Informasjonssikkerhet: Litt cybermagi, men mest hardt arbeid
Artikkel originalt publisert i Kommunerevisoren nr 6 i 2019.
I skrivende stund ligger dokumentaren Free Solo tilgjengelig på NRK nett TV. Free Solo betyr å klatre fjell alene uten sikring. Filmen handler om friklatreren Alex Hannold som har sett seg ut fjellsiden El Capitan i Yosemite nasjonalpark. El capitan er med sine 914 meter en rimelig vertikal granittfjellside med svært vanskelige klatreforhold. På overflaten fremstår det som et helt sinnsykt foretak Hannold har satt seg fore: Den sikre død i vente for å gjøre en eneste liten feil. Uten tau er det ingen konsekvensreduserende tiltak på plass hvis ulykken skulle være ute. Det fremstår nesten litt ubegripelig når Hannold finner feste og grep på slette fjellsider. Det er fort gjort å dra den konklusjonen at det er magisk. Innenfor informasjonssikkerhet så er det nok mange som har samme forestillingen om faget: at det er noe hyperavansert, noe som vi ikke kan forstå, at noe magisk foregår… Men Free Solo er unik i at den også gir oss innblikk i livet til Alex Hannold og avmystifiserer hvordan han med upåklagelig dedikasjon og engasjement har blitt et beist av en fjellklatrer som faktisk kan beseire de mest utfordrende fjelltoppene uten å bruke tau. Hvordan han kalkulerer risiko og tar beslutninger med kirurgisk presisjon og utførelse.
Formålet med denne artikkelen er å avmystifisere informasjonssikkerhet som fagfelt, gi deg innsikt i nøkkelproblemstillinger og hva som skal til for å øke informasjonssikkerheten.
Hvorfor informasjonssikkerhet?
Dette spørsmålet har blitt besvart mange ganger før og du har sikkert hørt flere av argumentene før. Så jeg skal spare deg for de mest klisjetunge innsalgsargumentene, men noen slipper du ikke unna. Norsk Hydro ble i år rammet av et cyberangrep som er estimert å koste 450 millioner kroner i produksjonstap og opprydning.[1] Angriperne brukte en relativt kjent angrepsmetode som heter løsepengevirus. Viruset krypterte (gjorde uleselig) informasjonen som de automatiserte produksjonssystemer nyttiggjorde seg av og effektivt satte disse ut av spill. Kunnskap om manuell drift av systemene reddet produksjonen og gjorde at driften kunne opprettholdes. Vi drar ofte på med de verste eksemplene i sikkerhetsverdenen for å få tilhørere til å forstå alvoret, men iblant tror jeg dette også fører til distanse mellom oss i sikkerhetsmiljøet og andre. Det er fort gjort å tenke at «Dette gjelder ikke oss, vi er da ikke et mål!». I noen tilfeller er dette riktig, men du er et mål og du har verdier som andre vil ha. Du vet bare ikke alltid hva de er ute etter og verdiene du tror du har er ikke nødvendigvis de som the bad guys vil ha tak i. Har du for eksempel tenkt igjennom at brukerkontoen din med alle tilgangene er et lukrativt mål i seg selv?
Jeg har eid den private epostadressen min i snart 20 år og det er litt overflødig å si at jeg får mye rart inn på den. Jeg prøver å være aktiv og markere ting som spam for å redusere mengden som slipper igjennom, men noe er det alltids. I dag har jeg fått utallige fantastiske lånetilbud, jeg har blitt trukket ut til en eksklusiv belønning av Kiwi, og sist, men ikke minst så har jeg fått pdf-kvitteringer fra både Amazon og Apple på betalinger jeg ikke har utført. Og dette var bare i dag. I tillegg så er det ikke lenge siden «Microsoft Support» ringte meg og sa at PCen min var infisert med virus, men heldigvis så måtte jeg bare laste ned og legge inn et ekstra program så kom de til å fikse problemet for meg. Helt topp med proaktiv support. Alle disse prøver å få kloa i våre verdier. Flere av disse angrepene har blitt så dagligdags at de blir en naturlig del av en ellers travel hverdag.
