Denne kronikken er et tilsvar til denne artikkelen, hvor teknologisjef i National Cyber Security Center kommer med kraftig kritikk av IT-sikkerhetsbransjens markedsføring.
Heksekunster er en sterk påstand og beskyldning. Er det belegg for dette eller er Ian Levy, teknisk direktør for britiske National Cyber Security Centre (NCSC) mest ute etter overskrifter, oppmerksomhet og støtte fra de med post-fakta tilbøyeligheter? Alle som jobber med IT-sikkerhet vet det finnes alvorlige trusler og store konsekvenser. Mange som sikrer seg får ikke testet sikkerheten eller vet ikke at de blir utsatt for angrep. Samtidig vet vi også at det ikke finnes noen silver bullet. Sikkerhet beskrives ofte som en løk, vi snakker blant annet om skallsikring – det vil si flere barrierer hackere må trenge gjennom og i tillegg systemer for å følge opp hendelser. Sikkerhet oppnås ikke med en enkelt løsning, men med summen av flere løsninger og tiltak.
Vi vet at truslene er reelle, det ser vi i forretningsmodellene til både statlige (som gjerne er hemmelige) og private (les: kriminelle), i logger, rapporter og ved vellykkede angrep. At hackere går mot de svakeste elementene i systemene er selvsagt. At en person i en så fremtredende rolle hevder sikkerhet ikke lønner seg er kort og godt svært skremmende og representerer en betydelig trussel i seg selv.
Vi kan diskutere Levys påstand på mange plan. Hvordan kan vi beskytte oss mot blant annet hacking fra land som ønsker å påvirke demokratiske valg, og vi diskuterer om hvorvidt vi har behov for et digitalt grenseforsvar.
Få med deg denne kommentaren: Lysne-utvalget har feilet – det finnes allerede et digitalt grenseforsvar i Norge »
Gamle passordlekkasjer ble aktuelle igjen
Denne uken har vi sett hvordan mediene har reaktualisert gamle og kjente passordlekkasjer fra store tjenester som Dropbox og Linkedin. Forrige uke måtte Telenor advare mot en pågående svindel med falske fakturaer. Mange av oss med mest erfaring alltid håper den til enhver tid siste svindelen skal feile, men det går som regel ikke slik. Henvendelsene til Ateas IRT (Incident respons team) viser et betydelig antall bedrifter og offentlige etater som ukentlig tar kontakt etter å ha fått kryptert eller låst ned dataene sine og havnet i en utpressings-situasjon.
Levy refererer til Advanced Persistent Threats (ATP), det eksisterende trusselbildet, som en skremselspropaganda for at bransjen skal selge og sier trusselinformasjonen er overdrevet. Denne påstanden er på linje med å hevde at bilbransjen omtaler bilulykker for å selge ekstra sikkerhetsutstyr. Poenget er ikke at alle trenger sikkerhetsutstyret hele tiden, men at det skal være der når du trenger det.
Poenget er ikke at alle trenger sikkerhetsutstyret hele tiden, men at det skal være der når du trenger det
Han har rett i at angrep går ofte ut på å lokalisere virksomhetens svakeste ledd, gjerne ved å gjøre en rekke forskjellige på innbrudd. Ofte er ikke målet i første omgang å gjøre skade, men å kartlegge hvilke svake punkter man senere kan utnytte (gjerne ved å plante tilganger på innsiden), da med en planlagt og strategisk tilnærming. For å kunne beskytte seg mot denne typen angrep, er det viktig at man sikrer i form av blant annet «skallsikring», kontinuerlig overvåkning av nettet og mer. Sikkerhet må på plass på flere områder og i flere lag for å redusere risikoene det til enhver tid svakeste leddet representerer. Erfaringene kopieres ofte og brukes senere i bredere omfang hvor alle kan rammes.
Det er avgjørende med oppdaterte sikkerhetsløsninger
Vi vet at vi alltid vil ligge bak de med onde hensikter og at nivå, kompleksitet, angrepstype og risiko varierer. Sikkerhetssystemene forbedres og utvikles kontinuerlig basert på læring og erfaringer både utviklere og sikkerhetspersonell gjør. Derfor er det også avgjørende med oppdaterte sikkerhetsløsninger, både for å beskytte seg mot uventede angrep, om de kommer fra innsiden eller utsiden, men også for å redusere tiden fra første hendelse skjer til systemene er tilbake i normal drift.
Vi er også helt avhengig av at alle systemer alltid er oppdatert for å tette sikkerhetshull fortløpende. Det må jobbes med ansattkompetanse, kompetanse i beslutningsprosesser hvor en skikkelig sikkerhetskultur må etableres, vedlikeholdes og videreutvikles i alle organisasjoner.
I tillegg til at trusselbildet endres, flyttes, og antagelig vokser, gjelder det samme relevant regulering og andre krav til både næringsdrivende og det offentlige. I 2018 vil vi for eksempel få GDPR (ny personvernregulering) og muligens nytt ePrivacy-direktiv. Det vil stille nye krav til bedriftene, ikke bare må de kunne sikre seg, men også ha systemer og roller på plass for å ha total hendelse- og avviksoversikt.
Levy har dessverre rett i at det er noen som overselger med skremselspropaganda
Levy har dessverre rett i at det er noen som overselger med skremselspropaganda. Dette kjenner vi fra andre bransjer som et problem som må tas på alvor. Sikkerhetsarbeid er en kontinuerlig prosess som består av blant annet kunnskap om risiko, sikring av systemene, dedikerte sikkerhets- og overvåkningssystemer, kontinuerlig oppfølging, utvikling og ikke minst erkjennelse på alle nivå i organisasjonen om behovet for å tenke sikkerhet i alle ledd.
Poenget med sikkerhetsteknologi, -kompetanse og -kultur er altså ikke at alle trenger det hele tiden. Det er akkurat som vi kjenner det fra trafikken, det er liten verdi med sikkerhetsteknologi i biler om det ikke brukes på riktig måte. Det er avgjørende med god føreropplæring og å kunne tilpasse seg gjeldende regelverk og veiforhold. Det er heller ikke fordi vi tror alle trenger det hele tiden, men det er viktig for at sikkerheten skal være best mulig ivaretatt når behovet er der - og behovet kommer!
Les også: Utviklere mener antivirus gjør nettleseren mer usikker
Hør vår podcast – Dobbeltklikk – der Olav Thon og Olav Lysne diskuterer digitalt grenseforsvar:
