- Vi tetter stadig flere hull

- Vi tetter stadig flere hull

Nasjonens it-sikkerhet er begredelig, mener Nasjonal sikkerhetsmyndighet. Men det er verre i andre land og vi blir stadig bedre.

Sikkerhetstilstanden i Norge er som sikkerhetstilstanden i fjor og året før der igjen. Den er ikke tilfredsstillende, mener Nasjonal sikkerhetsmyndighet (NSM). Skurkene ligger et hestehode foran.

- De ulike sikkerhetsutfordringene vil vedvare i 2013, og utvikler seg fortere enn vi klarer å holde følge med, sier Annette Tjaberg, assisterende direktør i NSM, under NSMs eget seminar rett før påske.

- Vi tetter igjen stadig flere hull og installerer gjerder, men skurkene får også mer avanserte innbruddsmuligheter.

Budskapet har gjallet så lenge mellom fjellveggene i sikkerhetsdalen at de sikkerhetskyndige knapt måper. Det har alltid vært et kappløp mellom politi og røver, og røveren har hatt en tendens til å ligge i forkant. Sånn har det vært og sånn er det.

Vi holder oss likevel flytende. Sikkerhetssituasjonen i Norge er dårlig, men ikke like bekmørk som Finmarksvidda en ensom natt i desember.

- Vi har en ost med mange hull i. Vi må forholde oss til at vi kanskje skal ha en ost med litt færre hull, foreslår Eiliv Ofigsbø i Norcert.

Tjaberg støtter sin kollega:

- Selv om det er et gap, går sikkerhetsarbeidet i riktig regning. De som er der ute og som ikke har gode hensikter, er velorganiserte og har kapasitet i ryggen. Det er derfor gapet ikke lukkes så fort. Men vi merker en økt bevissthet.

Ole Tom Seierstad fra Microsoft Norge kan informere om at nordmenn, sammenlignet med andre nasjonaliteter, kan se relativt lyst på det.

- Våre tall viser at det ikke står så ille til i Norge, sånn generelt. Vi kommer snart med ny Security Intelligence-rapport, og den vise at vi ligger blant topp fem minst infiserte land i verden, sier han.

Advarer mot Kina

Analytiker og tidligere oberstløytnant William Hagestad II kommer likevel med en skarp advarsel. Han mener vi særlig skal se opp for mørke krefter fra Kina.

- Vi har alle blitt hacket av kineserne. Vi bare vet det ikke, sier han.

Hagestad II er mannen bak boken "21st Century Chinese Cyberwarefare", og er ansett som en "expert on the Chinese People's Liberation Army & Government Information Warfare". Hans syn er at kineserne har lang erfaring fra den type krig som utøves i cyberspace.

Sun Tzus "Art of War" er et stikkord. Den er anslått å ha blitt skrevet 500 år før Kristus, og har alltid vært sentral i Asias militærkultur. Deriblant også ganske så raskt etter at internett begynte å erobre verden, ifølge Hagestad II.

Spionasje fra kineserne kan for eksempel bestå i trojanere. Slike trojanere vil være vanskelig for vestlige antivirus-motorer å oppdage, rett og slett fordi de er skrevet av kinesere og dermed språklig kan finte seg unna antivirusmotorene som brukes.

- Jeg kjenner ingen cybersikkerhetseksperter som snakker kinesisk, påpeker Hagestad II, som for ordens skyld selv behersker mandarin.

Det er mange grener av spioner, og det er vanskelig å spore dem direkte tilbake til myndighetene. Eventuelle angrep skjer gjerne via proxyer. På toppen av kransekaken er de militære cybersjefene i Kina selv "hardcore geeks" med full oversikt over for eksempel kryptografiske algoritmer.

Hagestad II tror imidlertid amerikanerne har større grunn til å være oppriktig bekymret for kineserne enn nordmenn, selv om de altså etter alle solemerker allerede har hacket oss alle sammen. Mens kinesernes fordel er at de snakker kinesisk, er vår fordel at vi snakker norsk og amerikanernes ulempe at de snakker verdensspråket engelsk.

Kineserne er dessuten ikke ute etter å utslette resten av verden - de er heller ute etter samhandling og fri handel, ifølge Hagestad II.

Peker på ledelsen

Så hva skal vi gjøre for å rydde opp i it-sikkerheten? Flere av talerne under NSM-konferansen mener det er på tide at ledere blir målt på sitt sikkerhetsarbeid, på lik linje med hva som skjer på nederste linje i regnskapet.

- Sikkerhetsarbeidet må være integrert i bedriften, sier Tjaberg.

Hun mener ledere må se på sikkerhet som en forsikring, ikke en utgift. Selv blir hun målt på sikkerhet, i henhold til oppdragsbrevet fra direktøren.

På konferansen var det også mye prat om at det er på tide å finne ut hva du egentlig har av verdier i organisasjonen. Kripos’ politiinspektør Hans-Peder Torgersen var blant dem som tok opp dette temaet.

- Du må se inn i virksomheten og spørre deg hva du vil sikre deg mot. Det er virksomheten som skal avgjøre hva som er skjermingsverdig, og da må du vite hva de kriminelle vil ta fra deg. Prosessorkraft? Lagringsplass? Skurkene er ikke nødvendigvis ute etter informasjon, påpeker han.

Tjaberg er enig.

- Det er svært viktig at aktører i alle nivåer av samfunnet kjenner verdiene sine, først da vet du hva du bør sikre.

- Ungdommen er skarpe

Ole-Tom Seierstad fra Microsoft stemmer i:

- Dessverre ser vi altfor ofte at det er samme klassifikasjon på de siste patentsøknadene som det er på matoversikten i kantinen. Det er ikke er segmentert hva som er viktig. Ved å legge seg på et helt flatt sikkerhetsnivå får man ikke noe forhold til hvilke data som er viktige og ikke.

Tjaberg foreslår følgende for å bøte med situasjonen:

- Vi tror at kompetansebygging er viktig tiltak, alt fra bevisstgjøring til å faktisk erkjenne. Det handler ikke nødvendigvis om å pugge lover og forskrifter, men å få det inn i den daglige "donten" i sin egen virksomhet at man blir fulgt opp på sikkerhetsarbeidet, sier hun.

- Også tenker jeg at det å få etablert noen rutiner, at man gjør sikkerhetsoppdateringer og patchinger, er noen lavterskeltilbud som kan brukes for å rydde unna mye av støyen. Så styringsarbeid på ene siden, lavterskel på den andre. Vi må samtidig erkjenne at det aldri blir helt dønn tett.

Seierstad tror på generell basis at arbeidet med såkalt sikkerhetskultur må starte veldig tidlig.

- Høgskolen i Gjøvik er viktig, men vi må starte tidligere, sånn at dagens unge får en forståelse av sikkerhet og risiko tidlig, kanskje allerede på barneskolen.

De unge er skarpe, mener han.

- Da jeg var ung brukte jeg aldri hjelm i slalåmbakken, selv om det var blåis. Når jeg står slalåm nå, er det junior som kommer og minner meg på hjelm. Denne forståelsen må vi skape rundt it.

Les om:

Sikkerhet