NSM deltakelse på IT Security Entrepreneurs Forum i Silicon Valley

Security Innovation Network (SINET) er en organisasjon med utgangspunkt i USA med hovedoppgave å samle miljøer fra myndigheter, akademia, bedrifter, gründere og investorer i den hensikt å stimulere til økt innovasjon rundt digital informasjonssikkerhet. NSM har fulgt dette miljøet over noen år for å høste erfaringer om hvordan SINET får de ulike miljøene til å samarbeide og for å få kunnskap om ulike produkter og løsninger som kommer ut av samarbeidet. Høgskolen på Gjøvik er for øvrig medlem av SINET.

Direktør NSM - Kjetil Nilsen taler på ITSEF 2014 (Foto NSM)

Direktør NSM – Kjetil Nilsen taler på ITSEF 2014 (Foto NSM)

8-9 april gjennomførte SINET sin årlige IT Security Entrepreneurs Forum (ITSEF) i Silicon Valley. NSM var blant annet representert ved Direktør Kjetil Nilsen som var invitert til å holde den avsluttende talen på konferansen.

Konferansen er en av tre årlige SINET konferanser hvor konferansene har ulikt innhold og arrangeres i en konkret rekkefølge for å nå hovedmålsettingen – Fremskaffe bedre sikkerhetsprodukter og løsninger.

IT Security Entrepreneurs Forum – ITSEF (1/3) (San Francisco/Silicon Valley)
Er den første konferansen i rekken og har som hovedhensikt å samle kloke og innovative hoder fra Silicon Valley hvor myndigheter og andre forteller om hva slags informasjonssikkerhetsprodukter de har behov for i fremtiden.

Innovation Summit (2/3) (New York/Chicago)
Er i all hovedsak en konferanse hvor akademia samles for å diskutere de ulike behovene for forskning og utvikling innen informasjonssikkerhet.

SINET Showcase (3/3) (Washington D.C.)
Her presenterer innovatører, gründere og bedrifter sine ulike løsninger for mye av det samme publikum som under ITSEF forklarte behovet for produkter/løsninger. I fjor slapp 16 produkter/løsninger gjennom en etter en grundig faglig/forretningsmessig vurdering av over 100 selskaper. Kan jo for øvrig nevne at det norske selskapet Ensafer var «centimeter» fra å bli blant de 16 i 2013, noe som er sterkt i seg selv. Syklusen er ikke nødvendigvis slik at produktene er klare etter det halve året som går mellom konferanse nr 1 til nr 3. Normalt er det noen som tar opp hansken på ITSEF det ene året og viser frem et produkt 1 1/2 år etter.

Jeg har hatt anledning til å følge dette miljøet noen år og det som slo meg etter årets konferanse i Silicon Valley er at sikkerhetsbransjen virkelig beveger seg bort fra fokus på rene produkter som skal beskytte/avvise angripere/trusselaktører. Temaet i år var veldig tydelig – produkter som gjør forsvareren i bedre stand til å detektere og håndtere uønsket aktivitet i nettverk/datasystemer. Blant annet begynner risikoen knyttet til håndtering av prosesskontrollsystemer (SCADA) å bli tydelig. Bransjen beveger seg bort fra «Protect – Detect til Detect – React». Det betyr ikke at det ikke satses på grunnsikring, men at erkjennelsen av at man uansett, på et eller annet tidspunkt vil få hendelser som må oppdages og håndteres så raskt som mulig.

Konferansene handler ikke bare om det som blir presentert på scenen, men like mye det som foregår gjennom dialogen mellom de ulike deltakerne i pauser og menneskelig nettverksaktiviteter for øvrig.

Siste hovedtaler på den to-dagers konferansen var NSMs direktør Kjetil Nilsen med foredragstittel «The Nordic Cyber Security Model of Trust» Talen tok for seg ulike kulturelle og samfunnsmessige trekk ved de nordiske landene som faktisk er til vår fordel når det kommer til samarbeidsevnen i sikkerhetsarbeidet. NSM direktøren forklarte interesserte tilhørere om det norske VDI samarbeidet og samarbeidet mellom de nordiske CERT’ene. Begge sakene fremstår som noe eksotisk sett fra amerikanske øyne – i hvert fall slik det blir fortalt meg av amerikanere i ettertid. Hovedgrunnen til dette ligger også i Kjetil Nilsens taletittel – Tillit.

Vi har en kultur og et samfunn som er bygget på stor grad av tillit mellom det private næringsliv og staten som et eksempel. Det samme finner vi i de andre nordiske landene og det er denne gjensidige tilliten som er en av grunnpilarene til hvordan vi i Norge og i Norden faktisk samarbeider på informasjonssikkerhetssiden. Sammenligner vi dette med andre land, som f.eks USA kan jeg se at «the nordic way» blir noe eksotisk. Det er selvsagt flere faktorer til at vi kan få det til på denne måten. En av faktorene er antall på innbyggere/brukere, men jeg lar det ligge for denne gang.

Kjetil Nilsen understreket i sin tale at vi ikke kommer langt uten gjensidig tillit og samarbeid. Nettopp fordi sikkerhetsutfordringene treffer de aller fleste og de begrenser seg ikke til geografiske eller fysiske grenser. Et konkret eksempel på hvordan dette angår hele verden, fikk vi den samme uken – gjennom sårbarheten døpt Heartbleed. Den er i seg selv verdt et blogginnlegg eller to.

Flere seriøse medieaktører som f.eks The New York Times og The Economist dekket konferansen. Et av intervjuene som Kjetil Nilsen gav til media kan leses her.
Kjetil Nilsen oppfordret hele sikkerhetsbransjen til å bli enda dyktigere til å dele informasjon som vil gi bedre sikkerhet for alle.

