsvis.

Med et stort tandpastasmil forklarer han, at han er en af virksomhedens ”Head Geeks”, hvilket på dansk kan oversættes til Supernørd. "Det kunne lyde som en lidt for kæk, lidt for amerikansk joke, men er det langt fra," siger Patrick Hubbard.

”The Geek Spirit er en af de store årsager til, at vi har succes. Vores tilgang er teknologi udviklet af nørder for nørder. Vores kernekunde kan lide at lege med teknologien, skille tingene ad og på den måde blive fortrolig med den. Modsat findes der andre typer af kunder, som godt kan lide at modtage en sort boks, hvis indhold de aldrig behøver at lære at kende,” siger Patrick Hubbard.

Han forklarer, at SolarWinds, som så mange andre it-firmaer, opstod af to mænds gode idé fostret i en garage. De to mænd skabte dengang The Engineers Toolset. Det var it-branchens svar på en schweizerkniv, som man kunne koble til et netværk og bruge til at debugge et par racks for at få systemet til at køre bedre, forklarer Patrick Hubbard. Efter kort tid havde de to iværksættere pludselig solgt produktet til over 50.000 kunder.

Når Patrick Hubbard skal forklare, hvorfor SolarWinds produkter er blevet så populære, svarer han, at det blandt andet skyldes, at verdens virksomheder og organisationer har oplevet en stærkt stigende kompleksitetsgrad i deres it-miljø gennem de sidste 20 år.

”Men samtidig er it-afdelingen reelt blevet reduceret med en tredjedel hver 18. måned. Det kræver en stigende grad af automatisering af processer, hvis mandskabet skal kunne nå deres opgaver. Det hjælper vores løsninger med,” siger Patrick Hubbard og fortsætter:

”Virtualisering, 10 Gbit ethernet og andre teknologier kører på et mindre og mindre antal forskellige enheder. Det betyder, at hvad der før var tydeligt opdelt som storage, netværk og så videre, i dag hænger meget tættere sammen. Hvad der tidligere var en top of the rack-switch, er i dag næsten en core-router i form af funktionalitet.”

Som it-administrator betyder denne udvikling, at man skal vide næsten alt om alle de teknologier, der rejser gennem systemet. Og det kan være svært. Derfor peger Patrick Hubbard på, at man har brug for flere værktøjer, som giver it-administratoren et større overblik.

”Alle vores værtøjer er inspireret af de reelle behov, vi hører fra vores kæmpe community af nørder. De fortæller, hvad deres problemer er, og vi prøver at løse dem. Vi startede eksempelvis som en virksomhed, der lavede ren netværksmonitorering, men nu har vi bevæget os ind på applikationsmonitorering, fordi vi har fulgt nørderne,” siger han.

God it-administration er proaktiv

Et af de råd, Patrick Hubbard oftest giver til it-administratorer, er, at de skal lade være med at bruge regneark til at håndtere ip-adresser.

”Det virker som et simpelt råd at følge, men sandheden er, at mange virksomheder stadig bruger regneark. Ikke fordi det er en del af deres strategi, men fordi da de oprindelig begyndte at håndtere ip-adresser, havde de kun 10 subnet at håndtere. Så det naturlige var at skrive i Excel og udvide subnettet med et par kolonner mere,” siger Patrick Hubbard.

”Derfra er virksomheden bare blevet ved med at vokse, og lige så stille er ip-adressehåndteringen blev mere og mere uoverskue-lig. Dertil kommer, at den, der oprindeligt lavede regnearket, hurtigt bliver the spread-sheet guy.

Han begynder at få telefonopkald i weekenderne, fordi han er den eneste, der forstår regnearket. Det vil sige, at ham, der begyndte med at være hjælpsom og centraliserede ip-adressehåndteringen, i dag er selve årsagen til, at det er blevet besværligt,” siger Patrick Hubbard og forklarer, at SolarWinds (naturligvis) har en løsning, der kan hjælpe med at automatisere opgaven.

