Teknologidirektøren for GCHQs National Cyber Security Centre kommer med kraftig kritikk av IT-sikkerhetsbransjens markedsføring. Bildet viser GCHQs hovedkvarter, «The Doughnut», i Cheltenham, England.
Teknologidirektøren for GCHQs National Cyber Security Centre kommer med kraftig kritikk av IT-sikkerhetsbransjens markedsføring. Bildet viser GCHQs hovedkvarter, «The Doughnut», i Cheltenham, England. (Bilde: Br. Ministry of Defence/Wikimedia commons)

National Cyber Security Centre

Teknologisjef i hemmelig, britisk tjeneste mener IT-sikkerhetsbransjen selger heksekunst

Daglig hører vi om avanserte IT-angrep som rammer både bedrifter, offentlige institusjoner og privatpersoner. Men ofte er kildene til disse historiene aktører i en bransje som lever av kundenes frykt for å bli angrepet. Hvor troverdige er de egentlig?

En som ikke gir bransjen så veldig høye skussmål, er Ian Levy, teknisk direktør for det britiske National Cyber Security Centre (NCSC), en relativt nyopprettet IT-sikkerhetstjeneste etter konsolideringen av seks tidligere IT-sikkerhetsetater i Storbritannia. Den nye tjenesten skal gjøre Storbritannia bedre i stand til å forsvare seg mot alle former for kyberangrep.

NCSC er en del av signaletterretningstjenesten GCHQ (Government Communications Headquarters). 

Levy holdt i forrige uke et foredrag under sikkerhetskonferansen Enigma 2017, hvor han gikk til angrep på det skremmebildet han mener leverandører av IT-sikkerhetsprodukter har skapt.

Les også: Utviklere mener antivirus gjør nettleseren mer usikker

Fantasifoster

Ifølge The Register sa Levy at «hele verden» forsøker å selge forsvar mot det som gjerne kalles «advanced, persistent threats», altså avanserte og vedvarende trusler. Dette gjøres ved å vise bilder av hemmelighetsfulle, unge menn med hettegenser eller finlandshette i dunkle rom med Matrix-lignende tekst i bakgrunnen. Omtrent som bildet nedenfor. 

Det er nok heller sjeldent at det er slik dagens ondsinnede hackere ser ut.
Det er nok heller sjeldent at det er slik dagens ondsinnede hackere ser ut. Bilde: Elnur Amikishiyev/Colourbox

Ifølge Levy bidrar slike bilder til å skape et fantasifoster hvor ondsinnede hackere er noe utilnærmelig og uslåelig. 

– Vi tillater selskaper med et massivt incitament å definere den offentlige oppfattelsen av problemet, sa Levy, ifølge The Register. 

Han mener at de fleste angrep skjer mot virksomheter hvor IT-sikkerheten i utgangspunktet er svak og dermed enkelt å trenge gjennom.

NSAs elitehackere: – Slik gjør du livet surt for oss

Magisk amulett

– Dersom du kaller det en avansert, vedvarende trussel, ender du opp med en fortelling som i hovedsak sier «dere er for dumme til å forstå dette, og bare jeg virkelig hjelpe deg – kjøp min magiske amulett, og du vil greie deg godt». Det er middelaldersk heksekunst, det er ekte middelaldersk heksekunst, sa Levy.

Han skal blant annet ha trukket fram et angrep på et britisk telekomselskap hvor det ble utnyttet en SQL-injiseringssårbarhet som var eldre enn tenåringen som angivelig skal ha utført angrepet. 

Les mer: Dette må du vite om SQL-injisering – og slik beskytter du deg (Digi Ekstra)

– Det er ikke avansert på noen som helst måte, sa Levy. Han mener at bransjen overdriver hackernes muligheter, slik at de selv kan selge flere produkter og tjenester.

Ilia Kolochenko, som leder IT-sikkerhetsselskapet High-Tech Bridge, støtter påstanden til Levy om at mange i bransjen selger produkter ved å overdrive mulighetene til angriperne. 

– I dag er det for mange IT-sikkerhetsoppstarter som forsøker å øke salget ved å bruke FUD-taktikker [Fear, Uncertainty and Doubt, journ. anm.], sier Kolochenko til ComputerWeekly.

Noe av NCSC skal bidra med, er å fremme et mer aktivt IT-sikkerhetsforsvar i Storbritannia, samt å tilby virksomhetene «sikkerhetssystemer som virker», skriver The Register.

I en strategiplan for kybersikkerhet som NCSC har lagt fram for de neste fem årene, er det også oppgitt som et mål å styrke informatikkundervisningen i Storbritannia ved blant annet å gjøre grunnleggende IT-sikkerhet til en del av pensum for alle som studerer informatikk, teknologi eller andre digitale fagfelt.

Leste du denne? Etterretningstjeneste måtte gripe inn mot «smarte» energimålere

Kommentarer (9)

Kommentarer (9)
Til toppen