For å sitere direktøren på engelsk:“As security professionals we should never forget that our main task is to reduce risk and reduce it as fast as we are able to in variable circumstances. The key is not just to talk about it, but to do it in real time. React, secure and share”

Posted in Informasjonssikkerhet, Innovasjon, Konferanse, Ledelse, samhandling, Sikkerhetskultur | Leave a comment

Kan dere ikke bare komme ut av skapet? Vær så snill?

Under Nasjonal sikkerhetsmyndighets sikkerhetskonferanse denne uken fikk jeg som NSM ansatt anledning til å presentere to reelle, men grundig «vaskede» og anonymiserte digitale spionasjesaker fra virkeligheten. Hensikten med å anonymisere sakene er for å hindre at identiteten til virksomheter som har vært utsatt for slik aktivitet blir offentlig kjent. Dette er etter virksomhetens eget ønske og et ønske som vi i NSM selvsagt respekterer og beskytter med vår taushetsplikt og i mange saker med henvisning til rikets sikkerhet og sikkerhetslovens bestemmelser.

Når vi «vasker» en sak før vi uttaler oss, er det for å redusere risikoen for at vi gjennom detaljer avslører konkrete tekniske beskyttelsestiltak eller rutiner på en slik måte at vi i forsøket på å drive folkeopplysning og kunnskapsformidling også skaper sårbarheter som trusselaktørene kan utnytte til nye forsøk mot norske interesser. For mye informasjon om tekniske detaljer kan også indirekte avsløre identiteten til den virksomheten som har vært utsatt for hacking, dataangrep eller digital spionasje (ukjært barn har også mange navn)

Hensikten med mitt foredrag var å informere om hva som skjer når norske bedrifter og offentlige virksomheter blir utsatt for avanserte digitale spionasjeforsøk. Audiovisuelt opptak av foredraget kan sees på nsm.stat.no med tittelen – Historiene bak statistikken (Dag 2 0900-1130)

Direktør NSM - Kjetil Nilsen informerer om sikkerhetstilstanden

Direktør NSM – Kjetil Nilsen informerer om sikkerhetstilstanden

I de neste ukene kommer det flere blogginnlegg med referanser til årets konferanse som samlet over 650 deltakere, noe som er ny rekord for NSMs sikkerhetskonferanse. Mange av foredragene er tilgjengelige på nsm.stat.no

Samme dag som sikkerhetskonferansen åpnet la vi frem vår rapport om sikkerhetstilstanden i samfunnet og vår årsrapport for 2013. I rapport om sikkerhetstilstanden offentliggjorde vi at det i 2013 ble registrert 50 saker som ble definert som alvorlige digitale spionasjeforsøk mot norske private og offentlige virksomheter. To av de 50 sakene var altså det jeg skulle presenterte i sin «vaskede» utgave. Under arbeidet med å forberede foredraget reflekterte jeg litt om hvorfor så få organisasjoner og selskaper våger å stå frem i offentligheten med noe som dessverre er veldig normalt.

Telenor skal ha ros
Telenor fortjener virkelig ros for at de i 2013 stod frem kort tid etter at de ble utsatt for det som ble definert som et alvorlig tilfelle av industrispionasje mot konsernet. Det er ingen som ønsker seg slike hendelser, men Telenor har stått med rak rygg i offentlighetens lys, senest med styreleder i Telenor – Svein Aasers innlegg om hendelsen under NSMs topplederseminar denne uken. Åpenheten har bidratt til å skape en ytterligere forståelse for utfordringene i det digitale rom, men hva med alle de andre som kunne ha bidratt til det samme? For det var ikke bare Telenor som ble utsatt for industrispionasje i 2013! For alt du som leser vet – så er det ikke en gang sikkert at Telenor var de som ble hardest rammet i 2013?

There is two kind of organizations…
Et populært “slagord” I USA for noen år tilbake var påstanden om: “There is two kind of organizations – those that know they’ve been hacked, and those that don’t know it yet” Det siste års bekreftelser om hva som er teknologisk mulig, underbygger dessverre denne påstanden. NSMs vurdering av sikkerhetstilstanden i det norske samfunnet bekrefter også at «slagordet» ikke er så alt for langt unna sannheten. Med andre ord er det å bli hacket i en eller annen form, på et eller annet tidspunkt nesten for norm å regne. Så hvorfor syntes det å sitte så langt inne å erkjenne utfordringene offentlig? Hva er årsakene til at det holdes «hemmelig»? Er det i redsel for å få redusert omdømme? Tap av kunder eller redusert tillit i markedet? Påvirker det børsverdien? Av det jeg kan se – har ingen av disse negative konsekvensene rammet Telenor. Jeg kjenner ingen virkelige profesjonelle sikkerhetsfolk som ler av Telenor, for de vet at dette skjer de fleste og de beste. «Det skjer ikke meg» er en vanlig tankegang. Min påstand er at en slik tankegang fungerer dårlig i den analoge verden og den fungerer enda dårligere i den digitale verden.

For sensitivt å uttale seg om?
Norske medier dekket sikkerhetskonferansen og vår statistikk om de 50 alvorlige spionasjesakene og ca 16.000 registrerte hendelser på nett, ble gjengitt i ulike artikler og innslag. I forbindelse med dette ble også noen sektorer intervjuet med konkrete spørsmål om dataangrep var et økende problem. Noen nektet å uttale seg om spørsmålet da det var for sensitivt å snakke om! Virkelig? Dersom vi ikke en gang kan uttale oss om det, har vi en lang vei å gå for å erkjenne utfordringene i det digitale rom. Jeg mistenker at svaret om at det er for sensitivt å uttale seg om, har en bakgrunn i at man rett og slett ikke har en grunnleggende oversikt over situasjonen. At DET er sensitivt forstår jeg, fordi det er flaut!

