Vi må konsentrere oss om det vi kan gjøre noe med
Går du gjennom livet i en evig tro på at det alltid er noen som kommer til å hjelpe deg, rette opp i det som er galt, forhindre at det skjer noe farlig?
av Roar Thon
I høyeste grad uakseptabelt?
Under et opphold i USA spiste jeg frokost i en hotellrestaurant som hadde en matstasjon hvor en kokk laget omelett. En middelaldrende amerikaner fikk alles oppmerksomhet ved sin småhysteriske og aggressive reaksjon når kokken forlot stasjonen sin akkurat når det var hans tur til å bestille. Krise! Kokken hadde forlatt stasjonen for å hente en svært vesentlig ingrediens når du skal lage omelett. Egg! Den verbale reaksjonen fra den nevnte amerikaner var at dette i høyeste grad var uakseptabelt. Det var det verste han hadde opplevd i hele sitt liv og noen måtte selvsagt stå til ansvar for dette!
Dette er bare et eksempel på hvordan vi reagerer når ting ikke blir helt som vi hadde planlagt eller tenkt. Men hva om det er slik livet er? På et eller annet tidspunkt blir det tomt for egg i noen minutter. Hva om vi konsentrerte oss mer om hvordan vi håndterer situasjonen enn å lete etter hvem som har ansvaret for at situasjonen oppstod?
Etter sommerens tjenestenektangrep er det mange av oss som står på «matstasjonen» og klager høylytt over situasjonen med «mangel» på egg og hvor uakseptabelt dette er og ikke minst – at noen må stå til ansvar for at det er slik! «Hvordan kan en 17 åring skape så mye problemer?» er det nok mange som har spurt seg etter tjenestenektangrepene for noen uker siden. Sikkerheten må jo være elendig og noen må jo ha sviktet når dette er mulig å gjøre dette?
Jeg mener at det eneste slike konklusjoner viser, er mangelen på forståelse om hvordan verden fungerer i det digitale rom.
Det er ingen grensekontroll i det digitale rom
Det virker på meg som om at mange nordmenn går rundt i den tro at norske myndigheter sitter med en av- og på knapp til Internett, samtidig som om all Internett trafikk inn- og ut av landet er utsatt for en kontroll som gjør det mulig å stanse digitale spioner, hackere, nett svindlere og 17-åringer på gutterommet FØR de begår sine uønskede og ulovlige handlinger på nett! En slik «knapp» eksisterer ikke og hadde den eksistert, ville det vært den farligste «knappen» i Norge. Årsaken til den påstanden er at vi allerede har digitalisert så mye at det er vanskelig å vite totalkonsekvensene av å skulle «slå av» Internett.
Når du beveger deg inn i det digital rom er du ikke lenger i din egen trygge rødmalte norske stue, der det eneste plagsomme er myggen og en litt vanskelig nabo som klipper plenen sin klokken syv en søndagsmorgen. I det digitale rom møter du terrorister, landeveisrøvere, spioner, gangstere, svindlere, sleipe selgere og «moskitoer» med smittsomme sykdommer som ormer, virus og skadevare. Du befinner deg i et globalt nettverk hvor det eksisterer en rekke krefter som ikke vil deg noe godt og de trenger ikke en fysisk tilstedeværelse i din umiddelbare nærhet for å gjøre ugagn. Det eneste de trenger er evnen og viljen og det er vanskelig å ta fra dem begge deler.
Det eksisterer ingen grensekontroll i det digitale rom og det er ikke fordi noen ikke har tatt ansvar. Det er fordi det på godt og vondt er slik teknologien er konstruert og det er slik dagens internett fungerer. Dessverre er det slik vi mennesker også oppfører oss mot hverandre. Velkommen til the World Wide Web (WWW) eller skal vi heller si the Wild Wild West?
Vi må konsentrere oss mest om det vi kan gjøre noe med
Dataangrep skjer hver eneste dag mot norske bedrifter, offentlig etater og norske borgere. Mørketallene er sannsynligvis store. I Nasjonal sikkerhetsmyndighet hjelper vi norske virksomheter til å forebygge mot dataangrep, og varsle og bistå i håndteringen. Men det er svært lite vi kan gjøre med det faktum at noen bestemmer seg for å gå til «angrep». Skandale sier du? Noen må stå til ansvar!
Selvsagt er det viktig å forebygge at uønskede handlinger skjer og det vil alltid være et mål å redusere antall hendelser. Men det er en særdeles komplisert oppgave å hindre at noen forsøker. Dette er et globalt politisk, økonomisk, teknologisk, og sosialt problem og det løses lite trolig i og av Norge alene. Til tross for en rekke globale og lokale tiltak for å forebygge og bekjempe nettkriminalitet- og spionasje så er det min påstand at vi må forholde oss til en situasjon hvor man i uoverskuelig fremtid ikke er i stand til å forhindre at noen iverksetter et «dataangrep».
Det eneste vi virkelig kan gjøre noe med og som må gjøres bedre, er å minimalisere effekten og skaden av slike angrep. Men da må vi konsentrere oss om det vi kan gjøre noe med.
