KOMMENTAR: HACKING AV EPOST PÅ STORTINGET

Det er særdeles naivt å tro at man kan verne seg helt

– IT-angrep på virksomheter er et stort samfunnsproblem, og vi bekjemper dem best ved økt kompetanse, bevisstgjøring, kulturendring og adferdsendring. Uttalelsen til Nils-Ove Gamlem gir oss en anledning til å drøfte hvordan, skriver kronikkforfatterne i dette svarinnlegget.

Teknologidirektør Simen Sommerfeldt (til venstre) og sikkerhetsrådgiver Knut Håkon Tolleshaug Mørch i Bouvet.
Teknologidirektør Simen Sommerfeldt (til venstre) og sikkerhetsrådgiver Knut Håkon Tolleshaug Mørch i Bouvet. (Foto: Bouvet / Digi.no)

– IT-angrep på virksomheter er et stort samfunnsproblem, og vi bekjemper dem best ved økt kompetanse, bevisstgjøring, kulturendring og adferdsendring. Uttalelsen til Nils-Ove Gamlem gir oss en anledning til å drøfte hvordan, skriver kronikkforfatterne i dette svarinnlegget.

  • Sikkerhet

Dette er en kronikk. Kronikken gir uttrykk for skribentens holdning. Du kan sende inn kronikker og debattinnlegg til tips@digi.no .

Forestill deg at du ser følgende nyheter på forsiden av «Dagens Medisin»:

  • Vaksineselger fortviler over uttalelser om at det er umulig å unngå all sykdom
  • 10.000 kommuneansatte rammet av bakterie man ikke har vaksine mot

Vi er sikre på at Digis lesere ville ha ment det var absurd. Torsdag morgen kunne vi lese at Nils Ove Gamlem – ansatt hos sikkerhetsleverandøren Check Point - hevder at det særdeles naivt av Simen Sommerfeldt å si at man aldri kan verne seg helt mot angrep. En annen overskrift på forsiden til Digi forteller oss at kommuneansatte ble rammet av et virus som var timer gammelt.

I likhet med Gamlem er vi redde for at den typen snakk fører til apati og ufarliggjøring av dataangrepene.

Teknologidirektør Simen Sommerfeldt og sikkerhetsrådgiver Knut Håkon Tolleshaug Mørch i Bouvet

Vi kjenner Check Point som en anerkjent leverandør av sikkerhetsprodukter. Om vi legger godviljen til – og det skal man – er ikke Gamlems budskap at man kan sikre seg 100 prosent, men at man kontinuerlig må jobbe for best mulig sikkerhet, fremfor å stadig påpeke at noen angrep alltid vil slippe gjennom. I likhet med Gamlem er vi redde for at den typen snakk fører til apati og ufarliggjøring av dataangrepene. Vi skulle dog ønske at han i stedet for å komme med beskyldninger, kunne kommet med konstruktive forslag om hvordan vi kan oppnå best mulig sikkerhet.

Det er faktisk umulig å beskytte seg helt

La oss utdype litt om hvorfor Sommerfeldt hevdet dette. Den 25. august skrev lederen for US Cyber Command, Paul Nakasone, en artikkel i Foreign Affairs om deres nye tilnærming til trusler i «cyberspace». Nå fokuserer de på hva som skjer på innsiden av nettverkene, fordi perimetersikring ikke lenger er tilstrekkelig. Underforstått: De har erfart at man blir kompromittert, selv om man har ressursene til US Cyber Command til rådighet. Hvordan skal da en mindre virksomhet sikre seg? 

Erkjennelsen av at det er nødvendig å ta høyde for at man før eller siden får eksterne inn i sitt nettverk, ble for alvor diskutert offentlig rundt 2010. Dette året fortalte tidligere leder for National Security Agency (NSA) Michael Hayden humoristisk fra scenen på sikkerhetskonferansen «Black Hat» at nettverk var designet som de flate slettene i mellom-Europa. Og allikevel tillot IT-folk seg å klage på at sikkerhetsnivået var dårlig. Det var også det samme året Mandiant ga ut en omfattende rapport om hvordan angripere opererte i lang tid inne på ulike nettverk. Man kan derfor si at det skjedde et paradigmeskifte i 2010: Fra den gang gikk man over til å måtte anta at man ble kompromittert. Oracle skulle nok gjerne sett at de ikke lanserte sine databaser som «unbreakable» ti år tidligere. 

