Jag får ofta frågan om hur man får en person att handla på en webshop till exempel. Här finns inget självklart svar men det finns dock många knep att tillgå som är beprövade både på internet och i daglighandeln. På en affär till exempel finns många väl utvecklade strategier för att personer ska handla mer, de flesta av dessa strategier märker du som konsument inte ens av. Det du däremot gör är att du faller offer för dem. Visste du till exempel att en korg med produkter framme vid kassan gör att de flesta människor faktiskt köper något ur den korgen. Varför? Här finns alltså ett knep att ta till när man gör en kundvagnsprocess på en webshop. Hur kan man överföra korgen till webshoppen?

Vad är egentligen personlig integritet och när är man skyddad – eller är man aldrig skyddad?

Idag kan man läsa i DN om att Aftonbladet riskerar att åtalas för att ha uttalats sig om att Littorin skulle ha köpt sex utan att ha skälig grund för det ”Aftonbladet löper stor risk att fällas i rättegång”.

Huruvida Littorin har köpt sex kan vi inte veta men vi kan åtminstone veta att eftersom han inte är dömd för det så borde inte kvällstidningarna gotta sig i vaga uttalanden om detta. Det är heller inte första gången som detta händer och garanterat inte sista.

Jag har tidigare berört ämnen som handlar om tryckfrihet och yttrandefrihet på nätet och tänker därför i några inlägg framåt försöka klargöra vad som egentligen gäller. Får man publicera vad som helst, tycka vad som helst och får journalister ta tips från okända och skapa nyheter som faktiskt skadar personer. Är det verkligen nyheter eller almännytta om någon köper sex eller inte?

Varför är IT och datasäkerhet så viktigt?
Det vi kan se ganska direkt är en kostnad om en dator går sönder eller får virus. Vad händer då om inte bara en dator får virus utan alla. Detta skulle leda till enorma kostnader både i arbetstimmar men även i material samt ny utrustning. Det finns även en annan del i detta där kostnaderna skulle bli betydligt större nämligen kostnaderna att förlora den information som ligger på datorer och servrar. För detta företag skulle detta inträffande ha förödande konsekvenser.

För att svara på frågorna ovan huruvida vilken hotbild som finns för vår datasäkerhet kan vi ställa oss följande frågor och göra en behovsanalys av vår situation.
Vilka tänkbara hot kan det finnas?
Vilken skada kan ske?
Vilka kan tänkas vilja skada företaget?
Vilka resurser krävs för att skada företaget?

För att kort presentera tänkbara svar på ovan frågor kan vi se att det både finns fysiska och virtuella hot. De fysiska hot som vi nämnt tidigare är risk för brand eller stöld samt risk för skadegörelse och skada på de fysiska servrarna och datorerna. De virtuella hoten kan vara intrång från konkurrenter och virusattacker men även en mängd andra attacker i form av Trojaner och maskar. Våra användare har även en del i både den fysiska och virtuella delen av säkerheten. Hur hanterar användare den informationen som finns och vilken användare ser vilken information. Nedan kommer jag nu presentera en rad lösningar för den problemställning som finns. Förslagen tar hänsyn till företaget och dess känsliga information. Jag kommer även att förklara en del grundläggande begrepp inom IT och datasäkerhet.

Serverrum (Fysiskt skydd)
Placeringen och byggnationen av serverrummet är av stor vikt för att skydda information och teknik mot brand och vattenskador men även mot intrång och skadegörelse.

Serverrummet bör placeras avskilt från övriga lokaler gärna så skyddat och svårtillgängligt för allmänheten som möjligt. Tak, väggar och golv ska uppfylla kraven för brandklass EI 60.

Tillträde till serverrummet bör ske endast av behörig personal med loggningssystem som ser vem som tillträdde rummet och när. Detta för att garantera att ingen obehörig kommer in och för att kunna spåra vem som gått in när. Rummet ska vid alla tidpunkter vara larmat och kopplat till utvald larmcentral. Rummet bör vara försett med IR detektorer.
I detta rum är det viktigt att bra ventilation finns som inte överskrider 25 grader och undergår 17 grader. Serverrummet får inte ha några fönster och bör vara försett med vätskelarm och brandlarm. Eventuella backup servrar får inte förvaras på samma plats som de primära servrarna. Mer om detta se Backuprutiner.