Hørte jeg noen som skrek uakseptabelt?
Det er hvordan vi håndterer dataangrepet som sier noe om hvor god sikkerheten er
Om det i morgen kom et nytt større tjenestenektangrep mot norske bedrifter iverksatt av en 71-åring så ville konklusjonen hos mange fortsatt være at sikkerheten er elendig. Men at noen bestemmer seg for å bestille/iverksette et tjenestenektangrep, beskriver ikke sikkerheten eller sikkerhetstilstanden på noen som helst måte. At det er teknologisk mulig, er heller ikke noe sikkerhetstilstanden direkte kan måles utfra.
«Så enkelt at enhver amatør kunne ha gjort det» uttaler en av ungdommene som stod bak en rekke tjenestenektangrep i 2012. Det er vanskelig å være uenig i den beskrivelse, men i det samme Aftenposten intervjuet kommer noe som jeg ikke er enig i.
Hva tenker du om at det er såpass enkelt å angripe store virksomheter?
«Jeg syntes det er merkelig. DNB påstod at de hadde investert stort i filtreringer og utstyr for å hindre nye angrep. Det ser ikke ut til å fungere», sier han og viser til sommerens tjenestenektangrep.
Slike investeringer gjøres ikke for å hindre nye tjenestenektangrep. De gjøres for å detektere og håndtere angrepene, og for å redusere skadevirkningene av dem. Sikkerhetstiltakene og investeringene hindrer heller ikke at enkeltindivider på 17 eller 71 bruker kunnskap, tid og penger på å bestille et tjenestenektangrep fra et botnet.
Det er hvordan den som blir angrepet håndterer tjenestenektangrepet, som sier noe om sikkerhetstilstanden. Håndteringen av et tjenestenektangrep eller annen type dataangrep er det noen som har ansvaret for. Det ansvaret starter hos eier av informasjon eller nettverkene som blir angrepet og ender til slutt - om det blir alvorlig nok, opp hos norske myndigheter. Men ansvaret for at noen iverksetter angrepene ligger hos de som angriper!
At norske bedrifter og myndigheter kan bli bedre på å sikre, detektere og håndtere hendelser i det digitale rom er ikke noe nytt og NSM har blant annet rapportert dette i mange år gjennom sin årlige rapport om sikkerhetstilstanden i Norge. Det finnes en rekke tiltak og prosesser som må iverksettes eller forbedres for å skape bedre sikkerhet og robusthet i samfunnet. Samtidig er det grunn til å rose mange aktører for en økende grad av bevissthet og innsats for å møte stadig nye sårbarheter i takt med den teknologiske utviklingen.
Moderne sikkerhet handler i større grad om å detektere og reagere på hendelser. Selvsagt handler det også om god grunnsikring som bidrar til å gjøre det vanskeligere for de som ikke vil oss noe godt. Men igjen, uansett hvor god grunnsikring du har, så kommer noe uønsket til å skje og det er den erkjennelsen vi i større grad ser erkjennelsen av, også i Norge. Ser man på hva sikkerhetsbransjen selv markedsfører av produkter har det skjedd en klar utvikling fra å markedsføre produkter som skulle hindre noen å komme inn i nettverk for å ødelegge eller stjele. Nå markedsføres det i større grad produkter som skal gjøre det enklere å raskt oppdage angrepene og håndtere dem når de skjer. For det er nærmest umulig å hindre at det skjer.
Vi har en stor jobb foran oss og da kan det være lurt å bruke ressursene der hvor de har størst effekt. Jeg tror ikke vi skal satse på at stater, organisasjoner og mennesker skal bli snillere i det digitale rom. Jeg har større tro på at vi kan og skal gjøre det vanskeligere med å nå målet for uønskede handlinger.
Det skjer en rekke angrep hver eneste dag og det er en rekke gode krefter som daglig forhindrer at angriperne lykkes. Ofte vinnes den kampen, men det kommer sjelden ut i media.
Tidligere, i den «gamle» analoge verden kunne sikkerhetsfolk si at når de lykkes, så skjedde det ingenting. I vår nye digitale verden sier sikkerhetsfolk at når de lykkes, så håndterte de hendelsen på en slik måte at de hindret angriperen i å nå sine mål.
Så tenk litt over dette neste gang du lurer på hvordan «dette» kunne skje i det digitale rom:
- Det er ingen, INGEN, som kan garantere deg 100% sikkerhet.
- Det er du som har ansvaret for å sikre deg best mulig.
- Det er sjelden du kan fjerne trusler, men du kan redusere risiko.
- Det kommer alltid til å skje noe uventet og uønsket.
- Det er stor sjanse for at du egentlig ikke kommer til å bry deg, før det rammer akkurat deg.
- Det er i det du sier at det ikke skjer noe, at det skjer.
Mye må og kan gjøres for å sikre norske virksomheter bedre. Ta en kikk på våre veiledninger om hvordan sikkerheten kan forbedres.
Fortsatt en god og sikker sommer.