Slik kan info-katastrofen unngås

Etter 11 år som sentral IT-ekspert i Det hvite hus mener Richard Clarke at sikkerhetssituasjonen er katastrofal, og foreslår to tiltak.

Ingen taler ved den europeiske årskonferansen til RSA Security ble lyttet til så intenst som Richard Clark, den dominerende pådriveren for IT-sikkerhet i det offentlige USA, med 11 år bak seg som rådgiver for Det hvite hus. Clarke var kyberkrimeksperten til tre presidenter, og gikk av i våres etter å ha sørget for at det nye Departement for Homeland Security har tilstrekkelig fokus også på IT-sikkerhet.

Clarke begynte med å gå gjennom åtte forskjellige indikatorer som alle peker mot samme konklusjon: Sikkerhetssituasjonen innen IT og Internett er blitt drastisk forverret på svært kort tid. Det er ikke nødvendigvis nye ting som skjer, men det skjer i langt større omfang, og langt raskere enn for bare tolv måneder siden. Dette er Clarkes indikatorer:

  1. Tallet på kjente sårbarheter i programvare er doblet på to år. Statistikk for de siste ti årene viser 40.000 sårbarheter som er gjort offentlig kjent. Halvparten er nyere enn to år.
  2. Tallet på virus har eksplodert. I 2000 ble det oppdaget 21.000 nye virus. Hittil i år er det oppdaget 114.000 virus.
  3. Tallet på sårbarheter utløser et stort antall fikser. Fram til to–tre pr siden kom det opptil 5 fikser i måneden. Gjennomsnittet for de seks største programvareleverandørene er nå oppe i 30 fikser per uke. Store organisasjoner må forholde seg til opptil fem fikser per uke, mot fem per måned for to år siden.
  4. Tiden fra en sårbarhet er kjent og fram til hackere utveksler kode for å utnytte den, kunne måles i uker og måneder fram til for kort tid tilbake. Alle kunne ta seg god tid for å teste ut fiksen før de installerte den. Rekorden i år er seks timer, fra en sårbarhet ble kunngjort til utnyttende kode ble gjort tilgjengelig i samtaleområder for hackere.
  5. I juli 2001 satt Code Red rekord for hurtigspredende ormer, med 300.000 infeksjoner på 26 timer. I februar i år satte Slammer en ny rekord. Den nådde 300.000 infeksjoner på bare 14 minutter.
  6. Ingen vet hvor mye ormer og virus koster, fordi det rapporteres ikke. Det beste anslaget Clarke har funnet, tyder på 38 milliarder dollar i fjor. Den samme anslagsmetoden anvendt på 2003 tyder på 119 milliarder dollar i ødeleggelser hittil i år.
  7. Det amerikanske konkurransetilsynet FTC (Federal Trade Commission) gjennomførte i august i år en undersøkelse for å anslå omfanget av identitetstjuveri i USA. Anslaget for de siste fem årene var 27 millioner tilfeller, med en gjennomsnittlig kostnad på 10.000 dollar. Ni millioner av disse skjedde de siste tolv månedene.
  8. Spam har eksplodert. En undersøkelse fra april 2002 tydet på at 18 prosent av all e-post i verden var spam. Samme type undersøkelse utført i september 2003 tyder på at 54 prosent er spam.

– Det som er poenget med alt dette er trenden. Kostnader og skadetilfeller er femdoblet og tredoblet det siste året. Det tyder på at situasjonen er kvalitativt forskjellig fra i fjor, understreket Clarke.

Clarke er bekymret for angrep mot kritisk infrastruktur. Det har han vært i over ti år. Nå mener han faren er usigelig mye større enn noen gang.

– Vi vet om angrep mot kritisk infrastruktur allerede. Israel og Norge mener å ha avdekket forsøk på å ta over strømforsyningen gjennom datainnbrudd. Rørledninger i Russland er blitt hacket fra Internett. I fjor ble de sentrale navnetjenerne på Internett utsatt for tjenestenekt, og noen har notert seg nøyaktig hvor mye som skal til for å ta dem ned helt. Ormer og virus har ført til problemer for jernbaner og fly.

I tillegg til ormer, virus og angrep mot infrastruktur, mener Clarke det pågår massive angrep mot bedrifter.

– Her dreier det seg om å stjele informasjon, enten for utpressing, eller som industrispionasje. De som er flinkest til dette, blir aldri oppdaget. Du vet ikke at du er rammet før konkurrentens markedsføring eller produktlansering tar deg på senga. Du kan ikke bevise noe. Kostnadene lar seg ikke anslå. Men de er store, og de kommer på toppen av de øvrige ødeleggelsene.

Clarke advarer at de to mest brukte metodene hittil i kampen mot kyberkriminalitet – nye lover og regler, og forsøk på å avsløre, arrestere og dømme de kriminelle – ikke har noen sjanse til å lykkes.

– Offentlig regulering vil bare føre til et enda mer homogent IT-miljø, som er enda letter å angripe. Kampen mot såkalte "kyberterrorister", en betegnelse vi bør droppe fordi det er ikke Bin Laden som driver med slikt, tar bare dem som er dumme eller unge eller uerfarne. Ingen av de virkelige bakmennene til noen av de store angrepene er blitt tatt på svært mange år.

Når ikke regulering eller jakt på de kriminelle kan føre fram, hva skal man da gjøre? Clarke har to forslag: betrodde soner på Internett, og internasjonale standarder for å sikre programvare.

– Med mindre vi bruker PKI, vet vi ikke om vi kan stole på datapakkene som strømmer inn i IT-systemet vårt. En av årsakene er at vi ikke liker å måtte farte rundt med identiteten vår åpen for alle å se og notere seg. Jeg mener vi kan kombinere sikkerhet med personvern og anonymitet. Vi kan opprette betrodde soner på Internett der vi må legitimere oss for å få tilgang, og der en betrodd tredje part følger med i det vi gjør. Vi kan opptre anonymt overfor nettstedene vi besøker, men fordi vi har legitimert oss over en tredje part, kan nettstedet ha tillit til oss, og vi kan ha tillit til nettstedet som også overvåkes. Tenk på det, om vi kunne få til et samarbeid mellom selskaper, offentlige organer og internettilbydere for å skape soner på Internett der alle vet at de kan stole på hverandre.

Forslaget om internasjonale standarder for å sikre programvare beskrev Clarke slik:

– Grunnen til at det finnes sårbarheter er at programvaren er dårlig. Det er ingen prosess for kvalitetssikring. Jeg mener vi bør samle eksperter fra akademiske institusjoner, fra bedrifter og fra offentlig virksomhet i mange land, og få dem til å samarbeide for å lage en global standard. Den skal gjelde for utviklingsprosessen, og for å teste programvare i etterkant, før den forsynes med et stempel som forteller at den er godkjent. Det er allerede programvare for å sjekke ting som usikrede buffere. Mye av dette arbeidet kan automatiseres. Det vil spare enorme kostnader fordi ødeleggelsene vil bli færre, og fordi vi vil trenge langt færre fikser.

Clarke avsluttet med å minne om scenen fra filmen Terminator 3 der infrastrukturen kollapser og generalene får ordre om å ta over.

– Da bryter absolutt alt sammen. Akkurat dette er realistisk. Og Schwarzenegger er allerede guvernør. Han kan bli president.

Til toppen