Sikkerhetsbevisste brukere? Glem det!
«Leteaksjonen etter sikkerhetsbevisste brukere har pågått i 30 år – uten resultat. På tide med ny søkeprofil.»
Sitatet innledet en kommentar på myMAYDAY.com for 5 år siden. Leteaksjonen pågår imidlertid fortsatt – under motto 'hvis alle bare blir tilstrekkelig sikkerhetsbevisste, blir nok sikkerheten bra'. Entusiastene - inklusive NorSIS, som for tiden kjører en slik kampanje, får ha oss unnskyldt: De sparker en død hest. Vi vet bedre, vi kjenner brukerne. Vi er brukere selv, og tar snarveier og omveier rundt blokkeringer og sikringstiltak når anledningen byr seg og noe annet har høyere prioritet. Hvem setter sikkerheten foran når sjefen maser, barnehagen er i ferd med å stenge eller flyet er 'boarding'?
Tiden er overmoden for realisme: Biler, fly, teknologi, bygninger, maskiner – uansett hvilket område vi velger, er det (litt) påbud og (mye) usynlig sikring som høy sikkerhet. Ikke bevissthet.
Eksempel: For biler startet vi med påbudt montasje av bilbelter, så påbudt bruk, så bøtlegging av manglende bruk. 4 tiår senere er beltene blitt en refleks i vår del av verden, men det er de usynlige sikkerhetstiltakene som redder flest liv og lemmer. Airbags, støtabsorbsjon, beltestrammere, sideforsterkninger etc. Brukerne (førerne) er i realiteten mindre sikkerhetsbevisste enn noen gang der de tekster, leser aviser, tar bilder, sminker, barberer, sjekker nettsider og mye mer – mens de kjører. Er det denne 'rasen' vi tror skal få et ansvarlig, bevisst forhold til cybersikkerhet?
Situasjonen er den samme som vi diskuterte i Hvilken virkelighet lever DU i? for litt siden, der vi etterlyser edruelighet i forhold til virkeligheten: Ta brukerne for det de er, ikke det vi ønsker at de skal være.
Holdningsskapende arbeid er ikke unyttig, men har lav effektivitet – i ekstrem utakt med en cybervirkelighet som raser avgårde og trenger action, nye verktøy og nye tiltak kontinuerlig. Inklusive mild tvang og usynlige tiltak overfor brukerne. 2FA (inklusive fingeravtrykk, facial recognition, ...) er mild tvang. SSL, DMARC, DNS-filtrering, UEBA og mange flere er usynlige tiltak, uavhengige av brukerne og deres innstilling. Faktum er at SSL alene, spesielt etter at Google sørget for at den ble tvungen for noen uker siden, har levert mer brukersikkerhet enn summen av alle holdningsskapende tiltak de siste 30 årene.
Tilbake til NorSIS’ brukerbevissthets-kampanje, fokuserer første leksjon på hvordan brukeren kan gjenkjenne falske eposter. Deprimerende lesing fordi 1) 99+% av alle brukere ikke vil oppdage godt forfalskede eposter uansett hvor mye det pugges og terpes, og 2) alle virksomheter kan minimere risikoen for forfalskninger hvis de vil, når de vil, nesten gratis. Med DMARC, som NorSIS selv omsider har fått øynene opp for.
NorSIS har sågar bidratt til en enkel innføring i DMARC, SPF og DKIM - med faglige lenker - som skal inspirere interesserte til å ta et skritt videre. Dokumentet er publisert på Nettvett.no – hvor vi også finner mer ‘sikkerhetsfaglig’ stoff fra trioen NorSIS, NSM og NKOM.
Positivt fordi det anerkjenner at mekanismene finnes og bør brukes. Negativt fordi Nettvett.no bommer på både innhold og målgruppe. Materialet har form og språk rettet mot sluttbrukere, mens temaene er langt utenfor hva brukere kan og bør beskjeftige seg med. Proffene - de som SKAL ha et forhold til DMARC, DNS, risikoforståelse, avvikshåndtering og bransjenormer, finner kunnskapen andre steder – med langt mer profesjonelle tilnærminger – når de ønsker det. Nettvett.no serverer tredjegradsligninger til 4.-klassinger. Det er bortkastede ressurser.
Vårt hovedpoeng er følgende: Brukerfokuseringen skader sikkerheten ved å avlede oppmerksomhet og ressurser. Vi vet at det ikke virker. Samtidig vet vi hva som virker og hvorfor: Litt tvang, mest usynlige tiltak. Der må ressursene fokuseres. Da kan vi komme på offensiven i forhold til cybersikkerhet. Det haster.
Se også:
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.