Informasjonssikkerhet for personlige verdier treffer alle som har en internettilkobling, men for Kommune-Norge blir trusselbildet mer komplisert. Problemet er at geografi ikke er en hindring på internett: En angriper kan fint sitte i Hammerfest og angripe noen i Lindesnes ved hjelp av noen tastetrykk. Det er selvsagt ingen grenser på internett, angriperen kan like gjerne sitte i Kina (og gjør ofte det), styre trafikken sin via Russland, for så å angripe mål i Norge. Alt som kreves for å få til det er litt Googling og vilje. Ved å angripe mål i utlandet med annet lovverk og helst et dårlig geopolitisk forhold med hjemnasjonen så er det svært lav sannsynlighet for at et angrep vil få konsekvenser for angriperen. I tillegg så er det vanskelig å etablere hvem som gjorde hva når det skjer fra en datamaskin. Dette gjør at terskelen for å gjennomføre cyberkriminalitet er svært lav.
For 20 år siden så var konsekvensen av et dataangrep gjerne at vi fikk virus på PCen og at vi måtte reinstallere den. Nå skal alt kobles på internett fordi det er mulig. Vi må jo ha internett på smartklokker, TV, pacemakere og insulinpumper. WiFi med mikrofon på kosebamsen til ungene er et selvsagt. I tillegg så kobles kritisk infrastruktur, slik som strømnettet og vannforsyning for å nevne noen, på internett. På denne måten øker vi den potensielle konsekvensen og viktigheten av cybersikkerheten hver dag. Hendelser kan ha ringvirkninger langt utover vår egen organisasjon og det er ikke lenger slik at vi bare må reinstallere en PC for å løse problemet.
Informasjonssikkerhetens byggeklosser
Mange av oss har vært og kommer til å komme i følgende situasjoner:
- Kan jeg sende dette dokumentet på epost til en kollega?
- Kan jeg lagre dette dokumentet her?
- Kan jeg stole på innholdet i dokumentet?
Min påstand er at i de fleste tilfeller tar økt produksjon og beleilighet presedens over sikkerheten. Hvis vi er usikre på svarene på spørsmålene over så vil vi ofte velge det alternativet som gir økt produksjon, men disse spørsmålene adresserer fundamentet i informasjonssikkerhet. Det er en feiloppfatning at det er brannmurer, antivirus, logganalyse, intrusion detection og alt annet teknisk cybermagi som er kjernen i god informasjonssikkerhet. Alt det tekniske er en del av bildet ja, men det er selve verdiforståelsen av informasjonen vi håndterer som gjør at vi kan ta gode sikkerhetsbeslutninger. Når vi vurderer om vi kan sende et dokument på epost til en kollega, så må vi først vite hvor hemmelig dokumentet er, eller med fagterminologi: hvilke krav til konfidensialitet som stilles. Deretter kan vi vurdere om epost er en skikket kanal til å sende dokumentet eller om et gitt lagringsområde er skikket til å oppbevare dokumentet. Viktigheten av konfidensialitet har vært anerkjent helt siden Julius Cæsars tid da romerne oppfant en av de første kjente krypteringsteknikkene for å skjule meldingsinnhold kjent som Cæsarschiffer. Mange assosierer informasjonssikkerhet primært med hemmelighold av informasjon, men det er bare en av tre pilarer innenfor faget. Når vi først snakker om datalagring så kan man spørre seg om hvorfor skylagringstjenester er så populære? Hvorfor er vi villige til å lagre alt fra sensitive arbeidsdokumenter til familiebilder på servere i utlandet? Det handler selvsagt om tilgjengelighet av informasjonen. Dropbox, OneDrive og mange andre leverandører lar oss synkronisere informasjonen på tvers av mange enheter og gir oss tilgang på de enhetene vi ønsker. Det er så beleilig i tillegg til at de gir oss backup.
