Tanker om tiden

Ledere uinteressert i sikkerhet

2010-06-28T10:44:00.000-07:00

Nylig ble det gjennomført en undersøkelse som konkluderer med at ledere av samfunnskritiske virksomheter ikke tar sikkerhet på alvor: http://norsis.no/nyheter/2010-06-24_Ledere_darlig_pa_sikkerhet.html

En av årsakene er etter min mening at vi som arbeider med sikkerhet ikke kommuniserer sikkerhet godt nok på et språk som forretningen forstår. Hvis vi ikke kan forklare godt nok hvordan sikkerhet påvirker nøkkeltall eller hvorfor det har strategisk betydning, er det ikke så merkelig hvis ledere ikke prioriterer sikkerhet høyest på sin agenda.

Jeg tror sikkerhetspersonell vil dra nytte av økt samhandling med Risk Management-miljøene i virksomhetene. Denne type samhandling vil kunne bidra til å forretningsorientere sikkerhetsmiljøene i virksomhetene, noe som videre kan bidra til at sikkerhet settes høyere på agendaen hos virksomhetenes ledere.

This is my first Google Docs document.

2010-04-02T12:37:00.001-07:00

This is my first Google Docs document, and I'll share it on my blog.

I wonder if everybody really wants to store all data in the cloud in the future.

How do we build trust in the companies that store our documents?

Do we need to know how our data is protected, where it is stored and how it is secured?

Do we need to know how logs are protected in the cloud, and why don't we discuss these issues now?

Hey - where did my document go?

Hvem er cyxymu?

2009-08-15T02:34:00.000-07:00

6.august ble Twitter utsatt for DDoS-angrep, noe som medførte at tjenesten var utilgjengelig for alle brukere i en periode. Flere nettsteder og nettaviser formidlet raskt en historie der angrepet ble knyttet til konflikten mellom Geogia og Russland, der den ukjente personen cyxymu (http://twitter.com/cyxymu) var det egentlige målet for angrepet. På CNet News siteres Facebooks sikkerhetssjef: "It was a simultaneous attack across a number of properties targeting him to keep his voice from being heard", Kelly said.

Da cyxymu ble angrepet var antall personer som fulgte ham på Twitter relativt lavt. Er sosiale medier så viktig noen vil ta ned en hel tjeneste for å hindre at du med noen hundre "followers" når ut med ditt budskap? Jeg var nylig inne på cyxymu sin twitter-konto og så at antall personer som følger ham nå har steget til over 2000, men siden han skriver mest på georgisk, så aner jeg imidlertid ikke hva han egentlig twitrer om. Og hvem er han egentlig?

Akkurat nå er jeg fremdeles interessert i mer informasjon om denne saken. Hva skriver cyxymu om, hvilken rolle har han, og er det logisk at russerne eventuelt har slike interesser i akkurat ham at de vil ta ned en hel tjeneste, og tross alt bare i et kort tidsrom, for at man ikke skal få fulgt med på oppdateringer? Det synes ikke logisk utfra det vi er blitt presentert av fakta. Per i dag har imidlertid cyxymu fått oppmerksomhet på konflikten Georgia - Russland, og han når ut med budskapet sitt til betydelig flere enn før angrepet.

Overvåkning

2009-06-14T01:20:00.000-07:00

For å kunne oppdage ulike hendelser på et datanett er det vanlig å ha ulikt type teknisk utstyr installert. Slikt utstyr varsler ulike typer hendelser i nettet som kan indikere datainnbrudd eller andre uønskede hendelser. Dette kalles innbruddsdeteksjon. Det er også vanlig å filtrere web-trafikk og å sperre tiltak til sider man mener gir større risiko for spredning av ondsinnet kode eller som bryter med selskapets etiske retningslinjer, for eksempel pornosider eller sider som oppfordrer til kriminell virksomhet.

Slike tiltak benyttes for å forhindre datainnbrudd, oppdage datainnbrudd, få oversikt over hendelser som kan utvikle seg til alvorlige virushendelser og oppdage uautorisert bruk av nettverket.

Ut fra det vi leser i mediene så langt kan man gjette seg til at noen i et av departementene har benyttet en ulovlig tjeneste og at det tekniske utstyret har gitt alarm på bruken. I Aftenposten i dag indikerer man bruk av BitTorrent, i andre medier er det indikert at man har fått varsel ved surfing på pornosider. Det har imidlertid vært vanskelig å få en entydig forståelse av hva som egentlig har skjedd i saken.

BitTorrent er ikke tillatt brukt i mange virksomheter. Årsakene kan være flere, men få virksomheter har ansatte med tjenestlig behov for bruk av BitTorrent. Surfing på pornosider bryter med de fleste virksomheters etiske retningslinjer og har tradisjonelt medført større risiko for smitte av ondsinnet kode.

Flere politikere har satt opp en motsetning mellom "personvern og sikkerhet" i denne saken. Imidlertid vil et slikt skille ikke være entydig. Typen tiltak det er snakk om vil kunne benyttes for ulike typer formål - også for å styrke personvern, for eksempel ved å sørge for at ondsinnet kode som avlytter passord blir oppdaget og at personlig informasjon blir beskyttet.

Overvåkningssaken kan så langt - utfra det som er kommet frem i mediene - tyde på at det er for lang avstand mellom tekniske tiltak og våre politikere.

Kommunisme på nettet?

2009-05-08T13:21:00.000-07:00

Pirate Bay-saken har vekket en god del debatt. I debatten sauser vi sammen prinsippdiskusjoner med diskusjoner om praktiske løsninger. Jeg synes vi er tjent med å skille to problemstillinger klart fra hverandre:
1. Skal man kunne eie det man selv har laget og ha mulighet til å tjene penger på det? og 2. Finnes det i dag hensiktsmessige modeller for salg og distribusjon av åndsverk på nett?

Jeg er, i likhet med mange andre, helt enig i at det finnes betydelig forbedringsmulighet når det gjelder hensiktsmessige modeller for distribusjon og salg av åndsverk på nett. Men det er ikke god nok grunn til å ta loven i egne hender og dele ut andres åndsverk fritt og hemningsløst. Selv om materiale er digitalt, så følger det ikke automatisk at vi kan oppføre oss som at alle eier det sammen. Jeg mener at man skal kunne eie det man selv har laget og ha mulighet til å tjene penger på det uavhengig av om produktet er digitalt eller fysisk.

Det er tungvint å opptre i henhold til loven når det gjelder opphavsrett og digitalt innhold på nett. Men gir det meg moralsk rett til å distribuere andres innhold fritt og uhemmet uten å spørre om lov? For meg er det helt klare paralleller til hvordan jeg ville tenkt i den fysiske verden. Selv om jeg synes bilforhandlere holder til langt unna der jeg bor og det er upraktisk og tungvint å kjøpe bil fordi ingen forhandlere etablerer seg i mitt nærområde, så gir det meg ikke rett til uten videre å låne naboens bil uten å spørre om lov.

Rettsaken mot Pirate Bay var viktig. Det er viktig å få avklart rettslige forhold som faktisk følger fra dagens lovgivning. Om de praktiske løsningene vi per i dag finner er gode nok er et annet spørsmål enn om vi synes det er prinsipielt riktig at alle eier alt sammen bare det er digitalt.

Fakta på bordet.

2009-03-29T11:21:00.000-07:00

Statistisk Sentralbyrå fører grundig statistikk på en rekke viktige områder. Selv har jeg bidratt til forbrukerundersøkelsen http://www.ssb.no/fbu/ og har samlet kvitteringer fra alt jeg har foretatt meg deler av desember to år på rad. Jeg bidrar gjerne til at vi får fakta på bordet.

I dag skriver mange aviser at det er avdekket et omfattende spionsystem som involverer datamaskiner i 103 land, http://tinyurl.com/dnh4mf, og setter dermed ondsinnet programvare på dagsorden.

Jeg har lenge ment at vi har for få nøytrale, offentlige fakta på område IT-sikkerhet. Jeg ønsker meg en årlig norsk, offentlig statistikk som blant annet viser hvor mange norske datamaskiner som er infisert av ulik type ondsinnet programvare. Ser for meg en ny statistikk under området "Teknologiske indikatorer, inkl. IKT". Ideelt kunne deler av resultatene for eksempel produseres ved å innhente og undersøke PC-en til et representativt utvalg personer og bedrifter - der personvernet til de som avgir sin PC til undersøkelse selvsagt ivaretas. Vi trenger mer kunnskap - tall og fakta på bordet vil være et viktig skritt i riktig retning.

Jeg må selvfølgelig også ha en mening om hijab-debatten :)

2009-03-01T02:53:00.000-08:00

Jeg har selvfølgelig også fulgt med på hijab-debatten og synes den er interessant på mange måter. Hijab er knyttet til islam. Men i bibelen finner vi også tilsvarende tanker. I Paulus brev til korinterne står det for eksempel: "En mann som ber eller taler profetisk med noe på hodet, fører skam over sitt hode. Men en kvinne fører skam over sitt hode når hun ber eller taler profetisk uten å ha noe på hodet. Det er jo de samme som om hun var snauklipt. Hvis hun ikke vil ha noe på hodet, kan hun like godt klippe av seg håret! Men når det er en skam for en kvinne å barbere av seg håret. Da må hun ha noe på hodet." Så følger det et resonnement for å begrunne alt det om å vise håret eller ikke.

Jeg forandret holdning til kvinner med hijab da jeg fikk det første barnet mitt og ble venn med en hijab-mamma fra Zanzibar. Hun snakket 3 språk flytende, arabisk, engelsk og swahili og arbeidet som lærer. Hun kunne ikke bli med på babysvømming, fordi det var menn i svømmehallen, men hun var morsom å diskutere med, og barna hennes var morsomme å leke med. Hijaben var en naturlig del av henne - akkurat som det var en del av henne at hun fastet og at hun deltok i den islamske menigheten. Men - selvfølgelig - akkurat som med nordmenn som er sterkt engasjert i en menighet, er det vanskelig å ta fullt ut del i en praktiserende muslims liv når man ikke selv er praktiserende muslim.

I Frankrike er det stor vekt på det verdslige ved staten. Religiøsitet har ikke en plass innenfor statlige institusjoner. For mange mennesker er religion en viktig del av dem selv. Det er ikke alltid mulig å praktisere et helt strengt skille mellom hvem du er som sekulær person - og som du kan praktisere offentlig - og hvem du er som religiøs person - og som du kan praktisere privat. Jeg tror ikke det alltid er riktig at man skal legge bort en viktig del av egen identitet for å delta innenfor rammene av en nasjons fellesinstitusjoner.

Den norske hijab-debatten er et eksempel på en at det private - religiøse og det verdslige - offentlige, ikke er lett å skille i et enkeltmenneske. Når jeg mener at innvandrerkvinner som bærer hijab bør få bli politi, så blir jeg møtt med motforestillingen - ja du mener vel at de som har burka også bør få bli politi da? Men jeg synes det er viktig å tillate seg å ha en praktisk tilnærming til dette. Man behøver ikke bli dogmatisk. Det er vanskelig å forholde seg til noen du knapt ser øynene til. Det er for meg helt reelt og en god nok begrunnelse til å avvise burka.

MEN - Vi må, så langt det er praktisk mulig, legge til rette for at alle enkeltpersoner kan realisere sine ønsker og drømmer. Jeg kan ikke forstå at hijab i seg selv er til hinder for å gjøre en god jobb som politi. Det er klart at vi må få jentene inn i varmen - og gjøre det mulig for dem å forfølge drømmen sin.

Mine personopplysninger - din forretningsidé..

2009-01-31T13:48:00.001-08:00

Vi er i større og større grad villig til å oppgi personopplysninger i bytte mot tjenester og tilbud. Dersom vi for eksempel får gratis e-postkonto, lar vi gjerne leverandøren av tjenesten lagre personopplysninger og lage en profil på oss slik at vi kan få målrettet reklame som passer til oss.

Mange ser det som et gode at vi kan få reklame som er målrettet akkurat våre interesser. Egne personopplysninger er i realiteten en verdi som vi kan bytte bort mot goder i stedet for å bruke penger. 3. part får våre opplysningene og benytter dem for egen inntjening og profitt.

Fikk du en god idé til hvordan du kan tjene penger på ditt neste prosjekt? Mine personopplysninger - din forretningsidé..

Sikkerhetsfunksjonalitet kun for profesjonelle?

2009-01-11T13:26:00.001-08:00

Når du taster adressen til et nettsted i nettleser forventer du helt sikkert at du lander på akkurat det nettstedet du skrev inn adressen til. Men er du sikker på at det er akkurat den siden du får opp? Eller har du landet på en svindlerside som egentlig bare er ute etter å få deg til å oppgi passord og koder eller annen informasjon?

Det finnes i dag løsninger som tilbyr deg sikkerhet for at du kommer til riktig sted. Det kalles EV-SSL. Løsningen er basert på utstedelse av sertifikater. Godkjente sertifikatutstedere, for eksempel Verisign, utsteder sertifikater som bekrefter at sider under et bestemt domene tilhører en organisasjon som er reell og som har rettigheter til det aktuelle domenet.

Når bruker forsøker å nå et nettsted, blir det automatisk sjekket om nettstedet som blir presentert til bruker tilhører organisasjonen som har rettmessig krav på det aktuelle domenet og ikke fra en svindler.

Når du går inn for eksempel i nettbanken er den gjerne sikret med slik funksjonalitet som er synlig gjennom et grønt adressefelt eller en hengelås på siden. Når du klikker på det grønne feltet eller på hengelåsen, kan du få nærmere informasjon om at siden er sertifisert OK.

Men - er sikkerhetsfunksjonaliteten brukervennlig nok, har du god nok kjennskap til denne funksjonaliteten og klarer du å forholde deg til det, eller er dette foreløpig funksjonalitet kun for oss sikkerhetsfolk?

Hjelp - hva var koden!

2008-12-31T06:19:00.001-08:00

I Aftenposten i går er det et oppslag om nasjonalt helsekort. I følge artikkelen skal tilgang til pasientjournalen vår styres fra kortet. Jeg synes egentlig tanken er god. Du skal selv ha kontroll på hvem som har tilgang til dine data og hvorfor.

Men helsekortet ikke er løsningen på det egentlige problemet. Nemlig behovet for å dele informasjon i helsevesenet mer effektivt mellom ulike aktører samtidig som man ivaretar personvernet på en forsvarlig måte.

God virksomhetsforståelse er en forutsetning for å lykkes med informasjonsutveksling og bruk av IT i helsesektoren. Hvilken informasjon har helsepersonell reelt sett bruk for når man skal utføre oppgaven mest mulig effektivt, og hvordan kan IT benyttes til å løse behovene best mulig?

Kanskje er et helsekort, borgerkortet og offentlig eID som allerede er lovet fra offentlig sektor, BankID eller andre eksisterende ID-løsninger en del av løsningen? Disse løsningene vil uansett bare være en liten del av svaret på å ta i bruk IT mer effektivt i helsesektoren.

Försvarets radioanstalt - har det noe med oss å gjøre?

2008-12-25T15:07:00.000-08:00

Fra 1.1. 2009 trer FRA-loven i kraft i Sverige. Den innebærer at tele-og internettrafikk som på en eller annen måte benytter fysiske linjer i Sverige kan undersøkes med tanke på om kommunikasjonen har noe med for eksempel terrorisme, internasjonal kriminalitet, trusler mot teknisk infrastruktur og spredning av masseødeleggelsesvåpen å gjøre.

Teleleverandører som bruker linjer i Sverige blir pålagt å føre trafikken til såkalte "samverknadspunkt" der FRA på gitte vilkår, får tilgang til trafikken. Det er Post og teletilsynet i Sverige som kan gi forskrifter om slike punkter. Flere telefonsamtaler og annen kommunikasjon som foregår internt i Norge benytter linjer og utstyr i Sverige og blir dermed omfattet av den svenske loven.

FRA-loven synliggjør hvor grenseløs Internettverden er: Norske myndigheter bestemmer ikke uten videre hvilke regler som skal gjelde for kommunikasjon mellom to personer som begge er norske statsborgere og befinner seg i Norge. FRA-loven tydeliggjør også konflikten mellom etterretning og personvern og synliggjør overvåkning for offentligheten.

Jeg tror det fremstår som komplisert for den enkelte å forholde seg til overvåkning av elektronisk kommunikasjon. Ulempen er at vi ikke får tilstrekkelig bred debatt om hvilken balanse vi skal ha mellom personvern og etterretning.

(kilder: Datatilsynet og Post-og teletilsynet)

Fødselsnummer og identitet

2008-11-08T12:20:00.000-08:00

Nylig ble rapporten "Utredning om fødselsnummer, fingeravtrykk og annen bruk av biometri i forbindelse med lov om behandling av personopplysninger §12" publisert. Her diskuteres flere interessante problemstillinger knyttet til identitet og verifikasjon av identitet. Ulike perspektiver ved en persons identitet, som biologisk identitet, registert identitet og sosial identitet blir blant annet diskutert.

Midt i denne rapporten tenkte jeg på boken Kite Runner som jeg leste i sommer og en historie om faren, Baba, som ble fortalt i boken. Krav til å legitimere seg i USA ble en kulturkollisjon for ham som i Afganistan alltid ble gjenkjent og stolt på i kraft av sin person. Det kan nok være kulturbestemt hvilke krav vi har til verifikasjon av en persons identitet, samtidig som man i mindre samfunn der alle kjenner alle vil ha mindre behov for slik verifikasjon enn i større samfunn eller ved myndighetsutøvelse.

I Norge har det i ulike sammenhenger blitt diskutert hvor vidt fødselsnummer er tilstrekkelig for å bekrefte en persons identitet. I noen teknologiske løsninger har man faktisk benyttet fødselsnummeret slik, selv om man i de fleste løsninger benytter fødselsnummer i kombinasjon med andre identifikatorer. I nettbanken benytter man for eksempel fødselsnummer sammen personlig passord og engangskode.

Rapporten sier følgende "Fødselsnummer (fødselsdato + personnummer)er med andre ord i utgangspunktet ikke underlagt taushetsplikt og kan derfor ofte utleveres", jfr. rapportens kapittel 2.5.2. Det er derfor kanskje selvfølgelig at noe av konklusjonen er at fødselsnummer ikke vil være tilstrekkelig for å verifisere din eller min identitet. Forslaget om forbud mot bare å benytte fødselsnummer for å autentisere personers identitet må derfor sies å være fornuftig.

Gratis på Internett...

2008-10-04T12:29:00.000-07:00

Tjenester tilgjengelig på Internett ofte er gratis å ta i bruk. De kan levere spennende funksjonalitet som ikke er tilgjengelig internt i bedriften. I noen tilfeller kan de levere muligheter man uansett ikke ville kunnet realisere på bedriftsinterne tjenester.

Men de tradisjonelle IT-tjenestene som bedriften har kontroll over, kommer gjerne med oppetidskrav enten til eget IT-miljø eller til leverandør. Mot leverandør har man gjerne kommersielle kontrakter som gjør at bedriften kompenseres dersom ikke oppetidskravene blir møtt. Virksomhetskontinuitet blir dermed mulig å styre.

Tilsvarende tilbyr de tradisjonelle IT-tjenestene mulighet til å stille konkrete sikkerhetskrav slik at man har større eller mindre grad av forutsigbarhet med hensyn til sikkerheten i tjenesten og om den møter beste praksis-krav og gir akseptabel risiko.

En tjeneste som tilbys på Internett har ikke tilsvarende styringsmuligheter. Tjenestene sier sjelden eller aldri noe om hvilke sikkerhetsmekanismer som er iverksatt ut over det man kan se utfra funksjonaliteten i tjenesten.

Tjenestene tilbys ikke med oppetidsgarantier noe som i praksis gjør tjenestene lite egnet for virksomhetskritiske funksjoner.

Kreativiteten på Internett er interessant og spennende. Men per i dag er risiko i tjenester realisert på Internett (web 2.0) vanskeligere å kontrollere enn de som produseres i virksomheten enten i egen regi eller hos leverandør.

Risikostyring

2008-09-06T12:25:00.000-07:00

IT er et realistfag. Det er kanskje derfor vi i mange sammenhenger fremstiller risiko i matematiske termer, for eksempel Annual Loss Expectancy, eller at vi ganger sammen sannsynlighet og konsekvens utfra hvor mange ganger i året vi forventer en hendelse skal inntreffe, hvor mange kroner vi vil tape på hendelsen, eventuelt hva den vil forårsake av problemstillinger ut over direkte økonomisk tap, og så videre.

Det er faktisk nyttig å gjøre denne type øvelse. Men kan vi si noe sikkert om risiko i IT-systemer utfra denne type enkle modeller? I de fleste tilfeller har vi for få hendelser til å kunne si noe sikkert om hvor ofte hendelsen inntreffer. Det er ikke som husbrann, for å si det slik. Vi har i noen tilfeller kjennskap til at en lignende hendelse har inntruffet tidligere, og vi har et inntrykk av hvor lett det vil kunne hende igjen. I andre tilfeller er hendelsen hentet fra ulike teknologimiljøer der man har funnet frem til sårbarheter som ikke ennå er utnyttet. Enkle matematiske sammenhenger er dermed ikke enkelt å finne.

Jeg tror vi tjener på å få mer refleksjon og kanskje mer teoretisk kunnskap knyttet til risikomodellene vi benytter for styring og kontroll med IT-sikkerhet. Jeg håper Basel II og modeller for operasjonell risikostyring kan være noe å følge med på videre.

IT-sikkerhetsmennesker og web 2.0

2008-09-05T12:20:00.000-07:00

Mange som arbeider med IT-sikkerhet er tilbakeholdne til å prøve Web 2.0-tjenester. Dette kan skyldes at vi ser trusler og utfordringer med disse tjenestene og at skepsisen overvinner den naturlige nysgjerrigheten vi ellers ville hatt med å prøve dem.

Jeg tror det er viktig at vi som arbeider med IT-sikkerhet prøver og får et reelt brukerforhold til Web 2.0-tjenestene. Først da kan vi ha god realistisk forståelse av trusler og risiko og gjøre gode avveininger i forhold til nytte og innovasjonsmuligheter.