Reven og hønsehuset
Del 1 - om e-post og informasjonssikkerhet
av Roar Thon
Her om dagen dykket jeg ned i min digitale søppelbøtte. Stedet hvor svindel, spam og mye annet rart samler seg. Noe plassert der automatisk, noe vurdert av meg til å være av svært liten interesse.
Det er nesten for underholdning å regne når man tar et dypdykk ned i elendigheten. Jeg skulle ikke lete lenge for å treffe på e-poster som kunne ha ført til mye «moro» for meg selv og arbeidsgiver. Det hele ble en god bekreftelse på det jeg jo visste fra før og som jeg ofte kommuniserer til andre ved anledning.
E-post er fortsatt «hackernes» europavei inn i de fleste datamaskiner og nettverk. Uansett om det er en statsaktør eller en enkeltstående «hacker» kommer de langt ved å bruke e-post som motorvei for å levere et digitalt «angrep».
At e-post fortsatt er det mest effektive angrepsvåpenet bekreftet Jeh Johnson som er US Secretary of Homeland Security. På en konferanse i New York nylig sa han “The most devastating attacks by the most sophisticated attackers almost always begin with the simple act of spear-phishing.”
Utfordringene knyttet til e-post er på ingen måte noe nytt. Sammen med mange andre organisasjoner i inn- og utland, har vi i Nasjonal sikkerhetsmyndighet sagt det samme over lengre tid. Så det burde ikke være mangel på advarsler knyttet til utfordringene med e-post. De er av både menneskelig og teknologisk art. Likevel kan det stilles spørsmål ved hvor arbeidet med å sikre oss bedre mot e-post står?
Det er ikke nødvendigvis mangel på bruk av ressurser for å forhindre at e-post er den mest effektive måten å levere digitale «angrep» på. Problemet er at e-post ikke er en enkeltstående sårbarhet som «bare» kan fikses.
205 milliarder e-post hver eneste dag
E-post i seg selv er bare et verktøy som gjør det mulig å levere informasjon i form av tekst, bilder, linker og vedlegg m.m. I alle disse leveransene finnes mulighetene for at det skjer ting som vi ikke ønsker. Jeg tror det er viktig å forstå hvor sentral e-post er for menneskers kommunikasjon. En undersøkelse gjort av forskningsselskapet The Radicati Group fra 2015 viser at det på verdensbasis sendes 205 milliarder e-poster hver eneste dag.
I det volumet skjuler det seg e-poster med tekst som forsøker å lure deg og meg til å gjøre noe eller oppgi noe vi kanskje ikke burde gjøre. I de samme e-postene er det linker og vedlegg som inneholder elementer som tester våre digitale forsvarsmekanismer. Klikker vi på linken, eller åpner vi vedlegget?
Det er ikke slik at «angrepet» er vellykket når vi klikker eller åpner linker og vedlegg. Det er da den virkelige digitale kampen starter mellom forsvarer og angriper. Noen ganger vinner vi, og noen ganger vinner angriperen. Denne digitale kampen er dynamisk, og angreps- og forsvarsmekanismer er i stadig endring. Vi deltar i et digitalt våpenkappløp, for å sitere min gode NSM kollega Hans Christian Pretorius.
Men én faktor endrer seg lite. Angriperen trenger at mottakerne av e-poster gjør noe (klikke/åpne). Derfor blir ikke dette «bare» et teknologisk spørsmål. Det handler også om hva vi som mennesker gjør når vi mottar e-post. Forståelig nok splittes utfordringen med epost ofte i to deler. Den teknologiske og den menneskelige. Vi trenger tiltak på begge sider, men det er nærmest to ulike forretningsområder innen sikkerhetsbransjen som skal forsøke å finne noe som fungerer helhetlig. Det er ikke bestandig de to områdene er like flinke til å forstå eller samarbeide med hverandre.
Fra et isolert sikkerhetsmessig ståsted, hadde det vært best om vi sluttet å bruke e-post. Men hva skal det erstattes med? Vi må erkjenne at e-post fungerer veldig bra og har en forholdsvis lav kostnad. Men bruken medfører risiko og den risikoen er av både menneskelig og teknologisk art.
Døren til hønsehuset
For en stund siden kom jeg over et bilde av en rev foran et hønsehus.
Bildet hadde teksten «You don’t blame the chickens for being eaten when the fox gets in the henhouse – You blame the farmer for having poor defences”
Med andre ord (eller på norsk) «Du skal ikke skylde på hønene som blir spist når reven bryter seg inn i hønsehuset – du skal skylde på bonden for dårlig sikkerhet.»
Både illustrasjonen og teksten syntes jeg først var veldig bra. Men den fikk meg også til å tenke litt nærmere på hvordan den egentlig skulle tolkes.
Dårlig sikkerhet er ikke (hønenes) ansattes ansvar. Det er (bonden) ledelsen som skal sørge for slikt.
For meg kan det tolkes som at sikkerhet kun handler om teknologiske/fysiske tiltak som ikke involverer ansatte på noen måte. Eller det kan tolkes dit at uansett hvordan ansatte oppfører seg i forhold til sikkerhet, så skal de ikke tildeles noe skyld/ansvar fordi det er ledelsen som har sviktet ved å ha for dårlig sikkerhet. Den første tolkningen er jeg grunnleggende uenig i og jeg er heller ikke tilhenger av at mennesker ikke skal ansvarliggjøres på en eller annen måte.
Hva når hønene lukker opp døren fra innsiden?
For hva skjer når vi overfører reven og hønsehuset til sikkerhetsutfordringene med e-post?
Hva gjør du når hønene lukker opp døra til hønsehuset fra innsiden? Skal du fortsatt bare skylde på bonden, eller skal du også ansvarliggjøre hønene i den hensikt å redusere antallet som lukker opp døra fra innsiden?
Et svar kan jo være å sørge for at ikke «hønene» kan lukke opp døren fra innsiden, men det fungerer ikke når det gjelder e-post.
De aller fleste av oss som er yrkesaktive har som arbeidsoppgave å motta, lese og respondere på e-post. Den arbeidsoppgaven medfører risikoen for at vi fra innsiden åpner døren til hønsegården.
Litt forenklet bør vi håndtere epost utfordringene ved å:
- Forbedre de teknologiske tiltakene som identifiserer og luker ut «farlige» e-poster
- Redusere antallet brukere som blir lurt av innholdet i «farlige» e-poster
- Akseptere at vi likevel kommer til å bli lurt
- Forbedre de teknologiske tiltakene og rutinene som hindrer/reduserer skaden når vi blir lurt
I tillegg til bør vi jo få gjort noe med de som sender slike e-poster, men her har jeg ingen tro på at vi vil se noe særlig effekt i nær fremtid.
I neste innlegg vil jeg skrive litt om hvordan vi kan redusere risikoen ved e-post samtidig som tiltakene må balansere det faktum at mange e-poster inneholder informasjon som vi trenger for å løse våre arbeidsoppgaver eller informasjon som er viktig for oss som privatpersoner.
Da er det en fordel at hønsehuset ikke er så sikkert at hønene ikke en gang får luft, vann og mat.