- Må dele mer
Evrys sikkerhetssjef mener sikkerhetssjefer tar hemmelighold litt for høytidelig.
LARVIK/OSLO: - Jeg tror ofte vi blander sammen kortene mellom å hemmeligholde data og tiltakene for å hemmeligholde dem.
Det sier Hans Christian Pretorius, sikkerhetsdirektør i Every.
Han mener det er liten tvil om at det er et stort volum av sikkerhetshendelser som ikke når frem til hverken myndigheter eller samarbeidspartnere. Årsaken tror han er omdømme.
- Det handler jo om tillit. Eierne og aksjonærene må for eksempel ha tillit til selskapet. Så hva skal gå foran? Omdømme eller informasjonsdeling, spør Pretorius.
Noe må være skjult
Han tror det ikke er færre ulemper om man ikke deler, ettersom samme angrepsvektor kan brukes mot alle.
- Det er nå sånn med sikkerhet at hemmelighold er en stor del av kulturen vår. Til en viss grad er det viktig og kanskje riktig. Innenfor fysisk sikkerhet er det helt sikket viktig. Men det er annerledes i cyberspace, mener han, og utdyper:
- Dem som leter etter svakheter samarbeider stort sett. Hvis de finner noe, så deler de. Også sitter vi på den andre siden hver for oss og er opptatt av å ikke dele. Det er noe med den skjevheten som gjør ting vanskelig.
Så koker det ned til et spørsmål om hva man skal dele, påpeker Pretorius, som er villig til å innse at å dele ikke nødvendigvis betyr å gi bort hele kakeoppskriften.
- Det er litt ulike lærerbøker. Noen mener at eneste måten å få sikre løsninger på, er å dele alt, sier han.
Åpen kildekode, for eksempel, er ganske velfungerende, fordi et stort miljø jobber aktivt med å kvalitetssikre varene. Det er en balanse der det er en likevekt mellom dem som jobber med å fikse svakheter, og dem som jobber for å utnytte dem.
- Det andre ytterpunktet mener alt av sikkerhetsmekanismer skal være hemmelig. Veden er ofte et sted midt i mellom, sier Pretorius.
Hvis du for eksempel bruker noe som er egenutviklet, kan det være hensiktsmessig å ha hemmelighold rundt det, fordi det i motsetning til åpen kildekode neppe henger et stort miljø rundt som tenker hjelpe deg.
- Arkitektur er det noen mener skal være helt hemmelig - og ja, kanskje? Kanskje nettverksoppkoblingen skal være hemmelig, mens annet ikke skal vær hemmelig? Akkurat nettverkstopologi torr jeg faktisk du skal la være hemmelig, sier sikkerhetssjefen.
- Det er noe med hvordan vi tenker. Det vi er på jakt etter, er å sikre data, men ofte opplever jeg at diskusjonen blir litt snørr og bart. Å dele informasjon er ikke det samme som å dele informasjon om sikringstiltakene, gjentar han.
Stol på staben
Videre tror Pretorius mange sikkerhetsregler nedfelt som «best practice» er rene sludder og vås.
- Man definerer policy og krav og satser på at alle skal kjenne reglene og følge dem. Om det var tilfelle, holder det vann, men sånn er det ikke. Nordmenn følger ikke regler. Om jeg sier ikke bruk Dropbox, så kommer ikke folk til å la være, sier han.
Men så tror han dette med forståelse om hvorfor kravet er satt kan bidra til at folk føyer seg, at de får en forståelse for hva som ligger bak.
- Der kommer dette med å dele inn i bildet. Alle kan bli forklart at de skal låse døra, men vi må begynne å forklare hvorfor, sårbarhetene knyttet til det punket.
Han tror ikke på bruk av amerikansk statistikk når opplæring skal gis eller styret skal informeres om hvilke farer som er der ute. Men hva om du kunne plukke frem din egen logg og si «dette skjedde faktisk her forrige uke», under Pretorius, ville ikke det fungert bedre?
- Noen må vi jo stole på, og da tror jeg vi skal begynne i egen organisasjon og si vi stoler på de som jobber der. Man kan selvfølgelig diskutere innsidetrusler, men da tror jeg vi har dratt det for langt.
Men hvordan skal man klare å svelge sin egen stolthet og dele pinlige sikkerhetshistorier som går på omdømmet løs`?
- Det er det vanskelige. Du har omdømme, også har du samhandling. Eneste måten å få bukt med problemer over tid, er å forbedre samhandlingen, og da må dere stå frem og si «her gjorde vi en litt dårlig jobb». Men så finnes det egne arenaer å dele dette i. Det trenger ikke nødvendigvis diskuteres i VG, men kanskje i et rom med gjensidige forpliktelser, foreslår Pretorius.
