Bidrar med kompetanse og forståelse

Bidrar med kompetanse og forståelse

Norsis sørger for at ansatte og forbrukere læres opp om trusler og behovet for sikkerhet. Høyskolemiljøet skaper neste generasjons sikkerhetsfagfolk.

Sikkerhet er ikke bare en spesialitet på Gjøvik selv om høgskolen er utpekt til å være fanebærer. Sikkerhet er et viktig fagområde også andre steder, på en rekke universiteter, men det forskes lite unntatt på Gjøvik og i Bergen.

Med de neste ti års satsning på tingenes internett hvor nye milliarder apparater styres av datamaskiner og tilkobles nettet, øker behovet for forskning og forståelse for sikkerhet. For hvert apparat som tilkobles en virksomhets nettverk, bidrar til å øke sjansen for at virksomheten blir angrepet og slått ut på grunn av feil og får dårlige forsvarsverk.

I første omgang er det smarttelefoner og nettbrett. I neste omgang er det alle slags instrumenter og sensorer som sender data som skal tas vare på og bearbeides. Automatiske strømmålere, AMS, skal i løpet av noen år rapportere strømforbruket til alle kunder. Skrekken er hvis noen kan manipulere Norges strømtilførsel.

- De seneste årene er det eksempler på at biler, elektriske generatorer, intellektuelle rettigheter, offentlig transport og pacemakere kan utsettes for kriminell aktivitet fra lang avstand, sier Morten Irgens, dekan ved fakultet for informatikk og mediateknologi og pro-rektor for forskning ved Høgskolen i Gjøvik (HiG).

Kompetansemangel

En ulempe er at it-fagfolk kan gå gjennom et helt studium uten å lære noe om behovet for bedre sikring av app-er, applikasjoner, infrastruktur og teknisk utstyr. Derfor er det viktig at sikkerhet er et tema på alle læresteder som driver it-utdanning.

- Det er kompetansemangel på informasjonssikkerhet, fremhever Morten Irgens.

En internasjonal komité fastslo at it-forskning i Norge på Cyber-kriminalitet var mangelfull. Derfor har Høgskolen i Gjøvik fått opprettet CCIS, Center for Cyber and Information Security. Dette senteret er unikt fordi forsvaret, politiet og sikkerhetsforsvarets spesialenheter har gått sammen og bevilget midler til sikkerhetsforskning i samarbeid med Høgskolen i Gjøvik. En lang rekke bedrifter og etater støtter også opp om CCIS.

Konsekvensen er en rekke nye professorater og forskningsinitiativer i samarbeid Nislab, HiGs opprinnelige virksomhet innen sikkerhetsforskning og undervisning. Nislab ble etablert allerede i 2002.

HiG passer ikke inn i det norske virkemiddelapparatet. Det er derfor lite Norges Forskningsråd bidrar med. Først om to år kan Høgskolen søke om å bli et toppsenter, Center of Excellence, innenfor forskning på Cyber-kriminalitet.

Gir overskrifter

Manglende sikkerhet er grunnlag for overskrifter i aviser, magasiner og på nettet. Etter mer enn 30 år med sikkerhetsutfordringer innen it skulle man tro at it-bransjen hadde kontroll, men det er først de seneste 20 årene med internett og de siste fem med smarttelefoner og nettbrett at brukere har utsatt seg for virkelig risiko.

Det er alltid feil i programvare med et minimum av kompleksitet. For innbrytere gjelder det å utnytte feilene. Tidligere hadde de ikke tilgang. Applikasjonene var ikke tilknyttet nettet. Nå er det en lang kjede med programmer som lar brukerne få adgang til de sentrale og viktige applikasjonene. Nå eksponeres samtlige mot de som har god tid for å finne svakheter.

