Törs man göra några ändringar i brandväggsinställningarna eller ökar risken för haveri då? Det är en av de många frågeställningarna som lyfts fram i en undersökning som säkerhetsföretaget Tufin genomfört hos ett 100-tal företag inom branscher som telekom, finans, energi, läkemedel och transport.
Undersökningen visar att närmare hälften av företagen genomför sin hantering av brandväggar manuellt och 30 procent uppger att det är irrelevant att överhuvudtaget genomföra revidering av brandväggarna.
Jan Bau, nordenchef för israeliska Tufin, säger att han blev överraskade av att så många fortfarande sköter ändringar och regler för brandväggar manuellt. Den nya undersökningen är en uppföljare till en som gjordes för två år sedan och visar att situationen knappast har förbättrats. Den senaste undersökningen visar nämligen att det är tolv procent fler it-chefer som uppger att de kände till någon som har slarvat med en revision just på grund av tidsbrist.
– Anmärkningsvärt är också hur pass många företag som inte reviderar sina brandväggar alls. Nästan en fjärdedel har aldrig gjort några ändringar i sina brandväggar.
Experter hos både Cisco och Juniper Networks bekräftar den bild som Tufin målar upp.
– Många företag saknar fortfarande bra rutiner för hur de ska hantera regler i brandväggar. De som har det saknar dock ofta rutiner for hur man ska övervaka och plocka bort inaktiva regler, säger Junipers systemingenjör Christer Dierks.
Han anser att problemen är störst på interna brandväggar för vilka det finns mycket statiska regler.
– En stor del av problemet kan lösas genom att ange regler baserat på användarens roll istället for ip-adresser.
Det handlar om att införa system som dynamiskt ger access baserad på roll oavsett om man kommer från interna nätet eller om man kommer utifrån via fjärrinloggning.
– Då kan man ta bort mycket av den administrativa bördan av att uppdatera brandväggsregler, säger Christer Dierks.
Henrik Davidsson, säkerhetsexpert på Cisco, anser att mycket av denna problematik bygger på att företag använder olika produkter för att skydda sig med produkter från flera håll.
– De lever i illusionen att de sprider säkerhetsriskerna genom att använda flera leverantörer. Men det leder bara till mer komplex administration och krav på utbildning där den mänskliga faktorn är en reell risk.
Två av tre företag spenderar upp till en månad per år på att revidera sina brandväggar. 85 procent av respondenterna menar att upp till hälften av alla regler för brandväggar kräver ändring eller modifiering eftersom de inte anpassats tillräckligt.
67 procent svarar att deras rutiner kring säkerhetsändringar kan medföra att företaget löper risk att drabbas av haveri. Den främsta anledningen som anges är brist på rutiner (56 procent), följt av manuella processer med alltför många steg eller människor involverade (29 procent).
41 procent vet inte när en brandvägg behöver re-certifieras eller tas ur bruk. 43 procent sköter denna process manuellt.
Tufins undersökning gjordes via Survey Monkey. 30 av de 100 företag som deltog i undersökningen hade fler än 5 000 anställda.
