Det trengs et fundamentalt skifte i hvordan vi tenker kyber- og informasjonssikkerhet, skriver kronikkforfatter Roar Sundseth fra Watchcom. (Bilde: Maksim Kabakou/Alamy/All Over Press)

Uansett hva du gjør – det er ikke godt nok!

KRONIKK: Radikal endring må til for å endre den digitale sårbarheten.

Overskriften her kan nok virke provoserende på noen og jeg kan vel også beskyldes for å kaste stein i glasshus, ansatt som jeg er i IT-sikkerhetsbransjen.

Det får nå så være. Jeg har sett den digitale skriften på skjermen og budskapet er absolutt ikke hyggelig!

Med sommerens omfattende og målrettede epostangrep rettet mot norsk olje og energisektor og nå sist digi.no sin artikkel fra torsdag 27. november som omtaler en undersøkelse gjennomført for selskapet NTT Com Security, kan vi alle bli skremt.

Undersøkelsen viser at Norge er jumbo på IT-beredskap. Mens 83 prosent av norske ledere regner med at virksomheten vil bli utsatt for sikkerhetshendelser i framtiden er det bare 38 prosent som hevder de har en oppegående strategi for informasjonssikkerhet og 34 prosent som har en konkret plan for håndtering av sikkerhetshendelser.

Generalmajor (P) Roar Sundseth er senior­rådgiver strategisk kybersikkerhet, Watchcom Security Group
Generalmajor (P) Roar Sundseth er senior­rådgiver strategisk kybersikkerhet, Watchcom Security Group

Årets mørketallsundersøkelse fra Næringslivets Sikkerhetsråd tegner også et dystert bilde av den digitale sikkerhetssituasjonen i Norge. Loggdata fra Nasjonal Sikkerhetsmyndighet (NSM) og sikkerhetsfirmaet Mnemonic viser at et større antall virksomheter opplever datainnbrudd enn det som rapporteres. Videre tyder svarene på at det er manglende kunnskap om informasjonssikkerhet ute i bedriftene. Vurderingen i rapporten beskriver et sammensatt trusselbilde der trusselen også kommer fra aktører med klart motiv, kompetanse og ressurser.

Undersøkelsen viser også at norske virksomheter ikke har oversikt over hvilke verdier de besitter. Videre framgår det at NSM nå ser en markant økning i målrettede angrep mot norske interesser. Dette er målrettede angrep hvor angriperen har et tydelig ønske om å hente ut informasjon. Lykkes angriperen?

En undersøkelse gjort av det amerikanske Center for Strategic Studies i samarbeid med sikkerhetsselskapet McAfee har anslått de norske kostnadene i 2013 til 0,64 prosent av BNP, det vil si 19 milliarder kroner. I disse beregningene er det også tatt med estimerte investeringer i og drift av forebyggende sikkerhet.

Nå kan vi ikke fortsette å ignorere det faktum at jo mer penger vi bruker på å sikre vår IKT, jo vanskeligere ser det ut til å bli å sikre systemene våre mot kompromitteringer.

For å kunne forstå hvordan trusselen utfolder seg er det viktig å innse følgende:

  • Angriperen vil alltid ha en høyere motivasjon og belønnes bedre for å trenge inn i våre nettverk enn hva vi har igjen for å holde han ute.
  • Angriperens sjanse for å lykkes er høyere enn vår.
  • Angriperen trenger bare å lykkes én gang med å finne en sårbarhet som kan utnyttes, mens vi må lykkes hele tiden og 100 prosent for å kunne forhindre ett angrep.

Det koker derfor ned til at en avansert og utholdende angriper alltid vil lykkes til slutt. Vårt fokus må derfor endres til neste forsvarslinje – begrense skaden som kan utøves.

Faktum er at få av de teknologiske verktøyene som er tilgjengelig for forsvareren i dag er effektive i forhold til de angrepsmetodene som brukes.

Modent for skraphaugen

Selv de store internasjonale sikkerhetsleverandørene som har gjort sitt beste for å melke markedet med høy fortjeneste gjennom salg av utdatert sikkerhetsprogramvare som fokuserer på brannmurer og signaturbasert identifikasjon av trusler, vedgår nå at et kyberforsvar basert på dette er modent for skraphaugen.

Utfordringen vår er at det i dag finnes få teknologiske alternativer som er effektive mot de angrepsvektorene som blir mer og mer vanlige. Alt for ofte blir våre sikkerhetsstrategier utviklet med basis i allerede tilgjengelige verktøy og teknologier som enkelt blir overvunnet av angriperen, heller enn basert på en dypere forståelse av dagens trussellandskap.

Det som trengs er et fundamentalt skifte i hvordan vi tenker kyber- og informasjonssikkerhet.