Krav för virusskydd och brandväggar
Låt oss i denna del först reda ut begreppen virus och brandvägg för att sedan kunna förstå varför och hur vi ska skydda oss.

Ett virus eller en såkallad skadlig programvara är ett program som körs via andra vanliga program som finns på datorn. Virus sprider sig på datorn och utför uppgifter för att skada datorn eller dess information. Ett virus sprider sig genom att det kopieras från dator till dator. Idag finns en mängd virus och andra hot som till exempel trojanska hästar, maskar (worms) eller såkallade makrovirus som är skadlig programvara som utger sig för att vara ett vanligt program. Man har ofta sett denna typ av programvara i samband med pokerspel på nätet och annan underhållning. Idag finns även en mängd virus som sprider sig via mail där användarna luras att klicka på en fil som sedan innehåller ett eller flera virus.

För att skydda sig mot skadliga programvara av alla och olika slag behöver vi välfungerade antivirusprogram installerade på de datorer som finns i nätverket men även på servern.

Ett antivirusprogram skyddar datorn genom att söka efter och ta bort skadlig programvara.
Programmet jämför kända (och okända) virus med filerna på datorn för att se om koden känns igen ”fingeravtryck”. Eftersom ett antivirusprogram bygger på tekniken att det känner igen skadlig kod från förut kända virus är det av stor vikt att vi uppdaterar virusprogrammet regelbundet så att vi hela tiden har de senaste skydden per automatik.

För att ytterligare skydda oss från hot och angrepp behöver vi en såkallad brandvägg.
En brandvägg är vårt yttre försvar mot de hot som finns. Brandväggens uppgift är att förhindra oinbjudna gäster att ta sig in i nätverket och de datorer som ligger i det. En brandvägg kan förekomma både som hårdvara och mjukvara men jag kommer här inte gå in på specifika modeller. Brandväggen avgör om en besökare inbjuden eller oinbjuden får komma in i nätverket och stoppar de som inte har tillåtelse att ta sig in i nätverket. En brandvägg kan även avgöra om data som kommer inifrån nätverket ska släppas ut eller inte.
För att vara säker på att inte obehörig information tar sig varken in eller ut ur nätverket bör vi här sätta hårda restriktioner för hur brandväggen ska agera.

Det är alltså av stor vikt för företaget att både ha en brandvägg och ett välfungerande virusskydd för att skydda datorer och data för angrepp och skadlig programvara som finns.

Backuprutiner
Hur mycket man än skyddar sig mot både intrång, skadlig programvara eller brand kan man inte vara helt säker. Därför är backup det absolut viktigaste skyddet för att säkerställa säkerheten och för att säkerställa att vi aldrig förlorar information vi lagrar.

Backup betyder att man säkerhetskopierar filer och program eller till och med hela systemen för att vara säker på att det alltid finns en kopia av det vi lagrar på våra datorer och servrar.

Genom att ha en välfungerande backup kan vi vid problem snabbt vara igång igen utan att ha förlorar avgörande och viktig data. Utan en backup vid en crash skulle företaget få stora problem och kostsamma påföljder.

Beträffande processen av backup är mitt förslag att denna tjänst läggs ut på utvalt företag. Om vi har våra backup servrar i samma hus som våra primära servrar innebär det en säkerhetsrisk vid brand eller annan skada som vattenläcka. Servrarna ska därför placeras på avstånd från företagets lokaler. Genom att lägga ut denna tjänst på ett annat företag kan vi få dagliga backuper vilket i detta fall är ett måste. Vi kan också vara säkra på att även vid strömavbrott kommer våra backup servrar att vara igång. Denna typ av tjänst är vanligt förekommande och är en mer ekonomisk lösning än att hantera backupen själv.

Användare (Användarautentisering)
Vi bör ha en utarbetad strategi för att verifiera att de användare som använder våra system verkligen är vem de utger sig för att vara. Här bör system för att logga uppgifter utförda av varje användare finnas och även väl fungerande användarautentisering. Idag kan ett lösenord bli knäckt med relativt enkla medel vilket gör att man måste se över sin säkerhet kring lösenord och användarnamn. För att som företag ligga i framkant vad gäller användarautentisering bör vi därför titta på alternativa lösnignar för att verifiera användarna och dess säkerhet. Jag kommer kort att presentera några vanliga metoder för att autensiera användare.

