For ti dager siden publiserte det amerikanske IT-sikkerhetsselskapet McAfee rapporten In the Crossfire (pdf) med undertittel Kritisk infrastruktur i kyberkrigens tidsalder.
Rapporten er skrevet av tre eksperter i USAs Center for Strategic and International Studies (CSIS), på oppdrag fra IT-sikkerhetsselskapet. Råmaterialet er en spørreundersøkelse besvart av 600 ledere innen IT og sikkerhet hos bedrifter og organisasjoner med ansvar for kritisk infrastruktur fordelt på sju sektorer og fjorten land: Australia, Brasil, Frankrike, India, Italia, Japan, Kina, Mexico, Russland, Saudi Arabia, Spania, Storbritannia, Tyskland og USA. Spørreundersøkelsen er supplert med kommentarer og annet materiale fra forfatternes kolleger og ekspertise utenfor CSIS. Rapporten ble delt ut til deltakerne på årsmøtet i Verdens økonomiske forum i Davos 28. januar.
Den påfølgende mediedekningen har stort sett fulgt vinklingen gitt av McAfee i deres pressemelding: Det pågår en kyberutgave av kald krig, der kritisk infrastruktur er under konstant kyberangrep, og der disse angrepene volder stor skade. Over halvparten av respondentene oppga å ha vært utsatt for storstilte angrep eller fordekte innbrudd fra «organiserte kriminelle gjenger, terrorister eller nasjonalstater». Nasjonal kritisk infrastruktur er innrettet med tanke på tilgjengelighet og pålitelighet, ikke mot sikkerhet. Det hjelper ikke med fysiske sperrer og bevæpnede vakter så lenge anleggenes digitale styresystemer er knyttet til det åpne internettet, uten tilstrekkelig sikring. Bare 20 prosent av respondentene tror deres sektor er vernet mot alvorlig kyberangrep de kommende fem årene.
Andre momenter som McAfee framhevet:
- Budsjettkutt i stramme økonomiske tider har bidratt til å øke risikoen for at kritisk infrastruktur rammes av kyberangrep.
- Det er en generell oppfatning av nasjonale regjeringer har vært delaktige i kyberangrep. Landene som nevnes hyppigst er USA (36 prosent av respondentene) og Kina (33 prosent).
- Lovverk gir per i dag utilstrekkelig vern mot potensielle angrep.
- Forsikringsselskap bærer kostnadene av skader utløst av kyberangrep mot kritisk infrastruktur.
Et avgjørende moment som ikke kommer fram i McAfees pressemelding, men som er framhevet i rapportens «executive summary», er de store forskjellene landene imellom innen kyberberedskap.
Det er en rød tråd rapporten igjennom at Kina har langt bedre kyberberedskap enn for eksempel USA og India – og europeiske land.
Bedrifter og organisasjoner med ansvar for kritisk infrastruktur er underlagt langt strengere sikkerhetsregler i India, Kina og Tyskland enn i USA som kommer nederst regelverksrangeringen.
I faktisk bruk av åpenbare sikkerhetstiltak – som kryptering og sterk brukerautentisering – skårer Kina overlegent høyest. Det skyldes ikke bare det offentlige regelverk. Kinesiske og amerikanske bedriftsledere innen kritisk infrastruktur gir de samme tilbakemeldingene på hvorvidt de betrakter sikkerhet som «vesentlig». Bevisstheten om behov for sikkerhetstiltak er altså like høyt. Men i motsetning til amerikanerne, følger de kinesiske bedriftslederne opp det de selv sier.
CSIS-ekspertene har utarbeidet en metodologi for å måle kybersikkerhet i infrastrukturbedrifter. De konkluderer med at Kina ligger på 62 prosent av det ideelle. De nest beste landene er USA, Storbritannia og Australia, som skårer 50 til 53 prosent. Alle de øvrige skårer under 50 prosent. Verstingene er Italia, Spania og India, som alle ligger på 40 prosent.
Rapporten avdekker interessante forskjeller mellom India og Kina. Begge landene skårer på topp – sammen med Tyskland – i graden av pålagt regulering innen kybersikkerhet. I Kina svarer 91 prosent at de har endret rutinene som følge av nye offentlige regler. Andelen i India er bare 66 prosent. Alle land i undersøkelsen har egne fellesorganisasjoner for offentlig og privat samarbeid innen kritisk infrastruktur. Andelen som deltar i slike fellesorganisasjoner er størst i Kina, lavest i India. De som vurderer «outsourcing» til India bør kanskje skjerpe sikkerhetsklausulene i avtaleutkastene?
Ekspertene tror at Kinas kombinasjonen av offentlig regelverk og privat oppfølging av IT-sikkerhet er i ferd med å få følger også innen andre felter enn kritisk infrastruktur: Nylig har India overtatt Kinas status som det mest vennlige miljøet for kriminelle hackere på jakt etter sårbare pc-er til zombie-nett.
En egen måling – etter en metode kjent som SMAR for «security measure adoption rate» – av implementerte sikkerhetstiltak spesielt innrettet på industrielle styringssystemer (kjent som SCADA for «Supervisory Control and Data Acquisition», eller som ICS for «Industrial Control Systems») avdekker også interessante forskjeller i Kinas favør.
CSISs SMAR-måling for SCADA/ICS i Kina er 74 prosent, suverent over nest beste Australia og Brasil på henholdsvis 57 og 54 prosent. USA og Japan skårer begge 50 prosent. Verstingene er India og Spania på 29 prosent. Tyskland og Frankrike er på 40-prosentnivået med Saudi Arabia og Russland, mens Italia og Mexico skårer henholdsvis 38 prosent og 35 prosent.
Kina var alene om å melde at alle SCADA-systemer – som styrer blant annet strøm- og vannforsyning – er underlagt løpende analyser av nettverkstrafikken. Gjennomsnittet for alle respondentene var her 62 prosent.
I sin oppsummering er CSIS-ekspertene klare på hva som må gjøres. Valget av metafor gjenspeiler hvem de sikter til i hovedsak:
«If cyberspace is the Wild West, the sheriff needs to get to Dodge City.»
Les også:
- [03.05.2010] Vestlig harme over nye kinesiske kryptoregler
- [29.03.2010] Alle krypterte webtjenester kan avlyttes
- [03.02.2010] USAs sjefsspion anklager Kina
- [15.01.2010] USA krever forklaring om Google-angrep
- [23.11.2009] Har «kybermilits» og «patriotiske hackere»
- [18.11.2009] FBI sier Al-Qaida forbereder kyberterror
- [18.11.2009] Fem land forbereder avansert kyberkrig
- [22.10.2009] Kinas kyberspioner tapper USA for milliarder
- [17.08.2009] Russisk mafia drev kyberkrig mot Georgia
- [13.07.2009] Kyberberedskap ned i Sør-Korea
- [12.05.2009] Beinharde kyber-øvelser ved USAs krigsskoler