Større åpenhet nå – for å sikre oss bedre i fremtiden
Slik situasjonen er i Norge tror jeg det gir større skadevirkninger dersom en kommersiell virksomhet hemmeligholder hendelser, som så allikevel blir offentlig. I et Norge som kanskje ikke fullt ut har forstått de langsiktige konsekvensene ved de digitale truslene vi utsettes for, er det sannsynligvis mindre konsekvenser ved å stå frem enn hva som blant annet virker å være tilfelle i USA. Dette kan vi utnytte til vår fordel for fremtiden.

Dersom vi er i stand til å etablere en større åpenhet nå, vil vi sannsynligvis kunne skape en kunnskaps- og informasjonsdeling som kan bli et fortrinn for norske virksomheter i den fremtidige kampen for å beskytte seg mot digitale trusler for fremtiden. Det er å håpe at virksomhetene forstår at det å stå frem hjelper andre og andre som står frem hjelper tilbake, fordi erfaring, kunnskap og forståelse spres fortere. Er det noe vi trenger for å beskytte oss bedre mot digitale trusler, så er det nettopp det!

Kom ut – kom frem
Ingen blir sikkert overrasket når jeg påstår at vi må ta trusselen som vi alle møter i vårt nettverksbaserte og teknologiske samfunn på alvor. Vi trenger en kollektiv økning i kunnskap og bevissthet om de eksisterende trusler og risiko vi daglig møter i det digitale rom. Vi trenger samtidig økt kunnskap og forståelse om hvordan samfunnet, virksomhetene og enkeltindivider bør håndtere truslene og redusere risiko. For å få et høyere felles kunnskaps- og bevissthetsnivå må vi dele mer om det som skjer. Samtidig er det naivt å forvente full åpenhet. Slik fungerer ikke verden. Vi har alle behov for å ha noen hemmeligheter.

Jeg er en av de som har som arbeidsoppgave å spre kunnskap og øke bevissthet knyttet til sikkerhet. Noen ganger blir jeg sendt ut til virksomheter som har hatt «telenorlignende hendelser» for å øke bevisstheten hos ledere og de ansatte. Problemet er at det kun er den øverste ledelsen og jeg som vet hvorfor jeg befinner meg på scenen for å fortelle om utfordringene i det digitale rom – på generelt grunnlag. Hendelsen som er grunnen til at jeg er der, må ikke nevnes. For den er «hemmelig»!

Jeg vet at jeg kan virke dobbeltmoralistisk når jeg på den ene siden maner til åpenhet, samtidig som jeg også vil argumentere sterkt for behovet for hemmelighold og spesielt i forhold til rikets sikkerhet. Men ta da det faktum – at du leser dette på en offentlig blogg fra en av de såkalte hemmelige tjenestene – som et tegn på at også vi ønsker større åpenhet om mange av de oppgavene vi løser for samfunnets beste.

Jeg forstår at det kan virke svært vanskelig å stå frem offentlig med dette. Men det handler ikke om en åpenhet som er så detaljert at den ytterligere blottlegger eksisterende sårbarheter som igjen kan utnyttes av trusselaktørene, men en åpenhet om at vi alle blir utsatt for dette. Jeg tror vi kommer lenger med at virksomheter åpent sier at de utsettes for dette daglig og at de er i en konstant kamp for å beskytte seg – enn å si at det er for sensitivt å snakke om.

For et par år tilbake ble en større norsk bedrift intervjuet i en lokalavis hvor de nettopp forklarte at de slåss daglig med å holde trusselaktører utenfor sine nettverk. Nabobedriften ble også intervjuet og deres svar var at – “nei det har vi heldigvis ikke merket noe til” Hvem av de to bedriftene tror du har best fokus på sin sikkerhet?

Jeg kan på ingen måte kreve at norske virksomheter skal stå offentlig frem og fortelle hva de utsettes for i det digitale rom, men jeg ønsker allikevel så inderlig at de gjør det. Det vil styrke deres egen evne til å beskytte seg selv bedre i det lange løp og det vil sannsynligvis være en bekreftelse på at de tar utfordringene på alvor. Overfor sine ansatte, kunder, oppdragsgivere, befolkningen og samfunnet!

Måtte flere komme ut av skapet i det digitale rom!

Posted in Informasjonssikkerhet, Internettsikkerhet, samhandling, Sikkerhetstilstanden | Leave a comment

Sikkerhet på person-, bedrift- og nasjonalt nivå

SxSW Interactive i Austin, Texas er en av verdens største samlingspunkter for teknologi- og kommunikasjonsinteresserte. Med 30.000 deltakere og mer enn 800 foredrag og debatter, har konferansen blitt en arena der trender som Twitter har slått an og blitt spredd globalt.

I løpet av det siste året har avsløringene til Edward Snowden styrket bevisstheten til sikkerhet i samfunnet, både i Norge og globalt. Derfor har det også vært flere foredrag der datasikkerhet har vært på dagsordenen.

Journalister med personsikkerhetsfokus
I paneldebatten “Syrian Electronic Army wuz here” var flere hackede mediebedrifter representert. Finansmagasinet Forbes ble hacket av SEA gjennom en utspekulert phishing-epost, og det samme ble nettstedet DailyDot.

Panelet brukte betydelig tid på å snakke om hvordan de som journalister nå har tatt i bruk sikkerhetsmekanismer som kryptert epost og “deep web” når de intervjuer kilder, spesielt i saker som omhandler hacking. Samtlige erkjente at de hadde vært naive i sin bruk av nettjenester som Skype, og var nå adskillig mer bevisste sine egne sårbarheter. En av paneldeltakerne gikk faktisk så langt som å si at den aller sikreste og mest anonyme kommunikasjonstjenesten i dag var å bruke god, gammeldags brevpost, noe hun også gjorde i enkelte saker.

Snowden etterlyser bransjesikkerhet
Et av årets trekkplastre på konferansen var et intervju med den tidligere NSA-ansatte Edward Snowden, som nå har midlertidig asyl i Russland. Intervjuet ble videooverført, etter sigende gjennom syv proxy-servere, og var av svært dårlig teknisk kvalitet, både lyd- og bildemessig. Hele intervjuet kan sees i sin helhet, blant annet på Mashable sine nettsider.

Snowden

Snowden, som har gjennomført få intervjuer etter sin flukt fra USA, snakket overraskende lite om sin egen situasjon og om han var en varsler eller ikke. Han etterlyste derimot at leverandører av tjenester som folk flest bruker, som Google og Facebook, designer sine tjenester så de er sikre, ikke med bakdører som kan brukes av for eksempel etterretningstjenester. Snowden og intervjuerne nevnte SSL og HTTPS som enkle løsninger som kan beskytte brukerne av denne typen tjenester, og mente at alle sikkerhetsinnstillinger burde være skrudd på i utgangspunktet, og ikke noe man må velge å aktivere. På denne måten kan brukerne være sikrere på at deres personlige opplysninger ikke kommer på avveie.

Aftenposten har skrevet en omfattende sak om intervjuet.

Innovasjonsønske fra det amerikanske forsvarsdepartementet
Mens amerikanske journalister tenker på personsikkerhet og Snowden ga ansvaret til tjenesteleverandørene, er det amerikanske forsvardepartementet (DoD) i Austin med et ønske om mer innovasjon fra private og offentlige aktører.

Robert Gold fra DoD, med den omfattende tittelen “Director, Information Systems & Cyber Security Office of the Under Secretary of Defense for Acquisition, Technology & Logistics” presenterte en rekke initiativ departementet har oprettet for å kunne håndtere dataangrep. Sentralt i departementets strategi står offentlig-private samarbeid, både med private aktører innenfor cybersikkerhet, der DoD støtter flere aktører, og et omfattende samarbeid med flere utdanningsinstitusjoner i landet.

På en konferanse som tradisjonelt har dreid seg om hva som blir “det neste store” innenfor kommunikasjon, er det gledelig at sikkerhet og hacking har fått en så stor plass som under årets konferanse. Det er liten grunn til å tro at dette fokuset vil bli mindre i det neste utgavene av SxSW, noe som ytterligere er med på å øke sikkerhetsfokuset blant deltakere som kanskje er blant de mest innovative i verden.

Posted in Uncategorized | Leave a comment

Cyberpatriotisme – noe vi skal holde oss unna?

«Vi må hacke tilbake» er det mange som gir uttrykk for rundt omkring i verden. Bør vi virkelig hacke tilbake? Forstår vi i det hele tatt konsekvensene av å gjøre noe slikt? Etter min oppfatning er slike ønsker en bekreftelse på at vi fortsatt ikke har den forståelse og modenhet i det som er en ny verden for de fleste av oss – cyberdomenet.

De aller fleste nasjonalstater har, eller i ferd med å utvikle sine offensive kapasiteter i det vi kaller det femte domenet for maktutøvelse – cyberdomenet.
Land, sjø, luft og verdensrommet er de fire første domener som beskrives i militære doktriner. Det har vært skrevet og sagt mye om cyberspionasje, cyberkrigføring og militære cyberkapasiteter de siste årene. Men til tross for forskning og fokus på området tror jeg ikke engang vi vet halvparten av hvilke kapasiteter nasjonalstater virkelig besitter i cyberdomenet. Vi kommer ikke til fullt ut å forstå kapasitetene før noen viser de frem i full skala i en fremtidig væpnet konflikt som mest sannsynligvis involverer alle de fem domenene. Måtte vi aldri oppleve at slike kapasiteter blir tatt i bruk.

Men dette blogginnlegget skal ikke handle om statlige aktører og hva slags kapasiteter de besitter. For det er ikke staten som nødvendigvis roper om at «vi må hacke tilbake» Det er det enkeltpersoner og bedrifter som gjør. Så blogginnlegget skal handle om begrepet cyberpatriotisme eller privat borgervern i cyberdomenet eller cyberspace for å bruke et annet ord. Det skal også handle om ideen enkelte har om å leie inn private selskaper til å hacke tilbake. Det er her jeg mener vi knapt aner konsekvensene av hva det ropes etter.

Cyberdomenet og cyberpatriotisme
Det som gjør cyberdomenet spesielt fra de fire andre domenene, er at det ikke nødvendigvis trengs store ressurser for å gjøre en innsats som saboterer, skaper oppmerksomhet eller i verste fall skader liv eller materiell.

For å si det på en annen måte. Dersom noen fysisk skulle ønske å stanse papirutgivelsen av en riksdekkende avis over hele Norge, ville det ha krevd fysiske ressurser for å hindre produksjon og distribusjon. Det ville også ha krevd fysisk tilstedeværelse på geografiske knutepunkter for å oppnå målet. I cyberspace vil det ikke nødvendigvis ha krevd like store ressurser for å oppnå det samme. Det kreves noe kunnskap, vilje og noe datakraft og det hele kan skje sittende i en kontorstol på andre siden av kloden.

Cyberpatriotisme eller cyber hacktivisme er når noen tar i bruk hackerkunnskapene sine til å markere sine synspunkter som kan være av politisk art eller ut i fra ren nasjonal patriotisme. Det kreves ikke nødvendigvis store ressurser for å utøve sin cyberpatriotisme. Det er også betydelig fysiske tryggere for utøveren enn å løpe gatelangs med våpen i hånd.

