Forsvar mot kyberkrig krever innsats fra alle

Også individer og bedrifter må kunne forsvare seg mot kyberkrig, sa Bush' rådgiver for IT-sikkerhet Richard Clarke på Microsofts sikkerhetskonferanse.

Etter terrorangrepene mot USA 11. september i år bestemte regjeringen til president George W. Bush seg for å reorganisere alt som har med sikkerhet, også IT-sikkerhet, i den offentlige administrasjon. 8. oktober ble Office of Homeland Security opprettet for å koordinere utarbeidelsen av en nasjonal strategi og forsvar mot terrorisme. Richard Clarke, medlem av National Security Council siden 1992, fikk ansvar for alt som har med IT-sikkerhet, og rapporterer direkte til presidenten. Talen på Microsoft-konferansen Trusted Computing var hans første offentlige opptreden etter 11. september.

Clarke brukte anledningen til å kommentere en rekke aktuelle saker, blant annet arbeidet med regjeringens lukkede intranett Govnet, den nylig vedtatte loven om kybersikkerhet og personvern ("Patriot Act of 2001") og IT-bransjens forslag om felles nasjonalt ID-kort. Men hovedvekten ble lagt på kyberkrig og at alle må være med på å betale for det IT-forsvaret koster.

- Våre fiender er smarte. De vil bruke, har brukt og vil fortsette å bruke vår teknologi mot oss, sa Clarke, og understreket at han ikke bare snakket om Osama bin Laden og Al-Qaida, men også om fiendtlig innstilte stater og andre fiender. - På mange måter er vår informasjonsinfrastruktur skrøpelig, fordi det er ikke bygget for å gjøre alt det vi krever av det til å støtte opp om vår økonomi.

Når infrastrukturen skal rustes opp for å stå i mot trusselen, vil det kreve penger, poengterte Clarke. Han startet med personlige brukere som kan gjøres til ufrivillige medhjelpere i et distribuert tjenestenektangrep med mindre de spanderer på seg en brannmur, og forlangte at også bedrifter slutter å betrakte sikkerhet som noe andre kan betale for.

Clarke understreket at myndighetenes reorganisering krever en ny politikk, og skisserte hvordan man tenker seg å innhente bidrag fra alle i et kontinuerlig oppdatert strategidokument som aldri skal trykkes, men bare gjøres allment tilgjengelig på Internett.

- Planen skal kun eksistere i kyberrom for å vise kyberrommets betydning i kyberrommets forsvar.

Clarke mener at forslaget om et lukket offentlig intranett, det såkalte Govnet, har vært misforstått. Det er en formalisering av noe som delvis er implementert allerede. Clarke disponerer selv tre PC-er, koplet mot felles skjerm, der en har Internett-forbindelse, mens de andre er koplet mot høytsikrede interne nettverk. Govnet betyr at departementer og direktorater skal få hvert sitt lukkede og sikre intranett, og at disse intranettene ikke skal stå i kontakt med hverandre. De skal ikke erstatte offentlig tilgjengelig informasjon og tjenester. Betingelsen for at Govnet realiseres er at kostnadene er overkommelige. Ellers skal det satses på andre løsninger. Clarke understreker at Govnet bare vil være hundre prosent vernet mot tjenestenektangrep, og nærer ingen illusjoner til at intranettene vil være frie for virus og trojanere. Men han mener smitten vil utsettes i tid, og at det i seg selv er en betydelig gevinst, forutsatt løpende fikser og antivirusoppdateringer. Han ser også for seg at Govnet kan brukes til å prøve ut sikkerhetsteknologier med tanke på seinere bruk på det åpne Internettet.

I forrige uke gikk Patriot Act gjennom senatet og representantenes hus med minimal motstand. Clarke feide alle innvendinger fra personvernhold til side ved å trekke fram utilbørlige hindringer i det forrige lovverket.

- I februar 1998 hadde uvedkommende hacket seg inn i luftforsvarets system i det vi var i ferd med å mobilisere luftforsvaret i forbindelse med en trussel mot Kuwait. Det tok oss fire dager å skaffe oss de ni ransakingstillatelsene vi trengte for å følge hackerens elektroniske spor fra internettilbyder til internettilbyder. Alle jeg har fortalt denne historien til, mener systemet ikke kan fungere slikt. Det dreier seg ikke om personvern, men om effektivitet. Å ha lover som i slike tilfeller krever at man må innhente ransakingstillatelser fra ni ulike dommere er rett og slett tull.

Clarke avviste ideen om et felles nasjonalt ID-kort som blant andre Larry Ellison og Scott McNealy har foreslått - og antydet at regjeringen vil følge hans synspunkt. Han foreslo i stedet nye krav for å godkjenne legitimasjon, med blant annet ny teknologi for å hindre ulovlig kopiering og misbruk.

- Det gjelder ikke bare i USA, men også andre land der offisielle pass ser ut som noe som kunne vært laget på tilfeldige kott.

For å beskytte Internett mener Clarke det er påkrevet med "øyer" der man må legitimere seg for å få tilgang til tjenestene. Han skiller mellom anonymitet og personvern, og mener at det å avkreve legitimasjon i praksis vil gi bedre personvern. Den som ferdes i en "øy" vet at det er trygt, siden alle andre som slippes inn også er avkrevet legitimasjon - av den nye ikke forfalskbare typen.

Til toppen