Seneste svakhet er i Microsofts Internet Explorer hvor brukerne blir lurt til en farlig webside. Utfordringen er at Internet Explorer ikke lenger blir rettet i bruk mot Windows XP. Da må brukerne benytte spesialverktøy fra Microsoft, Enhanced Mitigation Experience Toolkit.

Forsvarsverkene må derfor følge med hele veien fra app-ene, via datakommunikasjonen, det ytre forsvarsverket med brannmuren via indre sikkerhetssoner med kryptering og dekryptering til loggføring av all datatrafikk. Derfor har mange tiltro til sikkerhet via skyen. For sikring som en skytjeneste er ikke nytt.

Kompetansefirmaet Mnemonic har drevet med å avsløre forsøk på innbrudd og stoppe disse for norske kunder, i mer enn ti år.

Tar for lett på

Verdens største nettverksleverandør Cisco har også innsett at kundene deres tar for lett på sikkerhet.

Derfor har Cisco kjøpt en rekke sikkerhetsselskaper hvor sikringsprogramvare bygges inn i det tekniske utstyret. Seneste oppkjøp er Sourcefire som gjør Cisco til en av de ledende leverandørene på avverging av innbrudd.

I motsetning til Mnemonic henvender Cisco seg til de virkelig store bedriftene. Ved at kunder anskaffer et apparat som avslører innbruddsforsøk, kan Ciscos sikkerhetstjenester sørge for at viktige kundedata ikke forsvinner. Foreløpig tilbys denne tjenesten i Australia og USA, men vil bli tilbudt kunder i andre markeder.

På Høgskolen i Gjøvik har Cisco bidratt med et akademi som det 9.000 av i verden. Det gjelder ikke bare høyere utdannelse. Det gjelder også skoler. I praksis tilbyr Cisco nettverksutstyr og programvare slik at studenter kan lære nettsikkerhet via kurs og praksis. Det tilbys to kurs et i datakommunikasjon og sikkerhet, et i nettverksadministrasjon.

- Studentene får anledning til å bygge reelle nett i sikkerhetsprosjekter. Studentene deles i en snill og en slem gruppe. Hensikten er å lære, sier Thomas Kemmerich, førsteamanuensis ved HiG.

Skeptiske

Men når det gjelder skysikkerhet er mange skeptiske. Norske Cloud Security Alliance har derfor en forespørsel om det er noen som vil bli sikkerhetssertifisert i CCSK, Certificate in Cloud Security Knowledge. For ennå er det stor mistro til å overlate kritiske data og applikasjoner til en skyleverandør selv om virksomheter har inntil 30 års erfaring med å sette ut it-løsningene sine til en datasentral.

Men å benytte en generell løsning for et fagområde som forretningssystemer, er ukjent og usikkert, spesielt hvor skyleverandøren tar hånd om dataene og all kommunikasjonen som utnytter nettbrett eller smarttelefon på lik linje med pc. Bruken av fagsystemet skjer samtidig med mange andre kunder. Mange er av den grunn usikre på om deres data virkelig er sikret.

Derfor er det et spørsmål om hva som må sikres. Mobile Device Management, MDM, sier mange. Det krever at alle brukeres hjelpemidler er kjent i et sikkerhetskartotek. Men mange mener at det ikke er mulig. Kombinasjonen av brukere, brukerhjelpemidler og applikasjoner er alt for omfattende. Derfor er det applikasjonene og dataene som må sikres.

Stor fadese

Nå er det en to og et halvt år gammel sikkerhetsfadese som virkelig har skapt oppmerksomhet om sikkerhet. Kodefeilen i Open SSL som har fått tilnavnet Heartbleed, vil i lang tid skape utfordringer. Spørsmålet er om når brukerne av tjenester som benytter Open SSL skal skifte passord.

- Heartbleed har vært nyttig iden forstand at feilen har gjort selskaper oppmerksomme på behovet for sikkerhet, sier Tore Larsen Orderløkken, administrerende direktør i Norsis.

