Sikkerhed: Bondefangeri lever i bedste velgående

Præsident Barack Obama har erklæret cyber-sikkerhed for en ”national nødsituation”, der kalder på ekstraordinære skridt. Sikkerhedseksperter peger på, at almindelig folkeoplysning måske er det vigtigste.

Det meste It-sikkerhed handler om symptombehandling. Der bliver brugt alt for få kræfter på at forstå, hvordan det internationale hacker-miljø opererer.

Det siger chefen for Intel’s sikkerhedsafdeling, Chris Young, til Financial Times.

Cyber-sikkerhed er rykket flere trin op på den politiske agenda i USA efter at præsident Barack Obama stillede skarpt på emnet i sin årlige State of the Union-tale til den amerikanske kongres i januar.

Efterfølgende har Obama erklæret It-angreb på amerikanske virksomheder og offentlige installationer inden for energi og transport for en ”national nødsituation”, der giver præsidenten udvidede muligheder for at igangsætte initiativer på flere fronter.

Chris Young fra Intel anerkender vigtigheden af, at den politiske ledelse får sat emnet højt på dagsordenen, men han advarer samtidig mod, at nogle af initiativerne vil kunne medføre, at der bliver indsamlet en masse data, som meget få virksomheder og myndigheder har de nødvendige forudsætninger for at kunne forholde sig til.

Intels sikkerhedschef siger, at vi tager for givet, at opretholdelse af lov og orden i den fysiske verden er noget, der er overladt til statsmagten, der råder over politi, efterretningsvæsen og militær.

Men når det gælder cyber-kriminalitet, så er det næsten helt og holdent overladt til den private sektor at beskytte sig mod angreb.

Den private sektor er imidlertid slet ikke er i nærheden af at råde over de ressourcer i form af knowhow og penge, der er nødvendige for at udvikle og opretholde en rimelig grad af sikkerhed.

Derfor drukner det meste sikkerhedsarbejde i symptombehandling, siger Chris Young.

Hos IBM er sikkerhedschef, Kris Lovejoy, tilsvarende skeptisk overfor et It-sikkerhedsarbejde, der primært har fokus på at bygge forsvarsværker omkring virksomheder.

Hun siger til Financial Times, at situationen skal ses som en krigstilstand, hvor modstanderen anvender “biologiske” våben.

”Alle uden undtagelse er inficeret. The bad guys er inde overalt”, siger Kris Lovejoy.

På Standford center for cyber-sikkerhed, anvender Jennifer Granick et lignende billede, og foreslår en indsats, der minder om en sundhedskampagne.

04052015-02
Jennifer Granick, Stanford Center for Internet and Society

Granick efterlyser samtidig konkrete krav til virksomheder om at etablere de mest elementære sikkerhedsforanstaltninger omkring deres It-installationer.

Det vil kunne lukke af for det mere simple hackeri, og man ville herefter kunne samle kræfterne imod de virkeligt store trusler.

Samtidig skal den brede befolkning oplyses om, hvordan vi alle hver især kan medvirke til at opnå bedre sikkerhed.

Sikkerhedseksperter peger på, at den mest almindelige form for indbrud i virksomhedernes It-systemer stadig er baseret på stjålne eller gættede passwords.

Nogle hackere råder over særdeles avancerede værktøjer til at bryde ind i virksomheder, men i de fleste tilfælde er der ikke brug for dem.

Et overraskende stort antal mennesker er nemlig stadig et let bytte for smarte tricks, der får dem til at oplyse passwords til fremmede, der for eksempel giver sig ud for at være support-personale.

Desuden anvender mange brugere passwords, der er alt for lette at gætte.

I mange virksomheder skal man huske passwords for flere af de systemer, som man skal bruge, enten dagligt eller lejlighedsvis. Det får brugerne til at slække på kvaliteten af deres passwords, fordi gode passwords kan være svære at huske.

Men det kræver kun ét brugernavn og password til det rette system, før the bad guys er inde på nettet, hvorfra de ofte vil kunne operere under radaren.

Hos et af de store sikkerhedsfirmaer vurderer man, at over 80 pct. af alle indbrud er baseret på stjålne eller gættede passwords.

”Vi skal se på dette problem på samme måde, som vi ville se på et alment sundhedsproblem i samfundet. Den digitale infrastruktur er noget, som vi alle sammen er afhængig af, og der skal etableres en generel forståelse for sikkerhed på dette område, på samme måde som vi eksempelvis har fået det inden for trafik og el-forsyning”, siger Jennifer Granick.

Henvisninger og baggrund: 04-05-2015