sikkerhet

Storm-viruset – eller ‘ormen’, som er den korrekte betegnelsen – ble først oppdaget i januar. I løpet av nesten et år har vi lært mye om den nye trusselen, inklusive at det ikke finnes effektiv beskyttelse og at utsiktene i så henseende er dystre. Hva gjør vi når vi blir konfrontert med en trussel vi ikke kan beskytte eller forsvare oss mot?

[...]

Vi skal ikke tro alt vi hører – og ikke alt vi leser heller. Sannheter de fleste av oss forlengst har gjort til en del av hverdagen. En annen evig sannhet er at alt har sin pris, og våre omgivelsers tilfeldige omgang med sannheten har definitivt sin: Vi er blitt skeptikere. Jo eldre vi er, desto mer skeptiske er vi – som regel og dessverre med god grunn.

[...]

For noen uker siden konstaterte vi på lederplass at ingen klienter er så ubetydelige at sikringen av dem er uviktig. Samtidig er sikringen av våre krympende klienter en tiltagende utfordring. Utviklingen er på kollisjonskurs med et tiltagende behov for nettopp god datasikkerhet og sporbarhet. Dermed blir spørsmålet uunngåelig: Kaster vi bort tiden? ‘Sannsynligvis’ er det nedslående svaret – og det er arkitekturen, ikke teknologien som er feil. Det finnes imidlertid alternative veier til målet – som samtidig flytter oss mot en fremtid der mange av dagens sikkerhets-problemer blir borte – og de nye er mer overkommelige. Er tiden moden for å fjerne klient-lokale data for godt?

[...]

Selvsagt har vi klasseskille i nettverket. På den ene siden har vi mer og mindre viktige systemer, på den andre siden mer og mindre eksponerte systemer. De er ikke like og behandles ikke likt. Men har vi også uviktige systemer? Mange – spesielt brukere – synes å være av den oppfatning. ‘Jeg har ingen ting av verdi på min maskin’ er unnskyldningen for å være nonchalant med håndteringen av utstyret. Konsekvensene er ofte dramatiske. Det finnes kun én variant av ‘uviktige’ systemer i et sikkerhetsmessig perspektiv: Fullstendig dataløse klienter. Alle andre inneholder viktige data uansett hva brukere (og enkelte IT-ansvarlige) måtte mene. Har du tatt konsekvensen av denne virkeligheten?

[...]

11. september 2001 gjorde underverker for katastrofe-beredskapen over store deler av verden – innen IT og på andre områder. Mer enn halvparten av alle virksomheter har én eller annen form for beredskap. Samtidig kan svært få si hvor lang tid det vil ta fra katastrofen inntreffer til de igjen er operative på IT-siden. Ei heller får vi klare svar på hvor lenge virksomheten kan overleve uten operative IT-systemer. Selv for virksomheter med grundige beredskapstiltak hører det til unntakene at de er oppdaterte i forhold til dagens trusler. Hva skjer når politiet beslaglegger deler av maskinrommet som del av en pågående etterforskning? Eller når Internett-linjen stenges fordi vi – uaktsomt – sprer virus til kunder, partnere og leverandører? [...]

Tenk deg at en vekter fra ditt vaktselskap viser seg å ha solgt kopi av alle nøkler og mange adgangskoder i ditt distrikt. Hva gjør du – utover å skifte vaktselskap og kontakte advokat? Bytter lås og koder naturligvis. Er du like påpasselig med din IT-infrastruktur? Og hva gjør du dersom det viser seg at låsene har gått ut på dato?

[...]

At trusselbildene forandrer seg er ikke noe nytt. Vi er vant med å håndtere nærmest kontinuerlige oppdateringer av signaturer, profiler og verktøy. At forandringene kan bli så store at også verktøyene må erstattes, er imidlertid de færreste forberedt på. Nå er vi der: Verktøyene – til og med vår bastion gjennom 15+ år, brannmuren, kommer til kort. Antivirus-verktøy blir kontinuerlig mindre effektive, og har uansett alltid vært en kurering av symptomer. Er det mulig? Hva gjør vi?

[...]

I motsetning til utstyr og kunnskap, går sunn fornuft aldri ut på dato. ‘Spør først, grav siden’ er like innlysende smart i dag som for 100 år siden, til tross for at verden har forandret seg dramatisk i perioden. Like åpenbart er det at en IT-infrastruktur sikres mest effektivt ved å blokkere all trafikk, og deretter åpne for det som er tillatt – i stedet for det motsatte. Likevel er sunn fornuft foruroligende ofte fraværende i sikkerhets-arkitekturer, sikkerhets-strategier og praktisk IT-sikkerhets-arbeid.

[...]

Gir du lett fra deg originaldokumenter? Er det grunnlag for bekymring at Office-dokumenter vi sender fra oss, kan endres av hvem som helst og utgis for å være originalen? Eller at Office-dokumenter flest inneholder meta-data som en potensiell inntrenger ville gitt lillefingeren for å få tak i? Det er trivielt å eliminere hele problemstillingen – og tiden er (over)moden!

[...]

Hva har programvare-kvalitet, WLAN og konsument-elektronikk med hverandre å gjøre? I utgangspunktet fint lite. Men teknologiens og markedets veier er uransakelige: Vi står foran en eksplosjon i bruk av WLAN i all tenkelig og utenkelig konsument-elektronikk – ikke fordi utstyret trenger nettverket, men fordi den innebygde programvaren er full av feil.

[...]