Teknologien har skylden for sikkerhetshendelsene

Jeg er motormann. Bil, motorsykkel, snøfreser. Ja, egentlig det meste som durer. I forbindelse med bil, er det en test som heter NCAP. (New Car Assessment Programme). For safer cars sier de. Er det målet? Bilen er bare en ting. Det burde heller stå; For less road death eller For less sorrow. NCAP sikkerhetstester biler, og informerer om sikkerheten på disse, med tanke på risikoreduserende og konsekvensreduserende tiltak, funksjon og kvalitet.

Hvor mange følger med på dette når de kjøper den neste «konebilen», som garantert benyttes mest for kjøring av barna? Man «antar» vel at en bil i 2021 er sikker. Joda, «alle» biler er sikrere i 2021 enn for noen tiår siden. Hva gjør dette med adferden vår? Kjører vi mindre forsiktig fordi vi stoler på at teknologien skal redde oss? Jeg så nylig en gammel informasjonsvideo, fra tidlig 70 tallet, om vinterkjøring, bremsing, styring, vinterdekk, osv. Den sa «vinterdekkene er ikke til for at du skal kjøre fortere, men sikrere». Det samme er det vel litt med dagens biler. En ting er valg av bil. En annen er kvalitet på den. Men sikkerheten bør også spille inn. De færreste vil kjøpe den sikreste bilen, om den er stygg, og ruster raskt. Mens en fin bil, trumfer ofte sikkerhetsfokuset, fordi den er fin. Dårlig byggekvalitet ødelegger det meste, kanskje med unntak av om utseendet er veldig fint.

Jobber du i militæret, politiet, brannvesenet, med ambulanse, redningsbil eller annen spesialfunksjon, blir kravstillingen en annen. For majoriteten prioriteres bilvalg på andre kriterier.

Mennesket er viktigere enn teknologien

Og det er her det menneskelige aspektet kommer inn. Kompetansen og erfaringen til å bruke bilen. Det er ikke alltid at teknologien klarer alt, og da kommer det menneskelige inn. Hvor fort kjører man? Hvordan er underlaget? Hvordan er trafikkbildet? Hvordan er dekkene? Har jeg erfaring fra tilsvarende situasjoner? Hvor fort bør jeg kjøre? Burde jeg kjøre i det hele tatt (det er underkjølt regn).

Compliance vs sikkerhet

Et eksempel, på compliance vs sikkerhet, i forbindelse med bil:

Compliance. Du setter deg inn i bilen en kald vinterdag, med dunjakka på. Du vipper på deg sikkerhetsbeltet, da det er lovpålagt, du risikerer bot om du ikke gjør det, og den irriterende «dingingen» som sier at du ikke har på deg bilbeltet faktisk fungerer (du kan jo alltids gjøre som taxisjåføren i Roma, og har selve låsehåndtaket løst, for å klikke det inn, slik at alarmen slutter å mase).

Sikkerhet. Eller, du kan gjøre det samme, men du løfter dunjakka for å få magedelen av bilbeltet under jakka, og inntil kroppen, før du strammer beltet hele veien, slik at det sitter så tett til kroppen som mulig, fordi du vet at det kan gjøre stor forskjell på skadeomfanget dersom en hendelse skulle inntreffe.

Kan også ta eksempelet med motorsyklisten med hjelm, iført t-skjorte, shorts og joggesko, vs ryggskinne, skinndress med ekstra beskyttelser, motorsykkelstøvler og regelmessig føreropplæring.

Men det er ikke det dette skal handle om, selv om eksemplene kan oversettes direkte til vår Cyber verden.

Cybersikkerhet. Et fancy ord, som nok altfor få egentlig har god innsikt i. Jeg referer til stadighet til Roar Thon i Nasjonal Sikkerhetsmyndighet, som sier «Ingen foretak har noensinne blitt etablert med den hensikt å være sikker». Nydelig. Veldig forklarende. Og veldig beskrivende for noe av grunnen til at vi er der vi er i dag. Jeg har valgt å ta den videre, med «Ingen ønsker sikkerhet», som naturligvis etterfølges av «men alle må ha det». (Ingen ønsker forsikringer, men alle må ha dem).