Den siste pilaren i informasjonssikkerhet er integritet og er kanskje den som er vanskeligst å forholde seg til. Når noen på andre siden av dammen roper fake news så er det dataintegritet som det settes spørsmål ved. Menneskesamfunnet er basert på tillit, og som skandinaver får vi ofte høre at vi er for godtroende. Vi antar at det vi leser på internett er sant og at skribenten har ærlige intensjoner, men hvor mye kan vi stole på informasjonen vi får servert digitalt? Kildekritikk er et viktig verktøy, men det er for mye å forlange at hver og en av oss skal ettergå kildene til hver eneste artikkel som leses. Vi må innfinne oss med at noe av det vi leser har lav integritet og utøve kritisk tenkning. Når vi vurderer integriteten i informasjonen så bør vi ta stilling til hvor korrekt, komplett og tidsriktig den er. Ekstremeksempelet er kirurgen som får servert feil informasjon om pasienten han skal operere. Da er det integritetsproblemer med livet som innsats.
Informasjonsklassifisering og verdivurderinger er kjernen
Konfidensialitet, integritet og tilgjengelighet er pilarene i informasjonssikkerhet. Når vi skal operasjonalisere disse begrepene tar vi i bruk noe vi kaller informasjonsklassifisering. Klassifiseringen går ut på at vi definerer nivåer for hver enkelt av de tre pilarene basert på risikotoleransen til organisasjonen. Den enkleste å forholde seg til i så henseende er tilgjengelighet, for her kan vi bare stille spørsmålet: «Hvor lenge klarer vi oss uten denne tjenesten/informasjonen før det blir kritisk?» Hvor lenge kan for eksempel e-postsystemet være utilgjengelig før det begynner å brenne? 2 timer? 3 dager? En måned? Nivåer for konfidensialitet er ofte beskrevet i relevant lovverk, slik som for eksempel Sikkerhetsloven og Beskyttelsesinstruksen. Alle som har vært i militæret kan relatere til nivåer av hemmelighold og autorisasjon. Integritet er den som erfaringsmessig er mest krevende å forholde seg til og som krever mest arbeid å definere. Å sette monetær verdi på informasjon er ofte svært utfordrende, men gir den fordelen at det er enkelt å kommunisere viktigheten av verdien. Hvis det skal settes monetær verdi så kan en for eksempel bruke estimat på hvor lang tid det vil ta å reprodusere informasjonen. Det er komplisert å sette kroner på informasjonsverdier og i de fleste tilfeller mener jeg det vil holde med en vurdering av konfidensialitet, integritet og tilgjengelighet. I eksemplet under så er de fire nivåene vi bruker på NTNU beskrevet, i tillegg så har vi utarbeidet en definisjon av hvert nivå.
Vil dere bli bedre på informasjonssikkerhet?
Da er det informasjonsklassifisering dere må arbeide med. Ansatte må forstå verdien av informasjonen de produserer, benytter, lagrer og sender. Sikkerhet er alles ansvar.
Først når forståelsen av informasjonsverdier er på plass kan vi begynne å forstå risiko og snakke om å tilpasse sikkerheten til bedriften. Det viktigste og mest grunnleggende arbeidet i informasjonssikkerhet er å få oversikt over systemene sine, hvilke verdier som forvaltes og hvor kritiske de er. I en eventuell revisjon, så er det her jeg ville ha begynt. Kommunene har en stor og mangfoldig tjenesteportefølje, noe som kompliserer sikkerhetsarbeidet og gjør arbeidet med systemkartlegging og vurdering av kritikalitet enda viktigere. Alex Hannold lærte seg hver eneste del av klatreruten så han kunne fokusere på de kritiske partiene. Jeg sier ikke at det dere må kjenne hver eneste lille bit og byte i nettverket, men dere må kjenne til de kritiske systemene og fokusere på disse i sikkerhetsarbeidet.
Hvem er trusselen?
