– Nå tenker vi annerledes

Dette gjorde RSA etter svært kostbart datainnbrudd.

Datainnbruddet i mars 2011 fikk RSA til å utvikle en mer hensiktsmessig sikkerhetsmodell, forklarer RSA-sjef Art Coviello. Nye verktøy i samsvar med denne modellen er nettopp lansert.
Datainnbruddet i mars 2011 fikk RSA til å utvikle en mer hensiktsmessig sikkerhetsmodell, forklarer RSA-sjef Art Coviello. Nye verktøy i samsvar med denne modellen er nettopp lansert. Bilde: RSA Conference

Våren 2011 opplevde en av verdens fremste leverandører av løsninger for IT-sikkerhet, RSA Security, vedvarende datainnbrudd som gjorde det nødvendig å bytte SecurID-kodebrikker for 63 millioner dollar hos selskapets kunder.

Angriperne greide altså å kompromittere RSAs sikkerhetsteknologi. Det var ikke deres endelige mål. De brukte sin besittelse av noen av RSAs hemmeligheter til å angripe selskapets kunder.

I juni samme år ble det bekreftet at kampflyleverandøren Lockheed Martin hadde opplevd et alvorlig datainnbrudd. Angriperne benyttet seg av hemmelig informasjon om RSAs tofaktor autentisering SecurID, slik at de ble godkjent som legitime brukere av Lockheed Martins vernede IT-systemer.

Lockheed Martin, leverandør av kampflyet F-35 som blant annet Norge har vedtatt å kjøpe, bekreftet at de ble tappet for informasjon. De bedyrer at følsom informasjon, for eksempel om F-35, ikke har havnet hos uvedkommende som følge av angrepet.

I en analyse av angrepene mot RSA og Lockheed Martin, konkluderte SANS Institute, en privat institusjon som tilbyr opplæring og sertifisering innen IT-sikkerhet, og som er kjent for overvåkningsprogrammet Internet Storm Center, at opphavet til hendelsene må «avgjort ha vært sponset av statlig etterretning».

Analyseselskapet Gartner vurderte kompromitteringen av SecurID som «alvorlig men ikke fatal», og anbefalte RSAs kunder å vurdere å supplere RSA-løsninger med produkter fra andre leverandører.

I forrige uke, to år etter angrepet, samlet RSA over 21 000 deltakere på sin årlige kundesamling i San Francisco. Selskapet har med andre ord greid å opprettholde kundenes tillit.

I et intervju med Wall Street Journal forklarer RSAs arbeidende styreformann («executive chairman») Art Coviello, at sikkerhetsleverandøren har endret sin egen tenking rundt IT-sikkerhet. Han anbefaler andre å lære av det de har gjort.

Det viktigste, ifølge Coviello, er at modellen med å tette sikkerhetshull etter hvert som de oppdages, nå er utilstrekkelig.

– Den har ført til mange atskilte kontroller som i praksis ikke gir noen form for dybdeforsvar. Grensen som kontrollene er ment å forsvare, har dessuten gått mer eller mindre i oppløsning, på grunn av økt bruk av web og mobile enheter, sier Coviello i intervjuet.

Han mener «tett hullene»-modellen må erstattes av en annen «intelligensdrevet modell».

– Den bygger på risiko og nye forutsigende verktøy med løpende analyser. Den forutsetter også en «big data»-applikasjon for å avdekke et angrep i det det skjer, slik at du kan reagere bedre.

Coviello anbefaler bedrifter å investere mer i å avdekke og reagere på angrep. RSA har brukt erfaringene fra angrepet de selv opplevde i mars 2011 til å utvikle nye og kraftigere metode for å oppdage skjulte trafikkmønstre, «de svake lydene som faktisk utgjør et angrep». Verktøy for å implementere disse metodene er lansert nylig.

– Angrepene mot oss var svært vanskelige å spore. Vi fikk aldri bekreftet nøyaktig hvem som sto bak. Faktisk var det to grupper som angrep oss samtidig. Den ene var noenlunde lett å se. Den andre gikk langt stillere i dørene.

RSA lærte også mer om hvorfor de selv er utsatt for angrep.

– Vi trodde angriperne først og fremst ville være opptatt av å kopiere våre immaterielle verdier. I praksis var de på jakt etter informasjon som kunne gjøre dem i stand til å angripe kundene våre.

Til slutt forklarer Coviello hvorfor RSA ikke opplevde svekket tillit fra kundene som følge av datainnbruddene. Han mener det har med at selskapet reagerte åpent: Politi og kunder ble informert. RSA fikk dårlig PR, men tok nødvendige grep.

– Hvis du opplever et angrep som potensielt kan skade andre, bør du antakelig fortelle om det… Det kan være gunstig å innrømme et angrep som andre kan lære av, og jeg vil absolutt anbefale at man deler informasjon med lovens håndhevere.

I intervjuet peker Coviello også på at angrep i økende grad dreier seg om å få tak i informasjon. Denne informasjonen stjeles ikke, den kopieres. Angrepene er desto mer ødeleggende jo lenger tid det tar før man oppdager at følsom informasjon er kopiert.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.