Cyberhygiene

Scissors and cutted network cable over computer keyboard. Radical disconnection internet

Det kreves kun én smittet for å 'desimere' et helt samfunn. Og kun én lettvint bruker/administrator for å lamme en hel organisasjon.

Analogien er brutalt effektiv - og udiskutabel. Skjødesløshet er sikkerhetens evige fiende, uansett om vi diskuterer pandemi, bilkjøring eller cybersikkerhet. En nesten-ulykke vil holde oss 'på tå hev' bak rattet i timevis, kanskje dagevis. Et ransomware-angrep eller DDoS-angrep sender sikkerhetsansvarlige og CSOer tilbake til skiftordningen fra våren 2019, da Hydro ble angrepet. Men det varer aldri.

Trigget av 'cyberangrepet' på Stortinget nylig, har vi fått en ny krise i fanget. Pressen boltrer seg som vanlig i egen manglende forståelse som formidles videre med høy effektivitet. For sikkerhetsansvarlige er situasjonen en mulighet. Digitale ranere, spioner, vandaler og politiske aktører fra hele verden blir synlige for folk flest. Alle har hørt om valg-hacking, internett-troll, fake news og mer i 4-5 år, men føler det er langt borte. Nå blir trusselbildene både synlige og nære. Og om aldri så misforståtte, de fleste skjønner at vi er en del av verden, dette gjelder også oss.

Vi på den faglige siden har sett de usynlige krigerne lenge, levert advarsler og ideer, analyser og risikoprofiler - fått megetsigende nikk, forsikringer om at 'ja, vi forstår' og 'dette har topp prioritet'. Så blir det stille. Det må ikke skje denne gangen. Nå er katten ute av sekken, og om situasjonen skulle roe seg på overflaten, er det vår oppgave å sørge for å holde oppmerksomheten der den hører hjemme. Og det er nå pressede budsjetter og gode argumenter finner rom for en CSO – om vi ikke allerede har en (se CSO er obligatorisk). Det viktigste argumentet er ansvarlighet og ansvar. Når krigen raser 24/7, hvordan kan 'CSO på deltid' kalles ansvarlig?

Tilbake til bildet vi innledet med - hvordan én persons skjødesløshet er nok til å trigge katastrofen: Vi har noe å lære av pandemihåndteringen. Ikke på noe tidspunkt blir det snakket om å eliminere smitte. Utfordringen er å holde den nede, og dermed under kontroll. Tiltakene er - blant annet - sosial avstand, redusert omgangskrets, bedre hygiene. Overført til cyberforsvar betyr det å anta - forvente - at det alltid vi være 'smittede' (er skjødesløse, uforsiktige, tankeløse, kort og godt 'menneskelige') blant oss. Tiltakene skal håndtere denne virkeligheten, ikke en idealisert drøm. Sikringen skal anta at kompromitteringer skjer, at ubudne gjester kommer inn, etc. Utfordringen er ikke perfekt 'tetting', men effektiv håndtering.

Enorme midler flommer inn i klassisk opprustning, mens forsvar mot den usynlige krigføringen blir avspist med småpenger.3. verdenskrig raser, ingen vil innrømme det

Steve Prentice, som har jobbet med og skrevet om cybersikring i et tosifret antall år, tok opp nettopp cyberhygiene på CloudTweaks.com forleden, og minnet om brukernes (menneskelige) feilbarlighet. 'The wet paint syndrome' beskriver hvordan folk flest forholder seg til en 'nymalt'-plakat, der minst 50% - av en håndfull ulike årsaker - vil fysisk teste om oppslaget stemmer, om veggen virkelig er nymalt. Poenget er ikke at brukerne er dumme eller bevisst skjødesløse, men at de er mennesker. Vår jobb er å 'bake inn' akkurat den kunnskapen i tiltakene. I cyberforsvaret, i 'markedsføringen' overfor bevilgende myndigheter, og forståelsesbyggingen overfor brukere generelt. 

Derfor: En CSO som ikke forstår mennesker, er ingen god CSO. Og brukere som forstår konsekvensen av egen skjødesløshet - for seg selv og andre - blir mindre skjødesløse. Så enkelt, så vanskelig.

 

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.