Genom att tillsammans med lösenord autensiera användaren beroende på placering kan man säkerställa att personen som använder datorn är på den fysiska plats man vill att den ska vara på.

Innehav är en annan metod för att säkerställa användaren. Här kan man använda sig av ett säkerhetskort eller en så kallad usb nyckel för att bekräfta användaren. Detta innebär att ingen utan detta ”innehav” kan komma åt den skyddade datan.

Egenskap är en annan metod att autensiera användaren. En egenskap i detta fall skulle till exempel kunna vara röstigenkänning eller fingeravtryck som finns på många av de datorer som används på marknaden idag. Detta kan tyckas vara en av de säkraste metoderna då det är svårt att kopiera ett fingeravtryck men kan möta motstånd hos personal då man kanske inte alltid är villig att lämna ut dessa uppgifter.

Övrigt
Sammanfattningsvis kan nämnas att en kombination av ovanstående förslag skulle enligt mig vara en välfungerande IT och datasäkerhet för ett företag i denna storlek med ytterst känslig information.

Att tillägga är att företaget också bör tänka på att uppdatera alla programm regelbundet för att undivika säkerhetsbrister i programvaran som används. Detta gäller operativsystem och alla program som används på datoreran. Man bör också ha strikta regler för vad som får och inte får installeras på respektive dator och bör därför begränsa användarnas rättigheter på datorerna till att bara använda. Istället bör IT ansvariga utses för att tillhandahålla uppdateringar och installation av program.

Slutligen kan sägas att säkerheten bör och ska uppfylla kraven för ISO/IEC 17799 som är en internationell standard för informationsteknologisäkerhet (IT-säkerhet).

Nu till diskussionen om man får länka till en hemsidas huvudsida eller undersida hur som helst. Det finns här många olika synsätt och svar på frågan och än har ingen direkt lag tagits fram för att reglera detta. Däremot finns en hel del rättsfall där domstolen har fastslagit att det inte är något brott att länka till en webbplats. Om webbsidan inte med tekniska medel försöker att förhindra att länkning sker är det alltså okej att länka hur som helst till en annan webbsida både huvudsida och undersida. Rätten har alltså inte bara fastslagit att det är ok att länka till en webbplats utan även att alla sidor som inte skyddas likställs när det gäller länkning. Om detta inte var ok skulle till exempel sökmotorerna få stora problem eftersom de länkar till miljontals siter världen över och crawlar innehållet på dessa dagligen.

För att ta upp en länkning som däremot inte är tillåten kan nämnas så kallad frame länkning. Alltså där man visar innehållet från en annan webbplats på sin egen hemsida genom en frame. Då detta kan komma att se ut som att innehållet ligger på din site bryter detta alltså mot copyright lagar.

För att kort summera kan vi alltså konstatera att det är tillåtet att länka både till en startsida och en undersida på en webbplats så länge inte webbplatsens ägare har skyddat innehållet. Man får inte från sin sida ha en frame med en annan webbsidas innehåll och på så sätt länka eftersom det då bryter på copyright lagar. En länk ska alltså öppnas i ett nytt fönster eller ”ta över nuvarande fönstret” så att det är tydligt att detta alltså är en annan webbsida.

Diskussioner och rättsfall har även dykt upp om huruvida man får länka till sidor med olagligt innehåll. I sverige har domstol utalat sig att det inte var ett brott att länka till en sida med olagliga mp3 filer. Detta blir dock en annan intressant diskussion.

SQL-dialekten i access är inte lika avancerad som flera andra ”aktörer” men den är väldigt lätt och strukturerad vilket gör den lättanvänd och användarvänlig. Access har stöd för Kommandot TRANSFORM som används för korsfrågor vilket till exempel ANSI SQL inte har. Det finns självklart en mängd andra stora och små skillnader i olika kommandon och utformningar men i stort sätt är ändå grunden den samma känns det som.

Vi beräknar med att ha den nya webbsidan uppe inom en vecka. Besök oss gärna igen och se vad vi kan erbjuda dig eller ditt företag.

Vill du komma i kontakt med oss kan du maila
info@bluemonkeyproductions.se