Så hva er da godt nok? Hva er løsningen? For majoriteten ligger ofte svaret i teknologi. Man må ha teknologi. Leser man «NCAP» testen? Joda, ofte, men ikke alltid. Noen ganger er teknologien for dyr. Noen ganger er teknologien «god nok». Hva med kompetanse og erfaring når det kommer til bruk av teknologien? Hvor fort kan man kjøre? Kjenner man underlaget man kjører på? Er man riktig skodd for føret? Er alle vinterdekk like? Er alle vinterdekk riktig for din bruk og ditt behov? Har man gjort en analyse av dette? Har man de dårligste vinterdekkene, og kjører deretter, så går det nok bra. Har man de beste vinterdekkene, er klar over dette, har erfaring og kompetanse på bruk av disse, kan man faktisk kjøre fortere. Det menneskelige aspektet er veldig viktig, både når det gjelder sikker bilkjøring og Cybersikkerhet.

Så hvordan er tjenesteutsetting i denne sammenheng? Skummelt. Det er fortsatt du som er kaptein på skuta. Det er viktig å ha det riktige mannskapet, som har klare retningslinjer for hva de skal gjøre. Et mannskap er ikke bare et mannskap. Altfor ofte glemmer man sitt ansvar når man tjenesteutsetter. Jeg tror man ofte tenker på teknologien og drifting av denne. Men hvilke krav stiller du til disse tingene? Er det vilkårlig hvilke produkter de bruker? Tja. Kanskje. Men da må bestillerkompetansen din være på et nivå som vet hvilke krav du skal stille. At tjenesteleverandøren har teknologi, det er en selvfølge, ellers kunne de ikke levert. At teknologien fungerer rent teknisk sett, selvfølgelig, ellers får ikke dere gjort jobben deres, og dere kan i tråd med kontrakt be om kompensasjon. Men hva med sikkerheten? En ting er oppetid. En annen ting er integritet. En tredje ting er konfidensialitet. Hvordan er dere sikret mot dette? Hvilke krav stiller dere til dere selv, og en eventuell tjenesteleverandør? Teknologiske krav? Funksjonskrav? Eller sikkerhetskrav? Dette kan ikke glemmes bare fordi man tjenesteutsetter. Det er viktig å ha et bevisst forhold til det delte ansvaret, som noen sier aldri er delt, da du har 100% av sikkerhetsansvaret.

SolarWinds

SolarWinds skandalen er de fleste kjent med. Dette er en sofistikert hendelse, som rammet mange. Hendelsesforløpet er sammensatt av flere elementer, som hver for seg gjerne ikke er skadelige, men satt i system kan gjøre stor skade. Det som er spesielt med denne, og som har skapt så store overskrifter, er at det ikke er en «typisk» hendelse som krypterer data. Den har blitt spredd til minst 18.000 foretak verden rundt. Flere av dem store og kritiske. Noen har i praksis ikke blitt skadet, da aktørene ikke har gjort noe aktivt hos dem, selv om selve «skadevaren» allerede er på innsiden. Andre er i en situasjon der de vet at aktørene har vært aktive i nettverket, og er usikre på hvor mye informasjon de har fått tilgang til.