Selv om så å si alle seriøse aktører i sikkerhetsbransjen er enige i at det å fullstendig stoppe en inntrenging er nærmest umulig, er det få sikkerhetsplaner som er utarbeidet som er bygget rundt en erkjennelse av at uansett hvor mye man bruker av ressurser og hvor sofistikert forsvarsmekanismene er, så vil en tålmodig og målbevisst angriper til slutt finne og utnytte en sårbarhet som muliggjør kompromittering.

Hvis vi skal ta denne erkjennelsen på alvor må vi ha hovedfokus på å bygge, teste og vedlikeholde en robust og helhetlig hendelseshåndteringskapasitet.

På den ene side, hendelseshåndtering krever samarbeid, åpen kommunikasjon, gjennomsiktighet og ansvarliggjøring av ”aksjeeiere” fra mange forretningsfunksjoner som IT, juridisk, HR så vel som øverste ledelsesnivå.

Tradisjonelt opererer disse funksjonene gjerne i siloer fordi det er enklere for virksomhetene å tildele oppgaver, fordele budsjett og ressurser, beregne fortjeneste og tap og vurdere utførelse for en enkelt avdeling, framfor å forholde seg til et noe som ”flyter” over flere avdelinger. For å kunne endre på dette må organisasjoner endre bedriftskulturen i en ledelsesstyrt prosess hvor samarbeid er forventet og budsjetter, personell og andre ressurser blir øremerket for en hendelseshåndteringsfunksjon sentralt i virksomheten.

For det andre, selv om det er et faktum at det globale kybersikkerhetsmarkedet er i vekst har sikkerhetsindustrien svært få gode løsninger som støtter hendelseshåndtering og er sånn sett fortsatt opphengt i brannmurer og antivirusprogrammer.

Uansett hva du gjør – det er ikke godt nok!

Hvis utfordringen med kybersikkerhet blir overlatt til IT-folkene alene for at de skal løse problemet, vil de nesten hver gang lete etter teknologiske løsninger.

Denne påstanden fra min side er ikke et uttrykk for kritikk av IT-folk, men heller et utsagn som reflekterer den treningen og det tankesettet som IT-personell har, så vel som at det er et bilde på ITs manglende innflytelse på organisasjonens totale gjøren og laden.

Når det er sagt, teknologi må spille en sentral rolle i et hvert informasjonssikkerhetsprogram. Spesielt viktig er teknologi i forhold til analyse av data og sammenstilling av logger som kan gjøre det mulig å komme inn i forkant av et angrep som planlegges og sånn sett redusere negative konsekvenser. Men selv den beste teknologien fungerer ikke uten de rette folkene til å lede implementeringen og bruken av den. Trenede sikkerhetsanalytikere er etterspurte, men vi har for få av dem.

Et virkemiddel for å redusere risiko i forhold til den menneskelige faktor er bedre utdannelse, bevissthet og trening/øvelse. Et økt anstrengelse for å øke sikkerhetsbevissthet og trening og øving må ikke fokusere på hvordan informasjon distribueres, men drives av behovet for endring av adferd.

Hvis det er slik at det er den enkelte medarbeider som er angriperens inngangsportal for de fleste angrep, ja da må de utdannes på og bevisstgjøres om de interne og eksterne trusler som de vil være utsatt for og ikke minst: Alle må ansvarliggjøres ut fra det faktum at de er virksomhetens «1. linjeforsvar».

En slik tilnærming kan bare skje gjennom et tett og nært samarbeid mellom IT sikkerhets-funksjonen og HR-funksjonen om et helhetlig og tilrettelagt treningsprogram som fokuserer på å identifisere og beskytte mot virksomhetens sårbarheter samt vedlikeholder et kontinuerlig arbeid med dette gjennom øvelser og trening.

Beskrivelsen av kybersikkerhetssituasjonen i Norge i Mørketallsundersøkelsen og sist sommers omfattende målrettede epostangrep, gjør at det nå er på sin plass å reflektere over hva vi kan lære fra de angrepene som norsk privat og offentlig sektor blir utsatt for. Ikke minst hvis vi selv vil unngå å bli det neste offeret, eller hvis det er uunngåelig, at vi sørger for å være forberedt på å reagere med basis i kunnskap og kompetanse om kybersikkerhet når angrepet skjer.

Kybersikkerhet er en del av alle organisasjoners kjernevirksomhet – det er ikke et område som bare kan overlates til IT-sikkerhetsavdelingen.

Vi er nå ved slutten av 2014 – vet du hvor organisasjonens kritiske digitale data er? Det burde være et enkelt spørsmål, men det er det ikke. En ting er at IT-avdelingens hovedrolle jo er å drifte systemer heller enn å passe på informasjon og data. Noe annet er at som oftest vil svaret på hva som er organisasjonens kritiske data være avhengig av hvem du spør.

