Kan dere ikke bare komme ut av skapet? Vær så snill?

Under Nasjonal sikkerhetsmyndighets sikkerhetskonferanse denne uken fikk jeg som NSM ansatt anledning til å presentere to reelle, men grundig «vaskede» og anonymiserte digitale spionasjesaker fra virkeligheten. Hensikten med å anonymisere sakene er for å hindre at identiteten til virksomheter som har vært utsatt for slik aktivitet blir offentlig kjent. Dette er etter virksomhetens eget ønske og et ønske som vi i NSM selvsagt respekterer og beskytter med vår taushetsplikt og i mange saker med henvisning til rikets sikkerhet og sikkerhetslovens bestemmelser.

Når vi «vasker» en sak før vi uttaler oss, er det for å redusere risikoen for at vi gjennom detaljer avslører konkrete tekniske beskyttelsestiltak eller rutiner på en slik måte at vi i forsøket på å drive folkeopplysning og kunnskapsformidling også skaper sårbarheter som trusselaktørene kan utnytte til nye forsøk mot norske interesser. For mye informasjon om tekniske detaljer kan også indirekte avsløre identiteten til den virksomheten som har vært utsatt for hacking, dataangrep eller digital spionasje (ukjært barn har også mange navn)

Hensikten med mitt foredrag var å informere om hva som skjer når norske bedrifter og offentlige virksomheter blir utsatt for avanserte digitale spionasjeforsøk. Audiovisuelt opptak av foredraget kan sees på nsm.stat.no med tittelen – Historiene bak statistikken (Dag 2 0900-1130)

Direktør NSM - Kjetil Nilsen informerer om sikkerhetstilstanden

Direktør NSM – Kjetil Nilsen informerer om sikkerhetstilstanden

I de neste ukene kommer det flere blogginnlegg med referanser til årets konferanse som samlet over 650 deltakere, noe som er ny rekord for NSMs sikkerhetskonferanse. Mange av foredragene er tilgjengelige på nsm.stat.no

Samme dag som sikkerhetskonferansen åpnet la vi frem vår rapport om sikkerhetstilstanden i samfunnet og vår årsrapport for 2013. I rapport om sikkerhetstilstanden offentliggjorde vi at det i 2013 ble registrert 50 saker som ble definert som alvorlige digitale spionasjeforsøk mot norske private og offentlige virksomheter. To av de 50 sakene var altså det jeg skulle presenterte i sin «vaskede» utgave. Under arbeidet med å forberede foredraget reflekterte jeg litt om hvorfor så få organisasjoner og selskaper våger å stå frem i offentligheten med noe som dessverre er veldig normalt.

Telenor skal ha ros
Telenor fortjener virkelig ros for at de i 2013 stod frem kort tid etter at de ble utsatt for det som ble definert som et alvorlig tilfelle av industrispionasje mot konsernet. Det er ingen som ønsker seg slike hendelser, men Telenor har stått med rak rygg i offentlighetens lys, senest med styreleder i Telenor – Svein Aasers innlegg om hendelsen under NSMs topplederseminar denne uken. Åpenheten har bidratt til å skape en ytterligere forståelse for utfordringene i det digitale rom, men hva med alle de andre som kunne ha bidratt til det samme? For det var ikke bare Telenor som ble utsatt for industrispionasje i 2013! For alt du som leser vet – så er det ikke en gang sikkert at Telenor var de som ble hardest rammet i 2013?

There is two kind of organizations…
Et populært “slagord” I USA for noen år tilbake var påstanden om: “There is two kind of organizations – those that know they’ve been hacked, and those that don’t know it yet” Det siste års bekreftelser om hva som er teknologisk mulig, underbygger dessverre denne påstanden. NSMs vurdering av sikkerhetstilstanden i det norske samfunnet bekrefter også at «slagordet» ikke er så alt for langt unna sannheten. Med andre ord er det å bli hacket i en eller annen form, på et eller annet tidspunkt nesten for norm å regne. Så hvorfor syntes det å sitte så langt inne å erkjenne utfordringene offentlig? Hva er årsakene til at det holdes «hemmelig»? Er det i redsel for å få redusert omdømme? Tap av kunder eller redusert tillit i markedet? Påvirker det børsverdien? Av det jeg kan se – har ingen av disse negative konsekvensene rammet Telenor. Jeg kjenner ingen virkelige profesjonelle sikkerhetsfolk som ler av Telenor, for de vet at dette skjer de fleste og de beste. «Det skjer ikke meg» er en vanlig tankegang. Min påstand er at en slik tankegang fungerer dårlig i den analoge verden og den fungerer enda dårligere i den digitale verden.

For sensitivt å uttale seg om?
Norske medier dekket sikkerhetskonferansen og vår statistikk om de 50 alvorlige spionasjesakene og ca 16.000 registrerte hendelser på nett, ble gjengitt i ulike artikler og innslag. I forbindelse med dette ble også noen sektorer intervjuet med konkrete spørsmål om dataangrep var et økende problem. Noen nektet å uttale seg om spørsmålet da det var for sensitivt å snakke om! Virkelig? Dersom vi ikke en gang kan uttale oss om det, har vi en lang vei å gå for å erkjenne utfordringene i det digitale rom. Jeg mistenker at svaret om at det er for sensitivt å uttale seg om, har en bakgrunn i at man rett og slett ikke har en grunnleggende oversikt over situasjonen. At DET er sensitivt forstår jeg, fordi det er flaut!