Et af Patrick Hubbards andre hovedbudskaber er, at it-administratoren skal hjælpes til at være mere proaktiv.

”Hardware refresh-processen er en stor del af it-administratorens rolle. I mindre organisationer bliver nyt udstyr tilføjet, når behovet spontant opstår. I mellemstore virksomheder er det en kvartalsvis eller månedlig opgave.

Det er en krævende opgave for it-administratoren at foretage en hardware refresh, fordi det involverer rapportering om alt udstyr, præsentation for ledelsen og i visse tilfælde budgetdiskussioner. Ingen af disse ”discipliner” står øverst på it-administratorens ønskeliste. Derfor er det en stor hjælp for ham, hvis et værktøj automatisk kan generere en rapport over virksomhedens udstyr, som inkluderer udløb på vedligeholdelsesdatoer, information om OS-version og end of life- eller end of support-detaljer.”

Snowden er god for sikkerheden

Da Patrick Hubbard var på CeBIT-messen, sad han med i et panel, hvor man diskuterede, hvad man havde lært i 2013. Til de flestes store forbløffelse hævdede Patrick Hubbard, at Edward Snowden og hele NSA-affæren var det bedste, der var sket for it-sikkerhedsområdet i de sidste 10 år.

”It-sikkerhed er et område, der virkelig har været underbudgetteret i lang tid sammenlignet med andre dele af virksomhedens it-budgetter. Men med NSA og den vedvarende strøm af historier har vi fået et sikkerhedsbudskab, der kører på alle store tv-stationer dagligt. Det betyder, at CIO’en nu kan tage til møde med ledelsen og sige: ”For det første har jeg sagt de her ting til jer i de sidste fire år. For det andet har jeg en liste med 24 forskellige projekter, jeg gerne vil have, vi går i gang med,” siger Patrick Hubbard.

”Alt i alt har NSA-lækagen medført, at vi for første gang i lang tid ser, at it-sikkerhedsbudgettet i virksomhederne stiger.”

I 2013 var den amerikanske supermarkeds-kæde Target udsat for et hackerangreb, der resulterede i, at 40 millioner kunder fik stjålet data om deres kreditkort til en værdi, som blev anslået til at ville have en værdi på 100-500 kroner pr. kreditkort på det sorte marked.

”Jeg er ikke sikker på, at alle kender den rigtige årsag til indbruddet,” siger Patrick Hubbard og uddyber:

”Men det skyldtes, at et eksternt firma tilbød Target fjernkontrol over aircondition og varme på tværs af alle butikker. Fin idé, og jeg er sikker på, at det eksterne firma kunne fremvise nogle fine slides, som viste, at ROI (investeringens afkast, red) ville ligge på 20 millioner dollar om året eller noget i den stil.

Problemet var, at det eksterne firma havde brug for adgang til Targets netværk. Jeg er sikker på, at der har siddet en it-administrator i Target og sagt: ”Det er en dårlig ide”. Men på et eller andet tidspunkt blev beslutningen trumfet igennem, og så har man lukket øjnene i it-afdelingen og åbnet op,” siger Patrick Hubbard.

”Min pointe er, at det var et skoleeksempel på, at forretningen ikke lyttede til it-afdelingen. For det er i stigende grad it-afdelingens beslutninger, ikke kun inden for sikkerhed, men også inden for storage, virtualisering, cloud osv., som i sidste ende afgør, om et firma får succes eller ej. Denne nye, tætte forbindelse mellem forretningen og it er på kort tid blomstret op på en måde, vi ikke har set før.”

De nye trends

Patrick Hubbard peger på to store trends, der vil få betydning for it-administratorens rolle i de kommende år. Den første er, at vi er forbi SDN-hypen (Software Defined Networks). SDN giver central kontrol over netværksinfrastrukturen, så man kan behandle en række netværksenheder som én helhed. Et marked, IDC har spået til at være cirka 3,7 milliarder dollar værd i 2016.

