sikkerhet

Det begynte i januar 2007. I løpet av 2 korte år har verden forandret seg. IT-sikkerhet er ikke lenger forsvar mot pøbler og dyktige amatører som skal vise seg frem. Malware, spyware og bot-nett i stadig nye varianter er ‘produkter’ fra profesjonelle organisasjoner. En raskt voksende undergrunnsøkonomi der informasjon, tjenester og varer selges og kjøpes i stor skala. Hva har vi å stille opp med?

Data er undervurdert. De har gått for lut og kaldt vann i årevis, mens IT-verden har vært opptatt av hardware og applikasjoner. Og de er usynlige i alle ‘normale’ verdi-oppstillinger. Hvordan kan vi bruke ressurser på sikring dersom verdien av det som skal sikres, er fraværende eller usynlig? Hvordan kan vi finne verdien på våre data? Og hvordan måler vi effektiviteten av sikringstiltakene?

70% av all relevant virksomhets-informasjon finnes i epost-arkivet. Men hvor er arkivet, hvem har tilgang til det og hva mer er å finne i samme arkiv? Det er ille nok å konstatere at store mengder kritisk informasjon ligger på epost-tjenere hos Google, Microsoft, Yahoo og Mailbox.com, om den ikke også er blandet med hjemmevideoer og barnepornografi. Og dersom gjeldende policy ikke setter scenen, blir det ditt ansvar…

Visst vil vi bli kvitt lekkasjene. Ikke bare det: Vi vil gjerne vite om det dersom lekkasjer skjer. Men er mer teknologi svaret enda en gang? Leverandører av Data Leak Protection mener det. Vi mener noe annet. Hva mener du?

Har du eksterne brukere, interne brukere og en egen sikkerhets-sone for maskin-rommet? Da er du i godt selskap – og moden for forenkling. Motivasjonen for å skille mellom interne og eksterne brukere er praktisk talt borte. Argumentene for å behandle alle brukere som eksterne brukere – alltid, er overbevisende og fristende.

Datalagringsdirektivet kommer. Vi kan mislike, kritisere og stille spørsmålstegn ved motiver og effekt, men kommer gjør det – og er vesentlig ‘snillere’ enn tilsvarende hos amerikanerne. Dessuten: Når misforståelser og tabloidisering skrelles bort, er Datalagringsdirektivet slett ikke så ille, og totalt irrelevant i forhold til SPAM.

Det måtte lover, bøter og straff til for å få folk til å bruke sikkerhetsbelte. Nå er vi i samme situasjon med hensyn til datasikkerhet. Men hvor mange er klare til å feste sikkerhetsbeltene? Ja, hvem har egentlig skaffet seg sikkerhetsbelte?

“Den som tror teknologi kan løse deres sikkerhetsproblemer, har verken forstått problemet eller teknologien.” Sikkerhetseksperten Bruce Schneiers velkjente sitat har rukket å bli nesten 10 år gammelt, og er fortsatt like aktuelt. Poenget er at god sikkerhet ikke skapes av punkt-tiltak, men av en helhet. Brukerne er en essensiell del av denne helheten.

Å bygge IT-sikkerhet med teknologi og ignorere brukerne er som å bygge hus uten grunnmur. Et lite vindpust, så er det hele over. Og brukerne er ikke egentlig vanskelige. De er som oss andre: Det de ikke forstår, vil de ikke ha.

Kampen mot virus og malware er tapt – på dagens nivå. For å fortsette må vi over på et nytt nivå – med nye verktøy og andre teknologier. De reaktive mekanismene som har preget sikringsverktøyene så langt, har aldri vært tilstrekkelige, og den sterke fokuseringen på klient-sikring skalerer ikke. Hva er alternativene? Er det mulig å komme tilbake på offensiven, og i så fall hvordan?