Planavdelingen vil svare at det er virksomhetens intellektuelle eiendom. Investeringssiden vil svare at det er finansielle data og vurderinger. HR vil svare at det er personopplysninger om ansatte. Dessverre for de som har ansvaret for sikkerheten så har de alle rett.

Selv om mange bedrifter og virksomheter tilsynelatende er enige i at kybersikkerhet er noe som vedrører flere enn IT-avdelingen, behandler de fleste fortsatt dette området som et teknisk problem. Ny teknologi kan gi oss kraftfulle verktøy for å forsvare oss i kyberrommet, men disse verktøyene kan være svært kostbare og kompliserte å bruke. Noe som bidrar til en oppfatning av at det er nødvendig med en avveining mellom sikkerhet og effektivitet. Denne oppfatningen synes dessverre å være framherskende i alt for mange virksomheter.

Kybertrusselen representerer en betydelig risiko for alle virksomheters kjerneprosesser. En effektiv behandling av kyber- og informasjonssikkerhet krever involvering og tett samarbeid mellom alle ledd i en organisasjon, IT, sikkerhetspersonell, juridisk, ledelse, HR og styremedlemmer. God sikkerhet kan ikke lenger oppnås med brannmurer og antivirusprogrammer alene. Kyber- og informasjonssikkerhet er en strategisk utfordring og krever at kybertrusselen møtes med en strategisk tilnærming til sikkerhetsarbeidet.

Angriperen vil klare å komme gjennom – vi må være klare for det

Vi må anta at våre brannmurer og antivirusprogrammer ikke vil klare å stoppe alle angripere og derfor etablere en 2. linje i vårt forsvar som skal beskytte våre mest kritiske data fra å komme i hendene på uvedkommende.

Det å ha gjort tiltak for og ha verktøy som kan identifisere mistenkelig oppførsel som indikerer tilstedeværelse av en inntrenger i våre systemer, er en kritisk faktor i alle moderne kyberforsvarssystemer.

Men den største utfordringen for mange virksomheter og bedrifter er å rekruttere og beholde tilstrekkelig kvalifiserte analytikere til å opererer disse verktøyene. Uten disse ekspertene blir verktøyene lite effektive. På tross av dette, alle virksomheter må nå endre fokuset i kybersikkerheten til å prioritere overvåkningssystemer som oppdager og kontrollerer inntrengere. Det viktigste å forstå og akseptere er at kapasiteten til hendelseshåndtering i organisasjonen må være kjernen i en kybersikkerhetsplan. En slik plan må være basert på erkjennelsen av at det ikke er mulig å stoppe alle angrep. En god plan må også kontinuerlig fornyes for å holde tritt med et trusselbilde som er i kontinuerlig endring.

Ikke glem innsidetrusselen – den er også der

På tross av alle gode intensjoner, ansatte bidrar ofte til å forsterke et sikkerhetsproblem som de gjerne skulle ha vært foruten. Hvorfor det?

Svært ofte har de ansatte ikke gjennomgått noen kybersikkerhetsopplæring – en nøkkelfaktor i arbeidet med å endre adferd i forhold til å tenke før man trykker. Virksomheter som har skjønt det, responderer på denne trusselen gjennom orienteringer og sikkerhetstrening for å endre ansattes adferd og gjøre medarbeiderne til den mest verdifulle faktoren i et effektivt kybersikkerhetsprogram. kybersikkerhet dreier seg om 20 prosent teknologi og 80 prosent den menneskelige faktor.

Et effektivt sikkerhetsprogram må gi de ansatte mer enn bare å fortelle hva som er tillatt og hva som er forbudt. Et slikt program bør også dekke følgende områder:

  • Beskrive bestemte angrepsmetoder som truer egen virksomhet.
  • Gi eksempler på angrepsforsøk og ikke minst tidligere vellykkede angrep på egen virksomhet.
  • Beskrive for de ansatte hva konsekvensene vil kunne være av et vellykket angrep.
  • Trening av de ansatte i å gjenkjenne og øyeblikkelig rapportere mistenkelige eposter.
  • Legg til rette med praktiske løsninger som gjør at de ansatte fortsatt kan utføre sine arbeidsoppgaver effektivt og sikkert. Dette for å redusere «sikkerhetskostnadene» i en vurdering av hva som er mest økonomisk og praktisk for den enkelte medarbeider.

Det å redusere tiden det tar å oppdage og håndtere en angriper reduserer også kostnadene våre forbundet med en inntrenging i virksomhetens systemer

Det å ikke oppdage og forstå at et kyberangrep er i emning, før det utvikler seg til å bli en katastrofe for oss, er dessverre nå det vanlige.