”It-administratorer er endelig begyndt at lære SDN-teknologien ordentligt at kende. Min spådom er, at næsten enhver it-administrators opgaver vil forandre sig meget som følge af SDN de næste 5-10 år, hvilket kræver en højere opkvalificering af deres ressourcer end på noget andet tidspunkt i nyere netværkshistorie,” siger Patrick Hubbard.

Den anden store trend, Patrick Hubbard udpeger, er skiftet fra The Internet of Things til The Internet of Everything. Fremkomsten af flere og flere enheder, der bliver koblet på nettet, er uundgåelig. Det er på samme tid både en vidunderlig og en skræmmende tanke, forklarer han.

”Som vi så med BYOD, så er enheder på virksomhedens netværk noget, vi skal tænke grundigt igennem. Det samme gælder fremkomsten af alle mulige nye enheder med en ip-adresse. I dag håndterer vi BYOD ved at smide enhederne på et gæstenetværk og behandle dem, som om vi befandt os i en hotellobby.

Men med wearable tech, biometriske sensorer, åbne mikrofoner osv. bliver fysisk sikkerhed igen et issue. Tag eksempelvis Google Glass. Hvad nu, hvis man sidder til et møde med en kunde eller en samarbejdspartner, der har Google Glass eller en lignende enhed på? Så kan de i princippet kigge på en skærm med følsomme data og streame det direkte ud på nettet. Det lyder som fjern fremtid, men er det ikke.”

Et andet sikkerhedsproblem med wear-ables er, ifølge Patrick Hubbard, at vi pt. er vant til, at eksempelvis Jawbone UP, armbånd, der registrerer sundhedsdata, er forbundet til mobiltelefonen via Bluetooth. Det betyder, at applikationerne hele tiden bliver gennemgået rent sikkerhedsmæssigt af de store mobilselskaber, som stiller høje krav om sikkerhed. Men så snart mængden af ip-enablede enheder om få år eksploderer, vil der komme masser af små aktører på markedet, som prioriterer sikkerhed meget lavt.

”Derfor vil Internet of Everything også få en enorm indvirkning på it-administratorens hverdag,” afslutter Patrick Hubbard.

I marts fremlagde SolarWinds en opsigtsvækkende undersøgelse udført blandt 200 it-professionelle fra danske virksomheder i alle størrelser. Blandt andet viste undersøgelsen, at danske it-professionelle mener, de har behov for yderligere uddannelse for at kunne levere den nødvendige rådgivning, og at de har brug for en større forståelse af deres virksomheds forretning. Her er hovedpunkterne fra undersøgelsen:

Uddannelse og bredere ansvar bliver et krav

For at føle sig bedre rustet til at give strategiske råd i deres virksomhed svarer lidt under halvdelen, at de har brug for yderligere uddannelse inden for deres ansvarsområder (44 %). Næsten 30 % siger, at de har brug for en bedre forståelse af deres virksomheds overordnede forretning,
70 % regner med ”ofte” eller ”altid” at skulle træde ud af deres ansvarsområde og træffe strategiske virksomhedsbeslutninger.

Skal håndtere større kompleksitet

Der er generelt en optimisme i den danske it-verden. 44 % af de adspurgte fik i 2013 flere kollegaer på deres arbejdsplads, 8 % fik færre, mens det var status quo for den resterende del. Ligeledes forventer 44 %, at de får flere kollegaer i løbet af 2014, 8 % færre, mens den resterende del forventer samme niveau.

18 % siger, at øget kompleksitet i høj grad har påvirket deres ansvar inden for de seneste 3 til 5 år. Yderligere 42 % siger, at det i nogen grad har påvirket deres rolle.

Over 50 % peger på, at cloud/SaaS, mobilitet og virtualisering er de kvalifikationer, der vil være størst efterspørgsel efter i de næste 3 til 5 år.