IT-sikkerhet anno 2014: Noe må gjøres

- Vi har sett en forandring de siste 12 månedene.

Det sa programsjef Hugh Thompson under åpningen av på sporet Security Basics på RSA-konferansen i dag. Forandringen er ikke til det bedre. I følge Thompson har man sett flere avanserte dataangrep enn noen gang før de siste 12 månedene. Forandringene de siste årene gjør at sikkerhet blir mer viktig for virksomhetene. Noe må gjøres for å møte disse utviklingstrekkene, sa han.

Les Anders Kringstad sitt forslag til hva som må gjøres her. 

Thompson beskrev de store forandringene innen IT-sikkerhet de siste ti årene gjennom fire trender:

1. Sikkerhet har blitt kritisk viktig for virksomhetene. Nye reguleringer og revisjoner forandrer hele økonomien innenfor risiko. Hackere kan teoretisk angripe deg, men revisjonsfolk, i dress, vil med sikkerhet dukke opp, du vet til og med klokkeslettet de kommer på. Det gjør at virksomhetene må ta sikkerhet på alvor på en helt annen måte enn før. Konsekvensene av å gjøre feil innen området har også blitt større.

2. Teknologien har utviklet seg med enorm fart, gjennom smarttelefoner, nettbrett, Internet of Things og så videre. Og folk har en tendens til å velge løsninger som er enkle å bruke, og ikke nødvendigvis sikre.

3. Angriperne har organisert seg på en helt annen måte enn før, og jobber som velorganiserte selskaper, drevet av profitt. De utnytter både tekniske og menneskelige svakheter. De har til og med utviklet kundeservice: Dersom det stjålne kredittkortnummeret du har kjøpt på nett ikke virker, får du et nytt innen 72 timer.

4. Folk forventer sikkerhet på en helt annen måte enn før. Det er blitt en langt større offentlig oppmerksomhet rundt sikkerhetshendelser.

Helt greit å slenge seg ned i en sakko-sekk etter en lang dag på konferansestoler.

Helt greit å slenge seg ned i en sakko-sekk etter en lang dag på konferansestoler.

Han beskrev også sikkerhetens økonomi (klarer for øyeblikket ikke å finne bedre oversettelse av “The Economics of Security”) gjennom begrepet hackernomics og fem lover:

1. De fleste angripere er som regel bare ute etter noe (og er ikke onde eller gale).

2. Sikkerhet handler ikke om sikkerhet. Sikkerhet handler om å redusere risiko til en viss kostnad, og risikostyring.

3. De mest kostbare sikkerhetshendelsene er skjedd på grunn av enkle feil. Det handler ikke om en genial og gal ninja-hacker som utnytter en ukjent sårbarhet i datasystemene. Det handler ofte om et passord som «passord», som har gjort det enkelt å bryte seg inn i systemene.

4. De fleste folk tar dårlige beslutninger når det gjelder sikkerhet. Derfor må bransjen bygge systemer som er enkle å bruke sikkert, og vanskelige å bruke usikkert.

5. Angripere prøver som regel å utnytte svake punkter for å komme seg inn i systemene, for eksempel gjennom å lure ansatte, og ikke gjennom å bryte seg gjennom avansert teknologi.

RSA-konferansen har i år samlet flere deltakere enn noen sinne. I dag fulgte jeg begynnelsen på seminaret Security Basics. Der klarte jeg å holde meg i en time, inntil jeg så en twittermelding som fikk meg til å løpe gjennom det gigantiske, flyplasslignende  konferansesentret (ett av totalt tre) ned til et annet seminar. Valgmulighetene er til å få vondt i magen av. Jeg kommer til å oppsummere litt av det jeg får med meg de nærmeste dagene her på Sikkerhetsbloggen.

This entry was posted in Uncategorized. Bookmark the permalink.