Les også

Skytjenester

I artikkelen blir skytjenester nevnt, og det er et godt eksempel på de avveiningene man må gjøre knyttet til risiko. Skytjenester kan øke eksponeringen, men det fører normalt til et betydelig høyere sikkerhetsnivå. Årsakene til dette er at det er mulig å strømlinje tjenesteproduksjonen. Det er som oftest en leverandør som har kontroll på hele infrastrukturen frem til det som tilbys sluttbrukerne. Og med automatisering er det mulig å utnytte sikkerhetskompetansen på en helt annen måte enn det mindre virksomheter har mulighet til.

For mange mindre virksomheter, vil derfor skytjenester ofte være det beste alternativet for å øke det tekniske sikkerhetsnivået. Og mange skyleverandører tilbyr en sikker konfigurasjon, ved å følge anbefalinger i veiledninger som CIS Benchmarks.

Realiteten er at mange virksomheter ikke har ressurser til å sikre seg helt.

Teknologidirektør Simen Sommerfeldt og sikkerhetsrådgiver Knut Håkon Tolleshaug Mørch i Bouvet

To typer risiko

Realiteten er at mange virksomheter ikke har ressurser til å sikre seg helt, enten det er manglende ressurser til å benytte seg av nye løsninger, eller teknisk gjeld. For å øke sikkerhetsnivået, er viktig å skille mellom to hovedkategorier av risikoer:

Den ene er de hendelsene som er forventet, og ofte forekommer, som nettsteder med ødeleggende kode, eller e-post sendt for å lure brukere. I slike tilfeller er det ofte mest kostnadseffektivt - og gir bedre beskyttelse - å benytte de løsningene som deles med svært mange, som en e-postserver i skyen. Grunnen er at når man oppdager en ny trussel, kan alle brukerne beskyttes når man finner en løsning.

Den andre hovedkategorien av risikoer er de som sjeldent eller aldri skjer. De kan ha meget store konsekvenser, og er ofte resultat av målrettede angrep. I slike tilfeller er det svært vanskelig å beskytte seg mot at uvedkommende får tilgang. Det har vært mange tilfeller der det går en stund fra en sårbarhet blir oppdaget, til det finnes en patch. Også for sikkerhetsprogrammer.

Utsatte virksomheter må ta høyde for at ansatte kan bli fysisk truet eller på andre måter bli overtalt eller bestukket for å bruke en godkjent tilgang til et angrep. For å sikre seg mot slike angrep, må man for eksempel redusere muligheten for at ansattes tilgang kan gjøre skade på andre systemer, overvåke for å finne ut om det er noen som er inne i systemet, og ha en plan for å gjenopprette data og systemer.

God sikkerhet fordrer kompetanse, kulturendring og forankring i ledelsen

En lege vil trekke på smilebåndet om du forteller henne at man kan unngå all sykdom bare ved å ta vaksiner. Hun vil fortelle deg at vi for å bedre immunforsvaret må ha fokus på flere ting: Blant annet forståelse av hvordan kroppen fungerer, og om sykdommer og medisiner. Og for å bekjempe sykdommer er vi avhengige av en lang rekke tiltak som forebygging, hygiene, riktig kosthold, psykisk helse, og ja - vaksiner. Om det bryter ut Ebola blant kommuneansatte eller på Stortinget, må vi pleie og isolere de som er syke, gi dem medisin, og hjelpe dem med å

Det oppdages stadig nye sårbarheter som datakriminelle kan utnytte, og nyhetene om dem kan spre seg lynraskt i kriminelle miljøer.

Teknologidirektør Simen Sommerfeldt og sikkerhetsrådgiver Knut Håkon Tolleshaug Mørch i Bouvet

bekjempe nye utbrudd. Vi kan ikke beskylde dem for å være naive hvis de har tatt vare på helsen sin og ellers tatt sine forholdsregler.

Det oppdages stadig nye sårbarheter som datakriminelle kan utnytte, og nyhetene om dem kan spre seg lynraskt i kriminelle miljøer. Og som nevnt bruker de mest sofistikerte blant dem sosial manipulasjon for å skaffe seg adgang.

Vi kan bare oppnå god sikkerhet gjennom at virksomhetene og samfunnet jobber med kompetanse, kultur, kommunikasjon og endringsledelse – og selvfølgelig teknisk sikkerhet. Som en logisk forlengelse av dette, bør vi i bransjen debattere hvordan vi kan samarbeide om disse tingene, i stedet for å skyte på hverandre. 

Vi er bekymret for at Gamlems artikkel drar det offentlige ordskiftet i feil retning. Vi som jobber med sikkerhet på hver vår kant bør støtte hverandre og være konstruktive for å hjelpe samfunnet fremover - ikke skape et polarisert debattklima. De eneste som har noe å tjene på det motsatte er angriperne.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen