mobile redskaber presser sikkerheden
Det er de psykologiske, adfærdsmæssige, politiske og sociale kræfter, der rykker trusselsbilledet for IT-afdelingen. Det var hovedbudskabet fra sikkerheds-guruen Bruce Schneier, da han besøgte København i september 2011.
Bruce Schneier arbejder til dagligt som IT-sikkerhedschef i den britiske tele- og IT-gigant BT Group. Derudover har han udgivet adskillige bøger om IT-sikkerhed og 150.000 abonnere på hans nyhedsbrev Crypto-Gram.
Hvordan sikrer jeg mit netværk? Er data godt beskyttet?
”Det kommer helt an på, om der er en spion, der er hyret til at skade dig. Hvis det er tilfældet, er det overflødigt at spørge sig selv, om du er godt beskyttet. Du er nødt til at finde ud af, hvor stærk modstanderen er,” siger Bruce Schneier.
Fejlagtige fordomme
Der findes ikke enkle svar på noget som helst i hans univers. Han svarer heller ikke spørgsmål, hvor trusler sammenlignes eller holdes op mod hinanden. For ham spiller psykologien hos brugerne en stadig større rolle. Han har opstillet en række ”biases”, der er fejlagtige fordomme.
”Vi har en tendens til at overdrive de spektakulære og sjældne risici, og vi har en tendens til at underdrive de daglige risici eller dem, som gælder for alle. Vi er mere bange for at flyve end at køre i bil. Vi oplever det som om, vi har mere kontrol bag rattet. Men risikoen for at blive slået ihjel på landevejen er mange gange større,” siger Bruce Schneier.
Sikkerhed er psykologi
Velkommen til virkeligheden. Den virkelighed som Bruce Schneier lever i. Trusselsbilledet flytter sig hele tiden. Den bevægelse vil aldrig forsvinde. Selv om vi bygger IT-systemer, der af designere og kodespecialister opfattes som værende 100 % sikre, så vil IT-afdelingerne hele tiden blive udfordret af folk ude fra og inde fra.
”At designe sikkerhedsløsninger er i sagens natur psykologi. Men mange systemer tager ikke højde for det. Og de fejlagtige fordomme hos mennesker betyder, at de fejlbedømmer risikoen ved at anvende systemer.
En nøgle i hjørnet af en web browser får fx folk til at føle sig mere sikre, end de rent faktisk er. Samtidig betyder de fejlagtige fordomme, at folk føler sig langt mindre sikre, når de er i en flyvemaskine, end de reelt er. Disse forudfattede meninger udnyttes af forskellige typer af angribere til at kompromittere datasikkerheden i organisationer,” siger Bruce Schneier.
Erkendelse og fordomme påvirker den måde, vi forstår sikkerheden på. Uanset hvilket niveau af sikkerhed det handler om. Om det er sikkerhed for en nation, et informationssystem, eller de personlige oplysninger på en pc eller mobil enhed.
Phishing
Mange virkelige angreb på informationssystemer udnytter psykologi hos brugerne snarere end ved at finde svagheder i teknologien. Phishing angreb, der narrer folk til at logge sig på websteder, der ser ud som om de er ægte, men som har til hensigt at stjæle vore passwords.
Senest har vi set ”the man in the middle”, hvor otte Nordea-kunder gik i fælden ved log-in med NemID. Den eneste forskel var, at det var en .com adresse i stedet for en .dk. Og dermed gav brugeren hackeren informationer, og sikkerheden i NemID blev kompromitteret. Ikke ved hjælp af smarte teknikker, men fordi brugerne stolede på, hvad de så på skærmen. Ikke bare én, men hele otte gange lykkedes det kriminelle bagmænd at få udleveret de nødvendige koder.
Accepterer ikke IT-afdelingen
Der er to tendenser i globaliseringen, som for alvor udfordrer IT-afdelingerne. Den ene er, at alt det vigtige befinder sig online, og at brugerne derfor også er på nettet det meste af tiden. Langt flere transaktioner, pengeoverførsler, bestillinger af varer, udveksling af informationer, download af musik og spil bliver gennemført online.
Den anden tendens er med Bruce Schneiers ord: ”Consumerization”. Forbrugerisme. Den nye generation af ansatte i virksomheder accepterer ikke, eller nøjes ikke med at bruge den teknologi, de får stillet til rådighed af IT-afdelingen.
”Hvis du udleverer en almindelig mobiltelefon, køber de selv en smartphone og bruger den på jobbet. Hvis de ikke er tilfredse med udvalget af applikationer, tilføjer de selv nogle. De ønsker ikke, at arbejdsgiveren alene bestemmer, hvilket IT-udstyr, de skal bruge. Det sætter IT-afdelingen under pres.
Som administrator betyder det, at du afgiver noget af kontrollen. Det betyder også, at IT-afdelingens rolle kan blive en serviceudbyder for de ansatte, der stiller infrastruktur og datasikkerhed til rådighed, og skal få de mange forskellige applikationer til at arbejde,” siger Bruce Schneier, der bestemt ikke er tilfreds med udviklingen.
”Nye netværk, ny software, ny hardware, nye protokoller, mere mobilitet blandt de ansatte og stadig flere online transaktioner, det øger kompleksiteten og rykker trusselsbilledet. Og hvis du så bruger Dropbox, Gmail eller cloud, så ved du ikke en gang, i hvilket land dine data befinder sig. Så datasikkerheden og trusselsbilledet flytter sig hele tiden. Det er ikke en absolut størrelse, men er relativt. Det afhænger af, hvem du er oppe imod,” siger Bruce Schneier.
Hvis du udleverer en almindelig mobiltelefon, køber de selv en smartphone og bruger den på jobbet. Hvis de ikke er tilfredse med udvalget af applikationer, tilføjer de selv nogle. De ønsker ikke, at arbejdsgiveren alene bestemmer, hvilket IT-udstyr, de skal bruge. Det sætter IT-afdelingen under pres.
Bruce Schneier