Jeg var innom trusselbildet litt tidligere, først vil jeg starte med at det primært ikke er det dere hører om på nyhetene som utgjør majoriteten av trusselbildet. Det er som regel det verste av det verste eller det mest avanserte som får publisitet. Det er ikke cutting edge, zerodays og NSA som utgjør stordelen av trusselbildet. Det er riktig at det eksisterer mange avanserte og statlig støttede aktører på internett. Disse gjør alt fra infiltrasjon og spionasje, til sabotasje og påvirknigsoperasjoner. Norge opplever angrep fra disse. Flere stater har oppdaget hvor lukrativt det er med cyberoperasjoner. Hvorfor bruke tid og penger på å trene agenter til å risikere livet ved å drive spionasje på fremmed jord når det koster en brøkdel å trene noen nerder til å ta i bruk ferdige verktøy på nettet til å bryte seg inn via internett? I tillegg så er risikoen på alle områder adskillig mindre. Dette er grupper som tar på seg dress (eller hettegenser), går på jobb kl 8 om morgenen, begynner å hacke, og klokker ut kl 16 når arbeidsdagen er over.
Det er en dynamikk og et skille på de eksterne cybertruslene som er viktig å forstå. For enkelhetens skyld kan vi dele de inn i 2 grupper: 1. De som velger mål basert på verktøy og 2. De som utvikler verktøy basert på mål. Dette er et viktig skille å forstå. For dynamikken er slik at det er sistnevnte som oppdager nye sårbarheter, produserer verktøyene til å utnytte sårbarhetene og benytter de til å oppnå sine mål. Når jobben er gjort så lekkes eller selges verktøyene til mindre avanserte kriminelle grupperinger på nettet. Ofte er det slik at det er først når verktøyene er offentlig kjent at de forskjellige leverandørene blir gjort kjent med sårbarhetene som utnyttes og får mulighet til å rette opp (patche). Gruppe 2 med trusselaktører utgjør bare en ørliten brøkdel av alle trusselaktørene på nett. Majoriteten befinner seg i gruppe 1 som bruker kjente verktøy til å utnytte kjente sårbarheter. Dette er aktørene som du kjenner fra phishingeposter, tjenestenektangrep og vilkårlige distribusjon løsepengevirus. For å overdrive litt, så er det er de som skyter med hagle i mørket med håp om å treffe noe. Disse utvikler i liten grad sine egne verktøy, men anskaffer via andre kanaler og fasiliterer en verdikjede med kjøp og salg av angrepsverktøy. Noe som betyr at stordelen av angrepene som blir gjennomført i cyberspace er bruk av kjente verktøy til utnyttelse av kjente feil med kjente løsninger.
Innsidetrusselen blir også ofte diskutert og kan føre til både tilsiktede og utilsiktede handlinger. Edward Snowden er fortsatt et kontroversielt navn etter at han gjennomførte et av de mest kjente innsideangrepen til dags dato. Det finnes mange årsaker til at ansatte kan bli misfornøyde og kan ønske å ta hevn. Man kan ikke gå rundt og mistenke alle sine ansatte. Tillit er viktig, men beste praksis sikkerhetstiltak som å minimalisere tilgang til det som er nødvendig for å utføre arbeidet, logging og prinsipper for separation of duties kan redusere både sannsynligheten for angrep og konsekvensen hvis ulykken skulle være ute. Relatert til innsidetrusselen så er det på sin plass å nevne leverandører i disse outsourcings-dager. De fleste organisasjoner har mange leverandører og endringer fra disse i utide kan ha store konsekvenser. I tillegg så er det ressurskrevende å ettergå alle leverandører og kontrakter for å sjekke at de sikkerheten i orden. Dårlig sikkerhet hos leverandører kan være veien inn for andre trusselaktører.
