Fare, fare krigsmann!
KOMMENTAR: Informasjonssikkerhet og sårbarhet er svære temaer, men jeg tror alle er enige om én ting – vi har ikke nok av det første og mer enn nok av det andre. Hvor mye sikkerhet som er nok, er vanskeligere å bli enig om, men vi er ganske langt fra dén grensen. Hva skal vi gjøre?
Sårbarheten øker fordi mer og mer data blir lagret og behandlet digitalt. Snart ligger alle data i datamaskiner enten internt eller i skyene der de kan nås. Alle hus, biler, maskiner og andre gjenstander vil etterhvert knyttes til Internettet (i tillegg til nesten alle mennesker). Dessuten finnes det stadig mer utspekulert og billig teknologi for å stjele data eller snoke i dem. Det er mange skumle typer rundt på kloden.
Behovene for beskyttelse varierer fra bransje til bransje og organisasjon til organisasjon. Noen er fristende objekter for angrep og derfor er de utsatt for misbruk og har mye å tape. Andre slipper lettere unna. Derfor er det ikke mulig å gi råd som gjelder alle, de blir fort for generelle (som gode råd ofte blir). Hver bedrift, hver institusjon må analysere sine målsettinger, sin situasjon og sin risikovilje. Gartner har nylig foreslått en ny angrepsvinkel for slike analyser. Den er kalt Scenarios for Security 2020.
Vi kan gripe fatt i to ting. Den ene er hva som er målet for sikkerhetsangrepene. Er det virksomheten eller enkeltpersoner? Den andre er hvordan sikkerheten skal styres: Sentralisert eller gruppe for gruppe? Kombinerer vi disse som to akser får vi fire alternative scenarier. I en så diffus situasjon holder det ikke å låse seg bare til én plan, vi må tenke gjennom flere mulige scenarier.
I det første scenario er virksomhetene angrepsmålet og sikkerheten blir styrt sentralt. Det er kalt å "Regulere bort risiki" og minner mye om dagens modell. Man går ut fra at myndighetenes reguleringer og tilhørende veiledning vil begrense sårbarheten i tilstrekkelig grad. For eksempel har Finanstilsynet en viktig regulerende rolle overfor banker og finansinstitusjoner. Tilsynet forteller hva de enkelte virksomheter får og ikke får gjøre. Virksomhetene på sin side skal etterleve anbefalingene (compliance) og står ansvarlig for sine ansatters handlinger. Trusselen i scenariet er at de operasjonelle kostnadene vil øke, men risikoen for angrep ikke nødvendigvis vil dale.
I scenario 2 er målet for angrep fremdeles virksomhetene, men styringen av "forsvaret" overlates i stor grad til de enkelte virksomhetene. Begrunnelsen er at angrepene etterhvert vil bli så mange og så utspekulerte at det å beskytte seg gjennom reguleringer ikke blir effektivt nok. Virksomhetene må selv sørge for å beskytte seg gjennom å øke forsvarsinnsatsen betraktelig. Det vil føre til at store sikkerhetskoalisjoner vil bli dannet for å dele på kostnader og kompetanse. Derfor heter scenariet "Koalisjoner tar grep". Antagelig vil også angriperne samarbeide, så dette blir en slags avansert digital krig.
I scenario 3 rettes angrepet i økende grad mot enkeltpersoner – ansatte, kunder, borgere. Angriperne tror at det blir lettere å lure seg inn blant de tusen små bakdørene fremfor å gå direkte løs på virksomhetene som har lært å forsvare seg. Myndighetene vil prøve å beskytte individene gjennom utstrakt regulering av hva privatpersoner får og ikke får gjøre. Det kan gå ut over virksomhetenes effektivitet. Det kan også utarte seg til direkte overvåkning. Dette scenariet er døpt "Foreldrekontroll". Datalagringsdirektivet er takk og pris en saga blott, men nye tilsvarende ordninger vil sikkert dukke opp.
Det siste scenariet er ganske fremmedartet og vanskelig å forestille seg: Enkeltpersoner blir angrepsmålet, men samtidig blir myndighetenes beskyttelsesinnsats svekket. Scenariet kalles "Borgervern" for å illustrere at her vil selvorganiserte interessegrupper ta initiativ til å bygge beskyttelsesmekanismer, blant annet gjennom såkalte "inngjerdede hager". Det vil bli tatt i bruk avansert programvare for å kunne bruke nettet, men beholde sin anonymitet.
Disse scenarier er ment som hjelpemidler til å tenke og analysere videre. Flere enn ett kan bli til virkelighet. Men en ting er sikkert: Erfaringer fra de siste par årene, og spesielt Edward Snowdens avsløringer, har vist at den digitale verden er en farlig plass. Fremtiden vil definitivt bli annerledes enn hva fortiden har vært.
hidas@online.no