Østre Toten kommune og Akva Group

Østre Toten kommune og Akva Group er to som nylig har blitt rammet, og illustrerer at alle sektorer kan rammes. Alle sektorer har verdier. Alle har penger. Og da spiller det ingen rolle hvem du er. Hvordan kunne disse angrepene lykkes? De hadde jo teknologi. De hadde kanskje til og med verdens beste sikkerhetsteknologi. Hvordan kunne det skje? I bilverdenen sender Volvo ut forskere til ulykker, for å analysere dem, for å finne ut hva som kan gjøres annerledes. Statens Vegvesen gjør det samme. Disse to har forskjellige virkemidler for å endre utfall. I Cyber, blir det litt det samme. De teknologiske firmaene jobber kontinuerlig med å analysere hendelser, for å utvikle systemenes muligheter til å hindre hendelser. Mange av disse kapabilitetene er verktøy i din digitale verktøykasse, som ofte bare ligger der, om du ikke vet om dem, og vet hvordan de best skal brukes. Nasjonal Sikkerhetsmyndighet (NSM), og andre, ser også på hendelser, analyserer dem, og kommer med råd. NSM sine grunnprinsipper for IKT-sikkerhet er et eksempel, som er et sett med anbefalinger, basert på mange års erfaringer. De anbefalingene går i all hovedsak ikke på teknologi, men på hvorfor og hvordan gjøre god sikkerhet. Hvor mange etterlever disse anbefalingene? Beviselig altfor få. Og hendelsene fortsetter å skje. Hvorfor? Det er naturligvis sammensatt. Tid. Penger. Ressurser. Kapasitet. Kompetanse. Prioritet. Ledelse. Sårbarhetsforståelse. Risikovurdering. Risikoapetitt. Og jeg kunne fortsatt. Men jeg vil oppsummere det slik:

Teknologien har skylden for sikkerhetshendelser

Teknologien har skylden for sikkerhetshendelser. Dette er naturligvis en tabloid setning, for å skape oppmerksomhet, men la meg forklare. Man tenker at man kan kjøpe seg ut av situasjonen med sikkerhetsteknologi. Noen ganger med teknologi fordi det er en spesiell type teknologi, les brannmur, endepunktsikkerhet, e-postsikkerhet. Andre ganger fordi man har kjørt denne teknologien i alle år, og det er det man kan. Ikke nødvendigvis et dårlig argument. Og noen ganger med teknologi som anses som den beste på markedet. Og allikevel går det galt. Hvorfor?

Mennesket er typisk ikke ansett som en sikkerhetsfunksjon. Vi kan snakke om alt fra bevissthetstrening, til kursing på teknologi, til kompetanseheving ved deltagelse på sikkerhetssamlinger, som Sikkerhetsfestivalen, Sikkerhetskonferansen, og andre ideelle samlinger arrangert av ISF, DND, Isaca, CSA, Datatilsynet, NSM med flere. Teknisk kompetanse er allikevel ikke nok. En ting man ikke kan lære seg, er entusiasme for faget, som er noe man må se etter når man skal ansette. Alternativt må man ydmykt invitere entusiasme, for egenlæring.

For, spørsmålet er:

• Hvordan skal vi håndtere risiko og sårbarhetsbildet?
• Hvordan skal vi kunne finne vår risikomodell?
• Hva må vi gjøre for å redusere risikoen på en for oss tilfredsstillende måte

 

Hvordan bruker man teknologien? Hva må man gjøre på «white board» først? Og det er her forskjellen på utfallet kommer. Forarbeidet. Det menneskelige aspektet. Teknologien er ofte sjanseløs, dersom ikke mennesket har påvirket hvordan den best kan benyttes. Teknologien er bare et sett med verktøy du kan bruke. Da er det viktig å kjenne sin verktøykasse, men ikke først.

Først må man definere målet sitt. Hva ønsker man å oppnå? Ikke sikkerhet. Men uforstyrret drift. Det må være målet. Hva skal til for å nå dette? Sikring av verdiene. OK. Hvordan skal vi sikre våre verdier? Dette varierer naturligvis enormt mye. Ahh. Vi kjøper teknologi. Hmm. Skal man starte der? Først må man identifisere verdiene sine. Så må man prioritere. Så må man identifisere trusler, sårbarheter og risikoer. Så må man tenke hvordan man best kan redusere sannsynlighet og konsekvens. Dette er det menneskelige, lenge før teknologi. Hopper man bukk over dette, gjør man seg selv en bjørnetjeneste, og vil ofte kaste bort masse penger på falsk trygghet.