I den pågående konflikten mellom Russland og Ukraina er det i skrivende stund rapportert om en økning i cyberaktivitet mellom de to landene. Aftenposten melder i en artikkel at Russland og Ukraina kriger i cyberspace. Jeg skal ikke henge meg opp i begrepsbruken, men er selv lite glad for krigsmetaforen som benyttes sammen med ordet cyber. En britisk general som jeg i farten ikke husker navnet på sa på en konferanse i London for noen år tilbake at i respekt for alle de som hadde deltatt i virkelige krigshandlinger så skulle man slutte å bruke begrepet cyberkrig. Jeg kunne ikke være mer enig.

Ut i fra det vi vet i skrivende stund er det ingen grunn til å tolke den økte cyberaktivitet mellom de to landene på noen annen måte enn at det nettopp er et uttrykk for cyberpatriotisme i en ellers spent situasjon mellom to suverene stater. Med andre ord det er ikke statene som «angriper» hverandre. Det er enkeltpersoner eller grupperinger med sterke sympatier til en av partene.

Men blogginnlegget skulle heller ikke handle om konflikten mellom Russland og Ukraina, så la meg gå litt tilbake i tid.

Når du ringer 911 i cyberspace er det ingen som svarer
I august i fjor deltok jeg på en konferanse i New York hvor jeg fikk anledning til å prate med flere sikkerhetssjefer (CISO) fra noen av de største nord-amerikanske finansinstitusjonene. I samtalene fremkom det mye frustrasjon over cybertrusselen og situasjonen som flere finansinstitusjoner befant seg i. ”We are playing defence and you cant win a war, playing defence” var noe av det som ble sagt og isolert sett er det ikke vanskelig å være enig.

Frustrasjonen kommer fra den konstante hackeraktiviteten som bankene utsettes for og det de mente var mangel på inngripen fra myndighetene, selv om de varslet og anmeldte en rekke forhold.

Flere tok til ordet for større grad av bruk av offensive tiltak mot de som defineres som trusselaktører i cyberspace. «Vi har kunnskap, teknologisk kapasitet og en sterk vilje til å gjøre noe offensivt, men vi kan ikke» sa en av sikkerhetssjefene i New York. Det vil rett og slett være en ulovlig handling og det vil etter hvert bli vanskelig å skille hvem som er «de gode» og hvem som er de «slemme» i cyberspace. «Selv om jeg har aldri så lyst kan du jo tro at jeg får tommelen opp fra styreleder i banken til å hacke tilbake mot organisert kriminalitet» sa en annen frustrert CISO.

Den samme frustrasjonen fikk jeg bekreftet på RSA konferansen i San Francisco i forrige uke hvor noen beskrev frustrasjonen treffende ved å si at når «du ringer 911 i cyberspace så er det ingen som svarer». Myndighetene vil aldri ha ressursene til å beskytte eller fullt ut kunne hjelpe private bedrifter i cyberspace, var en av de andre påstandene som ble uttalt fra scenen i San Francisco. Den enkelte bedrift er i stor grad overlatt til seg selv og det er ikke bare bankene som gir uttrykk for den frustrasjonen.

Det handler om frustrasjon, hevn og selvtilfredsstillelse
Det ble også sagt mye klokt om temaet, men diskusjoner jeg hadde andre med andre konferansedeltakere gjør at jeg ser på retorikken som benyttes som en ytterligere bekreftelse på umodenheten som jeg hevder eksisterer i cyberspace.

Forslag som at hackerne skal hackes tilbake med samme mynt ved at vi skal infiltrere, innhente informasjon, evt. hente vår egen stjålne informasjon tilbake, slette hackernes data, kryptere data, ta kontroll over deres nettverk, sabotere, spionere, mislede eller skape forvirring hos hackerne høres kanskje veldig kult ut, men dersom vi flytter den samme problemstillingen over fra cyberspace til den virkelige verden står vi tilbake med det absolutte kaos og anarki hvor samfunnskostnadene kan bli mye større enn det vi tror vi forsøker å forhindre.

Spesielt reagerer jeg på at det å skulle hacke tilbake skulle være et slags selvforsvar for privatpersoner og bedrifter og det topper seg når det foreslås at vi gjennom å hacke tilbake bare henter tilbake det som allerede er stjålet som om det skulle være en fysisk gjenstand vi er frastjålet. Kunne vi ikke bare erkjenne at det å hacke tilbake i større grad handler om hevn og selvtilfredsstillelse? Hevn for det som allerede er gjort og en tilfredstillelse av å gjøre noe, til tross for at det sannsynligvis skaper en situasjon hvor gjengjeldelse blir norm og konflikter eskalerer til noe enda verre.

Så hva er så mine viktigste argumenter for at cyberpatriotisme eller privat borgervern i cyberspace er en veldig dårlig ide?

Det blir fort en ond sirkel ut av dette

Det blir fort en ond sirkel ut av dette

Det første er det evigvarende utfordringen i cyberspace om attribusjon eller evnen til med absolutt sikkerhet identifisere den som gjør noe uønsket mot deg. Som f.eks. hacking. Det kreves til dels store ressurser for å sikkert identifisere (om det i det hele tatt er mulig) en angriper i cyberspace og jeg har ofte sammenlignet denne problemstillingen med at noen stjeler sykkelen min. Noen uker etterpå hører jeg vage rykter om at den sykkelen er sett i nabokommunen. I min frustrasjon over at politiet (myndighetene) ikke gjør noe med saken, tar jeg saken i egne hender og drar til nabokommunen og stjeler en sykkel. Ikke min, men noen andres.

Jeg har fått min hevn og føler sannsynligvis en tilfredstillelse over å ha «slått tilbake» Men sjansen er stor for at jeg rammer en uskyldig part og det er enda et argument for at det å «hacke tilbake» ikke er fornuftig. Faren for at «hevnen» rammer uskyldige.

Et annet argument er selvsagt det moralske og juridiske aspektet ved å «hacke» eller ta seg inn i datasystemer/nettverk som ikke er ditt. I de aller fleste land er dette noe som er forbudt iht. nasjonal lovgivning og det bekreftes også gjennom internasjonale konvensjoner som forbyr å skaffe seg fortsettlig tilgang til datasystemer uten å ha rett eller samtykke til det.

Kort og godt trenger vi ikke et øye for et øye mentalitet i cyberspace! Vi har da nok av problemer fra før?

Risikoen for at cyberpatrioter eller cyberhacktivister bidrar til å eskalere konflikter mellom nasjonalstater er tilstede og det er ingen ønsket situasjon. Jeg har tidligere påstått her på bloggen at WWW ikke er forkortelsen for World Wide Web, men beskriver tilstanden i cyberspace som Wild Wild West.

Måtte jeg så til de grader ha feil i min påstand!

Posted in Informasjonssikkerhet, Internettsikkerhet | Leave a comment

RSA-konferansen: Oppsummering

Utfordringene med den teknologiske utviklingen, big data og overvåkning var blant temaene som ble diskutert på RSA-konferansen i San Francisco forrige uke.

Posted in Uncategorized | Leave a comment

Over-kommuniser!

Skjønner ikke sjefen hva du sier? Eller synes han sikkerhet er mas og ikke «core business»? Du kommuniserer trolig feil. Foredrag og foredragsholdere her i San Francisco har pekt på behovet for å få toppsjefene på banen i sikkerhetsarbeidet.

Hvordan få sikkerhetsbudsjettet ditt igjennom? spurte John B. Dickson. Sikkerhet er fjernt for de fleste. Og sikkerhetsfolk har en tendens til å krisemaksimere små ting, mens ledelsen er opptatt av for eksempel situasjonen i Ukraina. Se vekk fra de små tingene, se det store bildet, og sett deg inn i situasjonen til sjefen, sa han.

Dessuten: Bruk suksesshistorier for det de er verdt, og «overkommuniser», sa Dickson. Du ser foredraget her.

Også Sari Stern Green holdt foredrag om kommunikasjon på konferansen. Ord betyr faktisk noe, sa han. Vanlig språk, uten masse faguttrykk og andre forstyrrelser, er den beste måten å uttrykke deg på, sa han. Gjør det enkelt, skriv korte setninger, la unødvendige ord fare. Bruk positive ord som er tilpasset det målgruppen tenker. Og bruk klart språk (her er nok det norske prosjektet Klarspråk den nærmeste til å gi råd for nordmenn.

Posted in Uncategorized | Leave a comment

Trenger du en penn?

Ute etter blinkende solbriller? Gratis øl? Lysende penner? Massasje for nakkemusklene? Messen for private selskaper på RSA-konferansen er definitivt stedet for deg. Over 400 utstillere er ute etter å få akkurat deg til å kjøpe deres sikkerhetsprodukter.

I år er den større enn noen sinne. Her er alle besøkende potensielle kunder. Utstillerne overgår hverandre i hvordan de skal få deltakerne interessert i akkurat sine sikkerhetsprodukter. Her er det bokseringer med live-show, informasjonssikkerhetsdamer i korte skjørt, og konkurranser om å vinne iPads. Gratis give-aways blir sjelden gitt vekk uten at utstillerne ser sitt snitt til å scanne deltakerkortet ditt samtidig. Dermed er trolig mye epost allerede nå på vei til min epostkasse om diverse produkter.

Hva lærte vi ellers i går? Dette var dagen for å shoppe diverse foredrag i ulike saler for min del. Noe av det mer interessante var foredraget fra FBI-direktør James Comey, som mener det offentlige trenger å lytte til privat sektor for å finne ut hva som skjer i cyberspace. Det er mange ulike måter å lytte på, sa han. Du har Washington-metoden, hvor lytting dreier seg om å vente til det blir din tur til å snakke, slik at du kan si det du skal si. Så har du lytting som handler om å la det som blir sagt faktisk nå hjernen. Og så har du lytting som handler om å la ordene nå hjernen, og vise at du trenger akkurat denne informasjonen både med kroppsspråk, mimikk og lyder. Det offentlige må bruke den siste metoden, for vi trenger nettopp informasjon om hva som skjer fra privat sektor, sa han. Og det offentlige må dele så mye som mulig med privat sektor, så fort som mulig.

Interessant var det også å høre hva han fikk som spådom fra FBIs forrige direktør da han begynte i jobben: Cybersikkerhet vil dominere de neste ti årene, på samme måte som kontraterrorisme har dominert de ti årene som har gått. Du kan lese mer om foredraget han holdt på The Register. Det tyder på mye oppmerksomhet rundt informasjonssikkerhet i årene som kommer, også fra organisasjoner som FBI.

Posted in Informasjonssikkerhet | Leave a comment

En gullalder for overvåkning

Ingen sikkerhetskonferanse kan bli arrangert i 2014 uten å ta opp temaet NSA, overvåkning og Snowden. I dag startet RSA-konferansen friskt med et key note-foredrag av styreleder i RSA, Arthur W. Covellio jr. Han gikk hardt ut mot beskyldningene om at RSA skal ha samarbeidet med NSA om å legge inn svakheter i kryptoalgoritmer som har gitt etterretningsorganisasjonen tilgang til sensitiv informasjon. NSA har gjort skillet mellom delen av organisasjonen som jobber med informasjonssikkerhet og etterretningsdelen uklart, og har utnyttet tillit. Det er et problem sa han. (Se også Reuters sak om foredraget). Alle nasjoner spionerer på hverandre. Men etterretningsorganisasjoner bør jobbe for å beskytte oss, og ikke krenke oss, sa Covellio.