Derfor går nå en sammenslutning av store teknologiselskaper sammen om finansiering av prosjektet som utvikler og forbedrer Open SSL. Det skjer i regi av The Linux Foundation. Prosjektet, som har blitt omtalt som kritisk for to tredjedeler av internett, har hittil mottatt 2000 dollar pr år i donasjoner og hatt én person tilgjengelig til koding på full tid.

Blant selskapene som bidrar med finansielle midler er IBM, Intel, Microsoft, Facebook og Google. I løpet av de neste tre årene skal det deles ut 3.9 millioner dollar til open source-prosjekter som anses som avgjørende for internett.

Open SSL demonstrerer hvor sårbare virksomheter kan være. Dette ble første gang understreket av Sårbarhetsutvalget under ledelse av Kåre Willoch som kom med sin utredning, NOU 2000: 24. Resultatet ble opprettelsen av SIS, Senter for informasjonssikring som et pilotprosjekt på Sintef i Trondheim.

Utredningen fremholdt at norske brukere og ansatte trengte bedre kompetanse på informasjonssikkerhet.

Drive bevisstgjøring

Da pilotprosjektet var over, ble Norsis opprettet på Gjøvik siden Høgskolen hadde begynt å spesialisere seg på sikkerhet.

- Rollen til Norsis er å drive bevisstgjøring av offentlig og privat virksomhet og vite hvilke tiltak som må settes i verk, forklarer Tore Larsen Orderløkken.

Åtte ansatte og åtte studenter fra Høgskolen i Gjøvik jobber med sikkerhetskultur. Studentene bidrar aktivt på tjenesten Slett Meg med å besvare telefoner, post og skrive nyhetssaker.

Noen som ringer inn til Slett Meg er nærmest selvmordskandidater på grunn hva de har opplevd av informasjonsspredning på nettet, som oftest på grunn av tåpeligheter som spres av andre.

Norsis er underlagt Justis og beredskapsdepartementet med tilsagn om 50 prosent av nødvendige midler. Resten skaffes ved seminarer, prosjekter og eksterne partnere.

Et viktig tiltak er Nasjonal Sikkerhetsmåned i oktober hvor målet er opplæring av de ansatte. En ferdig opplæringspakke tilpasset bedrifter i forskjellige størrelser bruker enkle virkemidler for å gjøre den ansatte bevisst på sikkerhetstrusler.

- Det gjelder å forberede innbyggerne på at svindel kan skje, understreker Tone Hoddø Bakås, seniorrådgiver i Norsis.

Bruker lommespeil

Det benyttes eksempelvis lommespeil for å gjøre den enkelte oppmerksom på at vedkommende er ansvarlig for sin sikkerhet. Isskrapen understreker evnen til å se trusler. Refleksen har mottoet «Sikker på gata, sikker på data».

- Små og mellomstore bedrifter er ikke bevisste på at de har viktig informasjon som det må passes på, fortsetter Tone Hoddø Bakås.

Hovedbudskapet er Stopp, Tenk, Klikk. Brukerne skal ikke kaste seg over fristende tilbud men stoppe og tenke seg om før de klikker seg inn eller ut. Professor Stewart Kowalski ønsker at brukerne skal være mer bevisste når de tenker. Det gjelder både det sosiale og det tekniske aspektet.

- Vi må tenke sikkerhet uansett, selv ved kjøp av kjøleskap, sier Vidar Sandland, seniorrådgiver i Norsis.

Sandland har ved forskjellige anledninger demonstrert hvor enkelt det er å plukke opp andres informasjon ved å sette opp et trådløst nett og sende ut falske web-sider som brukere går inn på fordi de tror de er ekte.

- Phishing er fortsatt et problem fordi nordmenn tror på det de leser. Nordmenn er det mest tillitsfulle folkeferdet i Europa. Folk må bare ikke gi fra seg informasjon basert på mail eller sms, fortsetter Vidar Sandland.

Les om: