Bråvåkning for Homeland Security

Halve verden har sovet i sikkerhetstimen. De fleste sover enda. Amerikanske Homeland Security bråvåknet denne uken. Kan de vekke Norge?

Dråpen som fikk begeret til å flyte over – og alarmen til å gå, var ‘hackingen’ av det amerikanske finanstilsynet, SEC, for et par uker siden. Misbruk av SECs epost-domene (spoofing) har fått store deler av statsapparatet til å klikke på malware – i god tro, med følger ingen har oversikt over enda.

Vi diskuterte hendelsen i Når staten hackes for noen dager siden, og konstaterte blant annet hvor unødige slike hendelser er i 2017. Ren skjødesløshet eller inkompetanse som er mer utbredt i Norge enn i USA, med norske (sikkerhets)myndigheter som fremtredende eksempler på hvordan det IKKE skal gjøres. Mens svenskene utmerker seg på den andre enden av skalaen.

Er det mye forlangt at også norske myndigheter bråvåkner før de får en tilsvarende fadese i fanget? Vår oppfordring er å kaste et blikk på de nye kravene fra Homeland Security til hele det amerikanske statsapparatet. DMARC, HTTPS og STARTTLS er gresk for de fleste, velkjent for alle som har med IT-/cyber-sikkerhet å gjøre, koster minimalt og utgjør forskjellen mellom skjødesløshet og ansvarlighet.

120 dager er tidsfristen Homeland Security bevilger for DMARC, 4 måneder for HTTPS. Romslig, men likevel en effektivitet vi svært gjerne overfører til våre breddegrader. Her er det ingen ting å utrede, ingen ting å sende på høring, ingen budsjetter å krangle over. Handling er det eneste som trengs – og det eneste som teller.

Skulle du trenge mer kjøtt på benet, les DMARC: E-postens ukjente livredder og Politisk cybernaivitet.