På bildet: Tidligere CIA-sjef general Michael V. Hayden, James Lewis fra Center for Strategic and International Studies, og tidligere spesialrådgiver for tre presidenter, Richard Clarke.  Foto: NSM

På bildet: Tidligere CIA-sjef general Michael V. Hayden, James Lewis fra Center for Strategic and International Studies, og tidligere spesialrådgiver for tre presidenter, Richard Clarke. Foto: NSM

Tillit

Hvordan ser overvåkning og NSAs rolle ut fra et Washington-perspektiv? Richard Clarke har jobbet under tre presidenter, sist som spesialrådgiver for cybersikkerhet og nasjonal koordinering av sikkerhet og kontraterrorisme. Han satt i Obamas evalueringsgruppe for etterretning og kommunikasjonsteknologi som ble utnevnt etter Snowden-lekkasjene. Gruppen fant ikke at det var gjort noe galt eller ulovlig i NSAs innsamling av informasjon. Men det at noe ikke er forbudt, betyr ikke nødvendigvis at det er riktig å gjøre det, sa han. Han mente også politikerne har vedtatt etterretningslover uten å skjønne de faktiske konsekvensene av hva det innebærer. Enhver etterretningsorganisasjon vil gjøre det den kan innen lovverket for å skaffe informasjon. Ellers gjør den rett og slett en dårlig jobb. Politikere og beslutningstakere må gi veiledning om hva de ønsker, og hva de ikke ønsker, skal bli samlet inn av informasjon.

– Hvis det ikke tåler å havne på avisenes førstesider, skal vi ikke gjøre det, sa Clarke.

Etterretningsmiljøet vil ta i mot veiledning med glede, sa tidligere CIA-direktør og general Michael V. Hayden i debatten.

Hvordan gjenopprette tillit mellom befolkningen og etterretningsorganisasjonene? Råd nummer én er transparens, sa Clarke. Folk vil føle seg bedre hvis de vet mer. Og du kan ta knekken på paranoia med sannhet, sa Clarke.

Sikkerhetsguru Bruce Schneier samlet rundt 1000 deltakere på sitt foredrag om overvåkning og tiltak for å beskytte oss. Foto: NSM

Sikkerhetsguru Bruce Schneier samlet rundt 1000 deltakere på sitt foredrag om overvåkning og tiltak for å beskytte oss. Foto: NSM

En gullalder for overvåkning

Sikkerhetsguru Bruce Schneier samlet trolig nærmere 1000 deltakere på sitt foredrag om NSA, overvåkning, og hva som kan gjøres. Vi legger igjen digitale fotavtrykk overalt hvor vi går på nettet. Overvåkning er selve forretningsmodellen på Internett, sa han. Derfor er det ikke rart at etterretningstjenester bruker samme teknikk. Dette er overvåkningens gullalder, sa Schneier. Han hevdet Snowden-dokumentene ikke bare handler om NSA, men om hva en hvilken som helst nasjon kan gjøre på nettet. 11/9 skapte dessuten et klima hvor «never again» var det rådende paradigmet. Den eneste måten å oppnå det på, var å vite alt, sa han.

Hvordan beskytte seg? Kryptering gjør det vanskelig for etterretningsorganisasjoner. Vi må gjøre overvåkning dyrere, og vanskelig. Og kryptering virker. Kryptering er svaret på overvåkning på nettet, sa Schneier, et faktum som nok er velkjent for de fleste sikkerhetsekspertene på konferansen.

Det er ikke det at produktet er utenlandsk som dreper deg, det er mangelen på sikkerhet, sa Roar Thon. Foto: NSM

Det er ikke det at produktet er utenlandsk som tar rotta på deg, det er mangelen på sikkerhet, sa Roar Thon. Foto: NSM

Utenlandsk teknologi

Hvordan skal man så beskytte seg mot overvåkning og spionasje i teknologi som er produsert i andre land? Et stort og vanskelig spørsmål, fordi man rett og slett vet veldig lite om hva som er mulig å legge inn i teknologien vi bruker. Dessuten er jo nesten all teknologi utenlandsk eller global, gjerne produsert og satt sammen i flere forskjellige land. Roar Thon fra Nasjonal sikkerhetsmyndighet var som eneste nordmann på scenen på denne konferansen. Standarder som Common Criteria kan hjelpe til å sikre at teknologien er til å stole på, sa nestkommanderende i informasjonssikkerhetsdelen av NSA, Curtis Duke. Men slike sertifiseringer er dyrt, og i et fritt marked skal det mye til for at det blir gjort, i selskaper som er avhengig av å snu på krona, sa Nigel Jones i selskapet KoolSpan. Og hva er egentlig utenlandsk teknologi? spurte Roar Thon. Det er ikke det at produktet er utenlandsk som tar rotta på deg, det er mangelen på sikkerhet, sa han.

Over 25 000 deltakere, og fler enn 550 foredragsholdere, er med på årets RSA-konferanse i San Francisco. Jeg kommer tilbake med mer de nærmeste dagene om hva som skjer.

Posted in Uncategorized | Leave a comment

Vil lage klassisk liste over cyberlitteratur

Det finnes også kulturinteresserte på RSA-konferansen. En av dem er Rick Howard, som sterkt tok til orde for å utvikle en egen bok-kanon (og da ikke i den militære betydningen av ordet) om cybersikkerhet. En kanon er en gruppe litterære verk som er anerkjent som best og viktigst innen et område.