Risikostyring til besvær
Risikostyring er den mest grunnleggende prosessen i alt sikkerhetsarbeid. For å forstå risiko så må vi ha en forståelse for verdiene vi forvalter, truslene vi står overfor og mulige sårbarheter som kan utnyttes av truslene til å ramme verdiene. Først når denne grunnleggende forståelsen er på plass gir det mening å snakke om sikkerhetsprodukter. Risikostyring kan gå skeis på mange måter og jeg skal ikke gå i dybden på hvordan ting kan gå galt. Jeg ønsker å flytte fokus over på essensen av risikostyring: kontinuerlig forbedring av sikkerheten. Det som er viktig i risikostyring er at risikoer blir identifisert, vurdert, håndtert, fulgt opp og rapportert. Fokus bør være på implementering av risikostyringsprosessen. Når prosessen er på plass og virker så kan vi arbeide med å forbedre den. Til sammenligning kan vi bruke månedsvis på å utarbeide avanserte risikoanalyser med kirurgisk presisjon i estimatet, men hvis prosessen ikke er på plass og ingen følger opp tiltakene så er arbeidet bortkastet. Det finnes nok av bortgjemte bunnsolide risikovurderinger rundt om i det ganske land. Prosessen kommer først.
Grunnsikring er viktig
Donald Rumsfeld brukte i en kjent tale som forsvarsminister begrepet ukjente ukjente i betydningen ting vi ikke vet at vi ikke vet. Cybersikkerhet er fortsatt et ungt fagfelt med mange ukjente ukjente som medfører risiko vi dessverre ikke får gjort noe med, men vi kan allikevel ta tak i de områdene som vi kjenner til. Man kommer langt i preventivt arbeid med helt grunnleggende cyberhygiene. Vi forstår intuitivt at å dra en free solo på El Capitan i Yosemite er ekstremt farlig, men vi har ikke samme intuisjonen når det kommer til cyberspace. Forstår vi for eksempel at det kan i verste fall kan koste liv å plugge medisinsk teknisk utstyr på internett? Risikoene og konsekvensene er ofte gjemt for oss i cyberspace og det krever en mental innsats å identifisere alt som kan skje. Vi må forstå at mange hendelser oppstår bare fordi angriperen har mulighet, så jobben går ut på å redusere mulighetsrommet for angriperne og begrense skadene når ulykken er ute.
eForvatningsforskriften §15 pålegger forvaltningsorganet en internkontroll på informasjonssikkerhetsområdet basert på anerkjente standarder. I begrepet grunnsikring legger kjente løsninger til kjente problemer og det er gjort mye arbeid på grunnsikring innenfor informasjonssikkerhet. Typisk er det ISO/IEC 27000-serien det refereres til når det refereres til standarder. Jeg foreslår å bruke NSM (Nasjonal Sikkerhetsmyndighet) sine Grunnprinsipper for IKT-Sikkerhet (nyeste versjon) i tillegg. NSM har lagt mye arbeid ned i dette dokumentet både ved sammenstilling av beste praksis, men også basert på erfaring de har samlet seg gjennom flere år med sikkerhetsarbeid i norske bedrifter. Grunnprinsippene er skrevet på forståelig norsk og er delt inn i 4 hovedområder som skal hjelpe med å få grunnsikringen på plass. Når det skal gjennomføres en revisjon av informasjonssikkerheten i kommunene så er Grunnprinsippene et meget godt verktøy som kan brukes til å velge revisjonsområder og utarbeide revisjonsspørsmål. Med god grunnsikring på plass så vil risikoen fra majoriteten av trusselaktører bli betydelig redusert.
For å oppsummere, så er fortsatt cybersikkerhet et eget fagfelt og håndverk som krever teknisk kompetanse, men mye av det grunnleggende sikkerhetsarbeidet krever ikke store tekniske ferdigheter. Kartlegging av systemer og verdivurdering er kjernen i sikkerhetsarbeid, for hvordan kan man forsvare noe man ikke vet hva er eller hvor befinner seg? Bortsett fra grunnsikring, så er det først når man har opparbeidet kunnskap om verdier, trusler og sårbarheter det gir mening å snakke om risiko og tilpassede tiltak. NSM sine Grunnprinsipper vil hjelpe med å avmystifisere og stille gode spørsmål, men det vil fortsatt kreve kunnskap fra revisoren å kunne tolke svarene.
[1] https://e24.no/boers-og-finans/norsk-hydro/cyberangrep-har-kostet-hydro-opptil-450-millioner/24612353