Større åpenhet nå – for å sikre oss bedre i fremtiden
Slik situasjonen er i Norge tror jeg det gir større skadevirkninger dersom en kommersiell virksomhet hemmeligholder hendelser, som så allikevel blir offentlig. I et Norge som kanskje ikke fullt ut har forstått de langsiktige konsekvensene ved de digitale truslene vi utsettes for, er det sannsynligvis mindre konsekvenser ved å stå frem enn hva som blant annet virker å være tilfelle i USA. Dette kan vi utnytte til vår fordel for fremtiden.

Dersom vi er i stand til å etablere en større åpenhet nå, vil vi sannsynligvis kunne skape en kunnskaps- og informasjonsdeling som kan bli et fortrinn for norske virksomheter i den fremtidige kampen for å beskytte seg mot digitale trusler for fremtiden. Det er å håpe at virksomhetene forstår at det å stå frem hjelper andre og andre som står frem hjelper tilbake, fordi erfaring, kunnskap og forståelse spres fortere. Er det noe vi trenger for å beskytte oss bedre mot digitale trusler, så er det nettopp det!

Kom ut – kom frem
Ingen blir sikkert overrasket når jeg påstår at vi må ta trusselen som vi alle møter i vårt nettverksbaserte og teknologiske samfunn på alvor. Vi trenger en kollektiv økning i kunnskap og bevissthet om de eksisterende trusler og risiko vi daglig møter i det digitale rom. Vi trenger samtidig økt kunnskap og forståelse om hvordan samfunnet, virksomhetene og enkeltindivider bør håndtere truslene og redusere risiko. For å få et høyere felles kunnskaps- og bevissthetsnivå må vi dele mer om det som skjer. Samtidig er det naivt å forvente full åpenhet. Slik fungerer ikke verden. Vi har alle behov for å ha noen hemmeligheter.

Jeg er en av de som har som arbeidsoppgave å spre kunnskap og øke bevissthet knyttet til sikkerhet. Noen ganger blir jeg sendt ut til virksomheter som har hatt «telenorlignende hendelser» for å øke bevisstheten hos ledere og de ansatte. Problemet er at det kun er den øverste ledelsen og jeg som vet hvorfor jeg befinner meg på scenen for å fortelle om utfordringene i det digitale rom – på generelt grunnlag. Hendelsen som er grunnen til at jeg er der, må ikke nevnes. For den er «hemmelig»!

Jeg vet at jeg kan virke dobbeltmoralistisk når jeg på den ene siden maner til åpenhet, samtidig som jeg også vil argumentere sterkt for behovet for hemmelighold og spesielt i forhold til rikets sikkerhet. Men ta da det faktum – at du leser dette på en offentlig blogg fra en av de såkalte hemmelige tjenestene – som et tegn på at også vi ønsker større åpenhet om mange av de oppgavene vi løser for samfunnets beste.

Jeg forstår at det kan virke svært vanskelig å stå frem offentlig med dette. Men det handler ikke om en åpenhet som er så detaljert at den ytterligere blottlegger eksisterende sårbarheter som igjen kan utnyttes av trusselaktørene, men en åpenhet om at vi alle blir utsatt for dette. Jeg tror vi kommer lenger med at virksomheter åpent sier at de utsettes for dette daglig og at de er i en konstant kamp for å beskytte seg – enn å si at det er for sensitivt å snakke om.

For et par år tilbake ble en større norsk bedrift intervjuet i en lokalavis hvor de nettopp forklarte at de slåss daglig med å holde trusselaktører utenfor sine nettverk. Nabobedriften ble også intervjuet og deres svar var at – “nei det har vi heldigvis ikke merket noe til” Hvem av de to bedriftene tror du har best fokus på sin sikkerhet?

Jeg kan på ingen måte kreve at norske virksomheter skal stå offentlig frem og fortelle hva de utsettes for i det digitale rom, men jeg ønsker allikevel så inderlig at de gjør det. Det vil styrke deres egen evne til å beskytte seg selv bedre i det lange løp og det vil sannsynligvis være en bekreftelse på at de tar utfordringene på alvor. Overfor sine ansatte, kunder, oppdragsgivere, befolkningen og samfunnet!

Måtte flere komme ut av skapet i det digitale rom!

About Roar Thon

Roar Thon er fagdirektør sikkerhetskultur i Nasjonal sikkerhetsmyndighet hvor han har arbeidet siden 2003. Han har tjenestebakgrunn fra Forsvaret og Politiet. Han har de siste årene arbeidet mye med menneskers bruk av teknologi og hvordan mennesker atferd påvirker sikkerhetstilstanden. Roar er tildelt ITAKT prisen 2012 for sitt engasjement og evne til å formidle sikkerhet. (ITAKT - Internet og Telekombransjens Anti Kriminalitets tiltak)
This entry was posted in Informasjonssikkerhet, Internettsikkerhet, samhandling, Sikkerhetstilstanden. Bookmark the permalink.