Hurtig reaksjon fra vår side er blitt enda vanskeligere å oppnå, ikke minst fordi angriperen i dag er raskere enn han brukte å være. Hver dag en kompromittering får lov å fortsette uoppdaget vil koste oss mer, ikke bare i penger men også i omdømme og i forhold til eventuelle tap av kunder og søksmål i ettertid.

Så snart et kyberangrep er oppdaget og forstått, kan en effektiv og hurtig gjenopprettelse av normalsituasjonen for systemene, redusere våre kostnader, finansielle og menneskelige.

Juristene må ha et sete ved bordet når hendelseshåndteringen planlegges og gjennomføres

Et troverdig ledelsessystem for kyber- og informasjonssikkerhet må baseres på en helhetlig krisestyringsmodell hvor IT og juridisk side på forhånd har blitt enige om en felles plattform for respons på hva som måtte skje. Hvorfor er det viktig? Selv for veltrenede IT-medarbeidere og IT-konsulenter kan det være vanskelig å se de juridiske implikasjoner av et angrep som fører til tap av sensitiv informasjon. For eksempel kan de ha problemer med å forstå viktigheten av å etablere en klar og fullstendig journal med beskrivelse av hvilke handlinger som gjøres. En slik logg er viktig for at juristene skal ha den dokumentasjonen de trenger for å kunne bygge et tilfredsstillende forsvar mot eventuelle søksmål som måtte komme i ettertid.

Det å ha juridisk side med fra starten av hendelseshåndteringen kan også redusere tiden det tar før myndighetene og publikum informeres om hva som har skjedd, noe som ikke minst kan hjelpe i forhold til å fronte mot anklager om at responsen har vært for sein og har ført til større skader enn nødvendig.

Alt dette fører også til at det er helt nødvendig for virksomhetens øverste ledelse å være klar til å forklare i detalj hvordan sensitiv informasjon kunne kompromitteres på deres vakt. Spørsmål de må være forberedt på å svare på kan være:

  • Hvordan kunne angriperen komme seg inn i systemet?
  • Hvorfor klarte dere ikke å stoppe angriperen?
  • Hvilke tiltak var iverksatt for å oppdage og forhindre et slikt angrep?
  • Når var siste gang ledelsen evaluerte effektiviteten til iverksatte tiltak og hvordan ble denne evalueringen gjennomført?
  • Hva kunne du ha gjort og hva burde du ha gjort for å forhindre dette angrepet som resulterte i tap av sensitiv informasjon fra virksomheten selv og fra deres kunder?

Hvis du skutter deg når de leser disse spørsmålene og tenker at dette er hva du kan bli utsatt for, ja da har du en jobb å gjøre, nå!

Det «gamle» sikkerhetsparadigmet er brutt. Det er av kritisk viktighet for oss å forstå hvordan angriperen tenker, ikke bare kjenne igjen hvilke angrepsverktøy de bruker.

Vi kan ikke lenger stole på at antivirusprogrammene, som for øvrig er helt avhengig av å kunne gjenkjenne en kjent og veldefinert trussel, stopper angrepene.

Nå er det på tide med en tilnærming til kybersikkerhetsledelse og hendelseshåndtering som prioriterer de ansattes adferd og motiverer dem til å forstå hva som er virksomhetens viktigste verdier, hvor disse er lokalisert og også identifiserer mulige sårbarheter samt mottiltak som kan treffes mot truslene.

Vi må akseptere at det ikke er mulig å holde alle angripere ute fra våre systemer. Istedenfor å fokusere på å nå et umulig mål er nøkkelen til god sikkerhet å identifisere og isolere kritiske data slik at når angriperen kommer seg inn, vil han bli oppdaget raskt og få store vanskeligheter med å stjele verdifull informasjon.

Til slutt, forsvarssystemene må konstrueres slik at de ikke bare forsøker å hindre vellykkede angrep, men søker å komme angrepet i forkjøpet ved å gjenkjenne mønstre og signaler som varsler om et forestående angrep som er underveis.

Ingen tvil om at det er mye arbeid med kyber- og informasjonssikkerhet som ligger foran oss. Kanskje kan det være en trøst for virksomheter og bedrifter i offentlig og privat sektor her i Norge at vi kan oppnå en rask framgang på området så snart vi klarer å endre vår tilnærming til og tankesett rundt kybertrusselen.

Det er en trussel vi alle vil møte. Før eller siden.

Delta i debatten
Informasjon om debattinnlegg og kronikker i digi.no

Alle innlegg må sendes til redaksjon@digi.no. Husk å legge ved et portrettbilde. Vi forbeholder oss retten til å redigere innsendt materiale.

Til toppen