Så er vi i gang igjen. PST maler fanden på veggen, politikerne kaster seg på, eksperter kaller situasjonen gravalvorlig: ‘Vi er under angrep’. ‘Fremmede makter står bak’. ‘Slik kan vi ikke ha det’. Maken til hypokondri.
(Innlegget ble først publisert på myMAYDAY.com)
Helsider i avisene, prime time oppslag i TV og radio. Kan det være mulig at vi ikke har et digitalt grenseforsvar? Hvem har ansvaret? Trenger vi et nytt direktorat, avdeling, enhet? Mer penger? Ballen ruller, useriøse spørsmål overgås av lettvinte svar – fra personer som burde vite bedre og kunne parkert hele diskusjonen.
Våkn opp Norge. Dette er gammelt nytt. Slik har vi hatt det i årevis. I et tosifret antall år. Det er mulig (og sannsynlig) at situasjonen er verre i år enn i fjor – flere angrep, mer sofistikerte angrep, større trafikk, men ingen er tjent med opphaussingen fra PST og media. Med et haleheng av leverandører og eksperter med dollartegn i øynene.
Sirkuset er naivt, opportunistisk og ikke egnet til å skape bedre sikkerhet eller mer bevissthet. Det fremstår snarere som en utilslørt søknad fra enkelte grupper om en lokal Homeland Security-variant med unntakslover, spesialfullmakter og mer overvåking. Tiltak som påviselig ikke gir bedre sikkerhet, men garantert høye kostnader og mye business – og næring til store egoer både i politikk og næringsliv.
Alle trenger bedre sikkerhet. Russere, nord-koreanere, kinesere, amerikanere, tyskere, briter og mange andre boltrer seg i hverandres og våre nettverk kontinuerlig. Å stenge dem ute fra de digitale motorveiene er som å stoppe stråling fra Chernobyl: Umulig. Å garantere at de ikke kommer inn på systemer og klienter, er like umulig. Men å dramatisk redusere sjansene for at så skjer – og konsekvensene hvis det skjer, er mulig og nødvendig.
Forutsetning nummer én er å forstå trusselbildet. Det gjør verken politikere eller journalister.
Å etterlyse digitalt grenseforsvar er avslørende i så henseende: Ikke mulig, ikke ønskelig. Digitale grenser finnes kun i totalitære stater vi ikke ønsker å sammenligne oss med: Russland, Kina, Nord-Korea og en del andre hvor staten har kontroll over all infrastruktur. Og selv der lekker grensene via satelitt-forbindelser, andre trådløse teknologier og krypterte kanaler.
Dessuten: Hovedproblemet er ikke dumme eller skjødesløse brukere, slik vi ofte får inntrykk av, men svake eller mangelfulle mekanismer. Historisk betingede svakheter som smått om senn finner akseptable løsninger, typisk etter årelang prøving og feiling i fagmiljøer. For eksempel: DMARC er anerkjent og påviselig den mest effektive mekanismen mot phishing og andre epost-bårne angrep (se analysen DMARC: Epostens ukjente livredder). I alminnelig bruk siden 2012, utbredt siden 2014.
Nye løsninger, mekanismer og forbedringer er imidlertid lite verdt hvis de ikke brukes. Og det er her norske myndigheter avslører manglende interesse eller kompetanse. Verken PST, Forsvaret (mil.no), Regjeringen (dep.no) eller NSM – Nasjonal Sikkerhetsmyndighet – har tatt i bruk DMARC. NORSIS har tatt den i bruk, men unnlater å nevne den på sine nettsider. Også politiet – og utallige andre som burde vite bedre, svikter – til tross for at DMARC er gratis, enkel å installere og anerkjent i fagmiljøer over store deler av verden. Teknologien leverer ikke perfekt sikkerhet, men et vesentlig bidrag i riktig retning, og slår alle kjente alternativer med god margin.
Tafattheten fra antatt kompetent hold forsterker inntrykket av at andre motiver dominerer over reell cybersikkerhet når alvorlige menn og kvinner med rynkede bryn serverer sine bekymringer i media. Kan vi få noen på banen som har fokus, kunnskap og evne til å kommunisere? Det trengs.
[…] uke hadde InnoMag et oppslag der en «IT-ekspert tar oppgjør med norsk sikkerhetshypokondri». […]
Thore Danielsen skriver bra og har mange både relevante og interessante poenger. Synd han ikke leste stykket han svarte på – før han svarte. Da kunne vi hatt en relevant diskusjon om norsk cybersikkerhet.