 

Interfaith Medical Center så på ransomware som en reell trussel mot dem. På bakgrunn av dette gjorde de en test på seg selv, for å se hvor motstandsdyktige de var mot et slik angrep. Et element de anså som kritisk for å unngå total katastrofe ved en slik hendelse, var segmentering. Segmenteringen alene vil ikke hindre at de kan bli rammet av ransomware, men det vil redusere sannsynligheten for ukontrollert spredning (les Maersk, Norsk Hydro, Akva Group, Østre Toten kommune). På bakgrunn av dette, bestemte de seg for å øke graden av segmentering, tilsvarende det man gjør i en ubåt, der man opererer med skott. Skulle man treffe noe som skaper hull, vil man ha muligheten til å tette alle skottene, og på den måten berge ubåten. Segmentering løses ikke av å kjøpe teknologi. Dette baserer seg på kompetanse, erfaring og bevissthet. Dette er prosjektmateriale.

 

Og hva er viktig på toppen av denne segmenteringen? Segmentering uten kommunikasjon mellom segmenteringen ødelegger produksjon, så kommunikasjon må tillates. Hva skal tillates? Alt? Da vil segmenteringen ha liten nytte. Så for at segmenteringen skal ha en verdi, må man kontrollere hva man skal tillate mellom de forskjellige segmentene, ved å tillate det som foretaket trenger for at alle systemene fortsatt skal fungere. For at sikkerhetsgevinsten skal oppnås, bør man ikke tillate mer enn akkurat det. Med god segmentering og på toppen av det god tilgangskontroll, i tråd med NSMs Grunnprinsipper for IKT-sikkerhet, fungerer fortsatt alle funksjoner, og man har redusert risikoen til det minste man kan i nettverket. Man trenger teknologi for å få til dette, men man må bare hjelpe teknologien å skinne, ved å la den gjøre det den er best til. Les mer om Interfaith Medical Center.

Helse Sør-Øst, tok til seg læring av hendelsen i 2018. Angriperne kom inn via en legitim åpning til en offentlig webserver. Denne webserveren hadde en kjent sårbarhet, fordi den ikke var patchet. Skjedde dem, kan skje deg. Så langt ingen direkte skade skjedd. Men angriperne fikk fotfeste på denne webserveren, innenfor de tradisjonelle sikkerhetsbarrierene. Og fordi segmentering og intern tilgangskontroll var heller mangelfull, var det «enkelt» for angriperne å bevege seg til neste server, og neste server.... Dette var ikke teknologien sin skyld. Tja. Jo. Tildels. Kanskje brannmuren, om det var en moderne brannmur, med sårbarhetsbeskyttelse, kunne stoppet dette. Igjen mennesker. Var det riktig teknologi? Var den satt opp slik den burde? Men på innsiden var det ikke etablert teknologiske elementer som kunne forhindret dette. Det var liten grad av segmentering, og derfor ingen mulighet for en god tilgangskontroll. Dette var et av punktene de tok til seg som læring, og adresserte i ettertid.

Maersk, Norsk Hydro, Østre Toten kommune, Akva Group og mange flere. Hvordan var segmenteringen? Det er essensielt. For tilgangskontrollen mellom segmentene er irrelevant, dersom segmentene er mangelfulle. Den isolerte hendelsen hadde ikke nødvendigvis blitt avverget, men ubåten hadde ikke sunket. Man kunne kontrollert det, som en hendelse, uten 6 måneder med fagsystemer ute av drift.

Så. Hendelser skjer, har skjedd lenge, og kommer til å fortsette å skje. Hva kan man gjøre for å redusere sannsynlighet og konsekvens?