Sikkerhetsguru bekymret for moderne infrastruktur
Scott Helme mener økt kompleksitet og mer integrert verdikjede øker risiko.
fagansvarlig Scott Helme er en britisk forsker, foredragsholder, konsulent og gründer innenfor sikkerhet og er i Oslo i forbindelse med fagdagen til det norske konsulentselskapet Webstep samt NDC Security, et firedagers event med foredrag og workshops om sikkerhet. Alt sammen på den nye, teknosmeltedigelen Rebel i Oslo.
Det norske konsulentselskapet Webstep hadde nylig booket ham for sin fagdag. Selv om pandemien har lært selskapet digital kunnskapsdeling, er det liten tvil om verdien av å møtes fysisk for første gang på tre år for de mer enn 100 konsulentene som deltok.
– Våre ansatte er vår viktigste ressurs. Uten faglige fyrtårn i et eksperthus som Webstep vil vi ikke kunne spille rollen som troverdig rådgiver og støttespiller for våre kunder. Derfor investerer vi hele tiden i kompetanseutvikling, sier Arne Solheim fra Webstep.
Største utfordring
Hva er det største utfordringene for sikkerhet i dag?
– Mitt fokus er på web, i forbindelse med nettsteder og applikasjonsutvikling til dette. Utviklingen går i retning av at vi bare gjør mer på nett, og stadig gir fra oss mer data. Vi ser flere sikkerhetsbrudd nå enn før, men i forhold til hvor mye vi gjør på nett, har vi faktisk blitt bedre.
– Organisasjoner starter å se at sikkerhet er noe som må bygges inn fra starten. Det største problemet er at dette ikke har skjedd før, at vi så på det feil tidligere. Dette skiftet er en prosess vi må gjøre hele veien, sa Helme til Computerworld.
Brukeren er bare bruker
Hva er det flest virksomheter glemmer?
– Når man ser på grunnen til sikkerhetsbrudd er det fortsatt grunnleggende web-sikkerhet. At oppdateringer og sikkerhetspatcher ikke er gjort, at man kjører på utdatert programvare.
– Et annet problem er at brukeren blir sett på som en komponent som har ansvar i en sikkerhetsprosess. Man bør ikke anta at noen brukere har noe ansvar innenfor sikkerhet. Man kan for eksempel ikke forvente at brukere skal la være å klikke på lenker. Fra et sikkerhetsaspekt bør vi revurdere vår tolkning av hva en bruker bør gjøre og ikke bør gjøre, sa han.
Man bør ikke anta at noen brukere har noe ansvar innenfor sikkerhet.
Er det noen trender som har vært spesielt viktig for sikkerhet de siste årene?
– En av de største trendene er den økte bruken av kryptering på nett. I løpet av de siste årene, har vært stort fokus på å konvertere all nett-trafikk til https. I dag forventer alle at alt kjøres over en sikker forbindelse, sier han.
– En sikker applikasjon må starte med en sikker forbindelse, og vår evne til å beskytte og kryptere data er avgjørende. I dag er alt kryptert, og jeg mener det endelig gitt resultater, sier han.
Økt kompleksitet bekymrer
Hva tenker du om skiftet til skyen og mer hybrid infrastruktur?
– En hybrid infrastruktur kan være vanskelig, og dette er en av tingene vi ser på. God sikkerhet krever full oversikt, men med skyen har det lett for å dukke opp shadow it, ting man kjører uten at man er klar over det. Du kan ikke sikre alt hvis du ikke har oversikt over alt som kjøres. Det hadde man før, men ikke nødvendigvis nå lenger, sa han.
En annen sak er tredjepartsavhengigheter. Angriperne blir mer kreative og vil gå etter den enkleste veien inn. I mange tilfeller kan inngangen være gjennom avhengigheter og muligheter hos tredjepart. Å gå etter åpninger i verdikjeden er i mange tilfeller mer effektivt enn å angripe direkte, sier han.
Norge virker engasjert
Du reiser mye – hvordan opplever du fokuset på sikkerhet i Norge sammenlignet med andre land du besøker?
– Jeg er mye i Norge på konferanser og andre arrangement, og opplever at det er et sterkt engasjement og interesse for sikkerhet her. Mitt hovedfelt er sikkerhet på web, med tilhørende applikasjonssikkerhet og kryptering. Jeg opplever at både kunnskapsnivået og interessen for å tilegne seg ny kunnskap er høy i Norge, avslutter han.