- Hva, har dere ikke lest den? sa han sjokkert flere ganger da han spurte forsamlingen om de hadde lest de ulike bøkene har presenterte.

Du kan se hva Rick Howard mener bør være bøkene du allerede bør ha lest om cybersikkerhet her. 

På konferansen presenterte hva han selv mener bør være på topp 5-lista, blant dem boken om Anonymous (We Are Anonymous), boken Confront and Conceal om Stuxnet, og Kingpin, om cyberkriminalitet. Litt interessant er det også at han hadde med Stieg Larssons The Girl With The Dragon Tattoo («Menn som hater kvinner» på norsk) på lista over sine topp 20-bøker.

Du kan stemme frem bøkene du mener bør være på Howards bokklassikerliste, eller foreslå andre bøker, her.

Science Fiction-entusiastene Uri Rivner og Sam Curry gikk gjennom en serie ulike Science Fiction-filmer som er blitt realitet. Egentlig et litt skremmende foredrag. For hva var science fiction, og er blitt virkelighet? Vel, både iPad-en (beskrevet av Stanislaw Lem i 1961), touch-skjermer (beskrevet i Star Trek i 1966) og kommunikasjonssatellitter (beskrevet av Arthur C Clarke i 1945) er blitt virkelighet. Men også, kanskje mer skremmende, det å forutse kriminalitet før den skjer, beskrevet i Minority Report med Tom Cruise i 2002. Politiet i både Memphis og Santa Cruz jobber nå med å forutse kriminalitet ved hjelp av big data, før det faktisk skjer, sa Rivner og Curry. Det betyr heldigvis ikke at folk blir arrestert før de har gjort noe galt, men at de i stedet kan sende ut patruljer til områder på tidspunkt de statistisk vet noe kommer til å skje.

De gikk gjennom også en rekke «futuristiske hack» som er blitt virkelighet, blant dem det å fjernkontrollere en bil og cybermurder. Du kan se en liste over hackingaksjoner som er blitt en realitet i Huffington Post.

Posted in Uncategorized | Leave a comment

IT-sikkerhet anno 2014: Noe må gjøres

- Vi har sett en forandring de siste 12 månedene.

Det sa programsjef Hugh Thompson under åpningen av på sporet Security Basics på RSA-konferansen i dag. Forandringen er ikke til det bedre. I følge Thompson har man sett flere avanserte dataangrep enn noen gang før de siste 12 månedene. Forandringene de siste årene gjør at sikkerhet blir mer viktig for virksomhetene. Noe må gjøres for å møte disse utviklingstrekkene, sa han.

Les Anders Kringstad sitt forslag til hva som må gjøres her. 

Thompson beskrev de store forandringene innen IT-sikkerhet de siste ti årene gjennom fire trender:

1. Sikkerhet har blitt kritisk viktig for virksomhetene. Nye reguleringer og revisjoner forandrer hele økonomien innenfor risiko. Hackere kan teoretisk angripe deg, men revisjonsfolk, i dress, vil med sikkerhet dukke opp, du vet til og med klokkeslettet de kommer på. Det gjør at virksomhetene må ta sikkerhet på alvor på en helt annen måte enn før. Konsekvensene av å gjøre feil innen området har også blitt større.

2. Teknologien har utviklet seg med enorm fart, gjennom smarttelefoner, nettbrett, Internet of Things og så videre. Og folk har en tendens til å velge løsninger som er enkle å bruke, og ikke nødvendigvis sikre.

3. Angriperne har organisert seg på en helt annen måte enn før, og jobber som velorganiserte selskaper, drevet av profitt. De utnytter både tekniske og menneskelige svakheter. De har til og med utviklet kundeservice: Dersom det stjålne kredittkortnummeret du har kjøpt på nett ikke virker, får du et nytt innen 72 timer.

4. Folk forventer sikkerhet på en helt annen måte enn før. Det er blitt en langt større offentlig oppmerksomhet rundt sikkerhetshendelser.

Helt greit å slenge seg ned i en sakko-sekk etter en lang dag på konferansestoler.

Helt greit å slenge seg ned i en sakko-sekk etter en lang dag på konferansestoler.

Han beskrev også sikkerhetens økonomi (klarer for øyeblikket ikke å finne bedre oversettelse av “The Economics of Security”) gjennom begrepet hackernomics og fem lover:

1. De fleste angripere er som regel bare ute etter noe (og er ikke onde eller gale).

2. Sikkerhet handler ikke om sikkerhet. Sikkerhet handler om å redusere risiko til en viss kostnad, og risikostyring.

3. De mest kostbare sikkerhetshendelsene er skjedd på grunn av enkle feil. Det handler ikke om en genial og gal ninja-hacker som utnytter en ukjent sårbarhet i datasystemene. Det handler ofte om et passord som «passord», som har gjort det enkelt å bryte seg inn i systemene.

4. De fleste folk tar dårlige beslutninger når det gjelder sikkerhet. Derfor må bransjen bygge systemer som er enkle å bruke sikkert, og vanskelige å bruke usikkert.

5. Angripere prøver som regel å utnytte svake punkter for å komme seg inn i systemene, for eksempel gjennom å lure ansatte, og ikke gjennom å bryte seg gjennom avansert teknologi.

RSA-konferansen har i år samlet flere deltakere enn noen sinne. I dag fulgte jeg begynnelsen på seminaret Security Basics. Der klarte jeg å holde meg i en time, inntil jeg så en twittermelding som fikk meg til å løpe gjennom det gigantiske, flyplasslignende  konferansesentret (ett av totalt tre) ned til et annet seminar. Valgmulighetene er til å få vondt i magen av. Jeg kommer til å oppsummere litt av det jeg får med meg de nærmeste dagene her på Sikkerhetsbloggen.

Posted in Uncategorized | Leave a comment