NSM: Stabilt sideleie?

Det amerikanske senatets største bekymring er ikke lenger terrorisme. Det er cybersecurity. Samtidig ligger norske myndigheters ansvarshavende i stabilt sideleie. Kan vi leve med det?

Vi har vært ‘ute etter’ norske cybersikkerhetsmyndigheter i lang tid. Deres bidrag til bedre cybersikkerhet har vært lite synlig, halvhjertet og ofte lite kompetent. Et innlegg om epost og sikkerhet i Finansavisen 22/1 løftet håpet. Nasjonal Sikkerhets-Myndighet (NSM) oppfordrer til et felles løft for å bedre epostsikkerheten, nevner relevante teknologier og henviser til NSM.no som ressurs.

Det viste seg å være et løst blaff. Artikkelen beskriver kjente problemer, men anviser ingen løsning. Henvisningen til en ‘teknisk veileder’ hos NSM viser seg å være et udatert dokument – delvis misvisende og med lav praktisk nytte. Hvilket er gjennomgangstonen i dokumentproduksjonen fra NSM. Oppsummeringer av kjente problemer, opplistinger av lite konkrete tiltak som for sikkerhetsprofesjonelle fortoner seg som selvfølgeligheter.

Det er mulig vi er for kritiske, men vi har vanskelig for å se verdien av «velg leverandør av god kvalitet …», «kjøp moderne og oppdatert maskin og programvare …» og «gjennomfør tilstrekkelig med testing gjennom hele anskaffelses-løpet …». Vi blir oppfordret til å «designe en helhetlig og enhetlig sikkerhetsarkitektur som ivaretar ønsket sikkerhetsnivå …», men hva er ‘helhetlig og enhetlig sikkerhetsarkitektur’ og hvordan defineres ‘ønsket sikkerhetsnivå’?

Vi sitter igjen med følelsen at NSM sitter fast i historien. Leverer omsorgsfulle, generelle oppfordringer til venstrehånds ‘driftere’ land og strand rundt. Relativt vanlig rundt årtusenskiftet da mange IT-miljøer fortsatt trodde de kunne levere tilstrekkelig sikkerhet selv. Teknologisk og sikkerhetsmessig veldig lenge siden.

Vi føler behov for å sende Mnemonic eller PWC eller en annen proff gjeng til NSM for å sikre og profesjonalisere både prosesser, systemer og virkelighetsoppfatning, og sikre e-posten i samme slengen. For NSM anbefaler bedre epostsikring, men tar ikke sin egen medisin – en sikring vi har etterlyst gang på gang de siste årene. Tusenvis av norske virksomheter mottar falske eposter fra NSM hver eneste dag. Og fra stat.no, pst.no og mange flere – uten mulighet til å verifisere opprinnelsen. Det er flaut.

Hvis de samtidig kunne hjelpe NSM til å forstå at digitalt grenseforsvar ikke er mulig, snakker vi om et kvantesprang. Slik at de kan fortelle politikere og andre som kaster bort verdifull tid på håpløse ideer om grensekontroll a la Kina og Russland, at det verken er teknisk mulig eller etisk ønskelig.

For seriøse cybersikkerhets-miljøer er ressursene hos amerikanske NIST og de store leverandørene i segmentet uvurderlige. NSM er høyst unnværlig – tidvis negativ – i vår del av markedet.


Se også …

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.