– Det kunne gått veldig galt…
Lite fokus på sikkerhet i digitaliseringen legger systemene åpne, mener Christian Sandberg fra Check Point. På Channelworld har han gode og dårlig sikkerhetsnyheter.
Christian Sandberg kommer til Channelworld med ferske tall fra Check Points årlige sikkerhetsrapport. De er basert på frivillige gateway-skanninger hos godt over 30.000 kunder.
– Noe er vi blitt flinkere til, andre ting må vi ha mer fokus på, sier han, og viser til at sikkerheten i forbindelse med digitalisering tilhører den siste kategorien.
Erfaringene viser at fokuset på sikkerhet varierer veldig under jobbingen med digitalisering.
– Vi ser at tankene rundt sikkerheten ofte kommer inn ganske sent, eller sett fra oss – fra en pussig vinkel. De ansvarlige legger ofte mye ansvar på de systemene de tar i bruk og antar at sikkerheten er håndtert der. De ser ut til å tro at de som lager løsningene har tenkt på alt som man bør tenke på angående sikkerhet. Vi ser ofte at det feiler.
Avleggs rådgivning
Myndighetene i Norge har utarbeidet råd for dem som tar i bruk digitale verktøy, og Sandberg blir gang på gang overrasket over rådene.
– De er ofte utdatert og baserer seg på gamle og utdaterte rapporter og innstillinger. Det er ikke slik verden fungerer nå.
Han har en mistanke om at de offentlige instansene bestilte konsulentrapporter for 5-10 år siden om hvordan ting kan sikres, og at det er disse rapportene som danner grunnlaget for kravene de nå stiller til private og offentlige organisasjoner som tar i bruk digitale løsninger.
– Man må ikke være rakettforsker for å forstå at sikkerhetsbildet for 5-10 år siden ikke er slik det ser ut i dag. Vi ser ofte at de som designer en ny løsning tråkker i baret, og at den må forandres underveis.
– De har heldigvis ofte mye flaks, men i mange tilfelle kunne det gått veldig galt. Når man går tom for flaksen, skal man sitte og se på det eller gjøre noe med det?
Skoleverket sårbart
Digitaliseringen av skoleverket også en utfordring. Sandberg har selv opplevd fra foreldresiden hvordan læringen legges om til å skje med digitale hjelpemidler.
– Det er interessant å se hvordan det gjøres, hva slags støtte elevene får eller ikke får, og hvordan skolene håndterer det. De tar i bruk løsninger ment for privat bruk, som ipader og så videre. De kan brukes i skole og i forbindelse med jobb, men det er ikke det de er laget for. Her er det mye rart å se for en som jobber med sikkerhet.
Sandberg oppdaget at barna fikk enheter fra for eksempel Google og Apple som i og for seg er bra, men som er laget for voksne brukere og passer ikke direkte inn i skolen. Ofte ligger Googles og Apples definisjon av sikkerhetsbehovet til grunn når løsningen legges opp, men den har ikke fanget opp de siste truslene. Lite eller ingenting er gjort for å fange opp dagens mest aktuelle trusler, som ransomware, der kriminelle tar over og kidnapper systemet.
Han påpeker at man nå stoler veldig på den sikkerheten som ligger i systemet på enheten eleven får. De får enheter som de kan bruke fritt hjemme og på skolen og ta med seg fram og tilbake, og utfordringene melder seg når enhetene kommer opp på andre nettverk. De har en begrensning for hva som kan legges inn, men når de koples opp hjemme er de utenfor skolens sikkerhetsløsninger.
– Om en hel skole blir utsatt for ransomware, hvor lang tid vil det ta for en hel skole å rydde opp i det, og hvor mange undervisningsdager vil de tape? For ikke å snakke om hva kommunen må betale for å åpne skolen igjen.
– Nå er fokuset i skolen mer på at elevene ikke skal komme i kontakt med negative personer på nettet og dele det, men her begrenser konsekvensene seg til én person eller en gruppe personer. Om hele systemet på skolen blir kompromittert, kan det ha mye større konsekvenser, avslutter Christian Sandberg.