På de eWangeniske tekster skrevet som en del av det digitale Mjøspergamentet står det ti profetier om cybersikkerhet i årene 2020 og fremover:
1. Trenden med svake passord, dårlig passordhygiene og gjenbruk på tvers av tjenester består!
På tross av utallige dommedagsprofetier om passordenes død så kommer passord til å være den dominerende måten å autentisere på nett i årene som kommer. Forskjellige biometrier vil prøve å ta over, men ettersom innovasjon i angrepsmetoder mot biometri utvikler seg så vil passord fortsatt dominere (i hvert fall på PC og laptop). Passord og fraser har vært i bruk i en eller annen form i tusenvis av år og det ser ikke ut til at de blir byttet ut med det første. Mengden passord vi må håndtere kombinert med generell lav kompetanse gjør at svake passord vil bli valgt og gjenbrukt. Passordmanagere er kjempefine verktøy, men har for høy terskel for de fleste brukere. Dette betyr at favoritter som «Sommer01!» og «Fido1234» fortsatt vil gi tilgang, og at passordknekkingens kunst fortsatt vil bestå av n+1 bakerst på kjente passord.
2. Det blir mer snake oil
Den evige troen på at produkter løser sikkerhetsproblemer vil bestå og illusjonen vil understøttes av ivrige selgere i et ekspanderende marked. Cybersikkerhet er mye arbeid hvor det må investeres i folk, prosesser og til slutt teknologi. I den rekkefølgen. Mengden fancy produkter med «Cyber», «AI», «Deep learning», «Next generation», «Cloud», «Zero trust» og «Blockchain» vil øke, men så lenge det fortsettes med å investeres i teknologi før folk og prosesser, så forblir sikkerhetsproblemer uadresserte. Det blir heller ikke etablert noe rigid testregime for å måle effekten av sikkerhetsløsninger (slik som f.eks. av nye medisiner). Har du forresten hørt om stjerneforskeren som gjorde karriere av å bevise effektiviteten av populær sikkerhetsteknologi? Ikke jeg heller. Det er «Zero days» med et salgbart navn, gimmick og hjemmeside som bygger en forskerkarriere i cybersikkerhet. Selv om det er effekttesting vi fortsatt trenger. Altså har vi ideelle forhold for mer snake oil.
3. Ingen umiddelbar løsning på sosial manipulasjons-problemet i horisonten
Kost/nyttevurderinger tilsier at dette er den mest lønnsomme strategien for kriminelle. Phishing har snart eksistert i 30 år og alt tilsier at det kommer til å holde på i 30 år til. Vi kommer til å fortsette med å være avhengige av epost og være eksponerte for phishing. Og hvis det mot all formodning skal komme et reelt alternativ til epost, så drar vi med oss angriperne over og opplever gamle triks på nye plattformer. I tillegg så er det vanskelig for leverandører å forhindre eller tjene penger på noe så kjedelig som phishing-angrep. Det er ikke cyber. Jeg spår at 99 prosent av Norges sikkerhetseksperter vil ytre ordene «e-post er ikke sikkert» i årene som kommer.
4. Phishing og sosial manipulasjon fortsetter med å være angrepsvektor i rundt 90 prosent av alle alvorlige angrep, men majoriteten av nye sikkerhetsprodukter fortsetter med å fokusere på de resterende 10 prosentene
«Zeroday exploit» og «Advanced persistent threat» høres kult ut, drar oppmerksomhet og selger, men utgjør knapt nok toppen av risikofjellet for de fleste norske bedrifter. Det gir ikke mening å snakke om APT og zero days før grunnsikringen er på plass. Lite vits i å dra på threat hunting hvis det er tusen hull i den grunnleggende infrastrukturen. Da snur bare angriperen i døra.
5. Det må fortsatt smelle før ledelsen ser alvoret
Denne snakker egentlig for seg selv, men trenden med at bedrifter og organisasjoner ikke tar sikkerheten på alvor før det smeller skikkelig kommer til å bestå. Så lenge ledelsen primært tenker profitt så er forebyggende sikkerhetsarbeid bare en utgift. Og bortsett fra store smell så kommer vi fortsatt ikke til å ha peiling på hvilken bevissthetsopplæring vi skal velge: Å få tilsendt en mistenkelig phishy epost en sjelden gang med en lenke til en lite engasjerende elæringsmodul, har høyst sannsynlig minimal effekt og skaper ikke akkurat entusiasme. Skulle vi ikke la være å trykke på lenker?
6. Vi fortsetter med å gå på trynet i risikostyring
Troen på det at å gjennomføre en risikovurdering og hake av check-boxen er det samme som risikostyring kommer til å bestå. Risikostyringsprosessen er den viktigste i sikkerhetsarbeidet, men det er en prosess og ikke en aktivitet. De fleste kommer til å fortsette med å hoppe bukk over grunnleggende aktiviteter som kartlegging av kritiske informasjonsverdier og tjenester. Dette droppes fordi det er krevende, mye arbeid og kjedelig. Det er mye enklere å kjøpe et produkt! Risikostyring inneholder mye mer enn å opprette en CERT, CSIRT eller SOC, men fokus kommer til å fortsette med å være på sistnevnte, siden det er mer cyber og trusler er mer spennende enn verdivurderinger.
7. Løsninger med innebygde bakdører i software kommer til å bestå
Trenden med bakdører, plassert både med og uten ondsinnet hensikt, har eksistert i over 30 år i cyber og tusenvis av år innenfor andre teknologier. Denne består i 2020 og årene som kommer både for software og hardware. Dette fordi at det som leverandør er luggumt å bare kunne logge inn når man skal gjøre endringer. Etterretningstjenester kommer også til å fortsette arbeidet med å få plassert inn bakdører i kritisk infrastruktur fordi det er dette de lever av.
8. Vi kommer til å fortsette trenden med å produsere sårbar software
Det er nå relativt kjent hvordan man skal produsere sikker software, men det er mye arbeid og krav til time-to-market dikterer at produktet må ut så tidlig som mulig. Så «Sikkerhet tar vi til slutt!», «Kanskje brukerne kan finne hullene for oss?» og «Bug bounty!» er mantraer jeg spår vil fortsette med å stå sterkt i årene fremover. Har du forresten lest EULAen!?
9. Alle, bortsett fra Datatilsynet og noen få hvite riddere, kommer til å fortsette med å gi blanke i personvern så lenge tjenesten er bra nok.
Erfaring tilsier at den menige mann og kvinne ikke bryr seg om at de betaler med personopplysninger så lenge tjenesten er bra nok. Denne trenden vil fortsette med IoT og annen invaderende teknologi. Folk vil fortsette med å sende DNAet sitt til eksperimenter i USA og India i bytte mot litt innsikt i familietreet sitt. Selvsagt uten å ofre en tanke på at de avgir informasjon om seg selv, slekt og arvinger. Den nye generasjonen unge vil trolig også ta for gitt at online-tjenester betales med personopplysninger.
10. Sikring av integriteten i leverandørkjeder vil fortsette som et økende sikkerhetsproblem
Kompleksiteten i software og systemer vil fortsette å øke. Softwareleverandører vil bruke komponenter produsert og vedlikeholdt av andre, og disse «andre» vil i flere tilfeller ha benyttet kode de har funnet på internettet. Dette vil igjen føre til at det blir svært vanskelig å holde oversikt på hva som er og gjør hva. Denne sårbarheten vil i økende grad være «veien inn» for ressurssterke aktører.
Godt nytt cyber-tiår!
