KOMMENTARER

Politiet må redusere sitt «Murphy-felt»

I diskusjonen rundt politi og datavirus, må det igjen sies at IT-sikkerhet dreier seg om folk.

17. mars 2009 - 18:16

Før helgen ble norsk politi rammet av dataormen Conficker. Så seint som mandag ettermiddag måtte Politiets data- og materielltjeneste berolige allmuen gjennom NTB at selv om «det vil ta lenger tid enn antatt å rense virusinfiserte pc-er i politiets datanettverk», så er det «viktig å understreke at politiets generelle beredskap ikke er svekket som følge av virusangrepet.»

Det er helt klart at dette virusangrepet har påført samfunnet kostnader, for eksempel ved at kunder ikke har fått utført nødvendige tjenester, og ved at politifolk har måttet arbeide – eller prøve å arbeide – uten pc i mange døgn.

Det er også helt klart at angrepet ville vært avverget hvis politiet hadde fulgt normale regler for adferd i det digitale rom. Som digi.no skrev, noen uker før politiet ble smittet: Ofrene for Conficker-ormen kan ikke skylde på andre enn seg selv.

Politiet har opptrådt uforsiktig. De må legge om stilen, og begynne å følge de samme kjørereglene som alle andre profesjonelle brukermiljøer.

Man kan kanskje redusere risikoen noe ved å legge om til andre plattformer enn Windows, på samme måte som man kan bli en sikrere trafikant ved å bytte fra Hyundai til Mercedes. Men det hjelper lite hvis man fortsatt lar være å bruke sikkerhetssele, ikke sørger for at antispinnsystemet er tilkoplet, ikke stopper ved rødt lys, ikke overholder vikeplikten, og ikke tenner kjørelysene når det er mørkt. Og det er en kjensgjerning at Windows har minst like gode sikkerhetsseler, antispinn og kjørelys som Linux og annet friprog.

IT-sikkerhet handler bare til en viss grad om teknologi. Det handler først og fremst om brukere. Det handler om kultur, om å vise ansvar, om å ta forholdsregler, om å legge opp sin adferd i visshet om hva slags risiko man løper.

Man kan selvfølgelig ikke utelukke, gitt de sparsomme opplysningene politiet selv har gitt, at etaten har vært ekstra uheldig. Tesen som ble presentert på NRK torsdag kveld, om at politiet har vært utsatt for et bevisst angrep, tror jeg derimot lite på. Conficker er typisk noe man får av sløvhet, akkurat som man blir brent av uvøren soling. Et målrettet angrep mot politiet hadde hatt et helt annet forløp, og fått andre og langt verre følger.

Med et målrettet angrep hadde det for øvrig vært lite trøst i å bruke friprog. Resonnementet som begrunner redusert risiko ved friprog, bygger på det premisset at Windows er mer utsatt fordi det er mer utbredt. Ved målrettede angrep er et annet parameter utslagsgivende: At det finnes en metode for å lure en bestemt type offer til å opptre uforsiktig. Selve sikkerhetshullet er ikke det vesentlige her. Alle IT-systemer har sikkerhetshull. Er man ikke motstandsdyktig mot den sosiale metoden, er man vergeløs mot et målrettet angrep. Noen lar seg lokke av nakne damer. Andre lar seg tiltrekke av gratis musikk. Noen biter på tilbud om lettjente penger. Det finnes agn for alle fisk i sjøen. Poenget er å lære seg å ikke bite.

Det er manglende bevissthet som gjør at man tillater seg å ferdes digitalt uten oppdatert Windows. Fiksen for sårbarheten som Conficker utnytter, har vært gratis tilgjengelig i mange måneder. Det er et holdningsspørsmål å sørge for oppdatert antivirus. En etat som skal verne borgere mot alle former for trusler, kan ikke slå seg til ro med en IT-sikkerhet under gjennomsnittet.

«Murphy-felt» er et bilde på den hjelpeløsheten som tilsynelatende preger visse mennesker i omgang med elektronisk utstyr: Tv-bildet forstyrres når de passerer, alarmer slår seg på, pc-er går i stå, e-post sendes til alle unntatt dem det gjelder, utskrifter krøller seg og fargebilder går over i svart-hvitt. Tilstanden kan kureres, gjennom kunnskap og øvelse.

Politiet har demonstrert at de har et sterkt kollektivt Murphy-felt. De kan trøste seg med at tilstanden ikke varer evig. Men de må nok gå litt inn i seg selv for å svekke det.

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.