Det er kanskje logisk å konkludere med at risikoen for cyberhendelser øker proporsjonalt med at ansatte jobber hjemmefra. Men å skylde på manglende oppdatering av hjemmeruterne blir for enkelt og på grensen til ansvarsfraskrivelse. God sikkerhetskultur og årvåkenhet tar du med deg hvor enn du er, så hvorfor snakker vi ikke heller om det?
Som Lars Eirik Berg er inne på i intervjuet med Digi 5. august, så er det en kjent problemstilling at alt vi kobler på nett ikke er oppdatert, og at oppdatering av de nevnte ruterne nødvendigvis ikke ville være nok til å unngå angrepet mot departementene. Og å forvente og forlange at den «vanlige personen i gata», som ikke har IT-kompetanse eller interesse, skal sikre og oppdatere hjemmeruteren utover hva som er gitt fra produsenten eller nettverksleverandøren, kan vel anses som urimelig. Det finnes til og med erfarne IT-folk som ikke tar seg bryet med å sikre eller oppdatere ruteren, selv om en oppdatering er tilgjengelig. Derfor må andre preventive tiltak etableres for å bedre sikkerheten når ansatte jobber hjemmefra.
Trusler mot utsidesikring av nettverk
Det er flere faktorer enn usikre hjemmerutere som truer funksjonaliteten av tradisjonell utsidesikring av nettverk, blant annet social engineering/sosial manipulering, manglende kunnskap om sikkerhet og svake krav til autentisering og autorisering. Det hjelper lite å ha en ugjennomtrengelig mur dersom motstanderen allerede har kommet seg på innsiden (ref. den trojanske hest).
Forsvar i dybden
For at sikkerheten skal være mest mulig gjennomgående og solid, bør den bygges fra innsiden og ut, og i dybden, og den bør være basert på et prinsipp om null tillit. Et slikt dybdeforsvar er en tilnærming som best kan sammenlignes med en løk fordi, som Shrek sa, «It has layers!».
Løkens kjerne er det du skal beskytte, og lagene er mekanismene rundt som angriperne må bryte og trenge gjennom for å nå kjernen. Tradisjonell utsidesikring av nettverk kan være ett av lagene, mens for eksempel kryptografi og autorisering kan være eksempler på andre lag. Formålet med dybdeforsvar er å sørge for at angriperne må trenge gjennom flere mekanismer, både fysiske og tekniske, samt administrative tiltak, for å komme til målet, og med det gjøre veien for angriperne vanskeligere.
Skal man stole på alt og alle?
Det ligger i menneskets natur å være kritisk, og man lærer fra tidlig alder hva tillit er og at man, i de fleste tilfeller, må gjøre seg fortjent til tillit. Så hvorfor skal en virksomhet stole på alle brukere, systemer og enheter uten å være kritiske? Zero trust er en mye omdiskutert strategi i sikkerhetsbransjen, som baserer seg på «Never trust, always verify». Strategien har både tilhengere og motstandere. Motstanden kan trolig skyldes at det er en kostbar og ressurskrevende strategi å innføre, og at de færreste bedrifter har den nødvendige kompetansen for å innføre og vedlikeholde strategien. I senere tid derimot, har flere og flere forstått viktigheten av å stille strengere krav til autentisering, kreve to-faktorautentisering og å følge minste-privilegiet-prinsippet som begrenser autorisering til systemer og områder til det brukeren trenger for å gjøre jobben sin.
Etabler en god sikkerhetskultur
Mange refererer til brukerne som det svakeste ledd, men det trenger egentlig ikke å være sånn. Ja, mennesker gjør feil, men det gjør maskiner også. Mennesker er lett-trente, og i boken «The Psychopath Inside» diskuterer forfatter James Fallon nettopp dette med mennesker og læring – at vi mennesker lærer av å se noen andre gjøre noe og å repetere det selv. For eksempel hvordan du lærte noe så hverdagslig som å brette klær. Du kunne ikke det helt plutselig da du våknet en morgen. Du har trolig lært det ved å se andre brette klær, for så å prøve det selv. Det samme prinsippet gjelder for sikkerhet. Ved å kontinuerlig trene brukernes ferdigheter og kunnskap innen sikkerhet, vil det svakeste leddet bli sterkere og bidra til å gjøre det vanskeligere for angriperne å trenge gjennom.
God sikkerhetskultur starter i ledelsen og spres ut i virksomheten. Det samme gjelder dårlig sikkerhetskultur. Man kan ikke forvente at ansatte i en virksomhet ser poenget med sikkerhet dersom ledelsen ikke gjør det.
Starter på bunnen
Sikkerheten bør være bunnsolid og et solid fundament som er tilpasningsdyktig. Full dybdeforsvarstilnærming og nulltillitsstrategi er, for de fleste virksomheter, nok ikke oppnåelig. Men en delvis innføring av disse og en aktiv og god sikkerhetskultur, hvor ansatte regelmessig trenes i sikkerhet, bør være oppnåelig og noe virksomheter bør innføre som et minimum for sikkerhet.
Sjansen for å utsettes for et sikkerhetsangrep kommer aldri til å være lik null, uansett hvor solide sikkerhetsmekanismer man har. Men man kan gjøre det vanskeligere for angriperne å trenge gjennom og redusere konsekvensen av et eventuelt angrep.
Så la oss derfor anta at deres ansatte fortsetter å jobbe hjemmefra, på usikre hjemmerutere. Med nevnte sikkerhetstiltak på plass, og en sunn sikkerhetskultur i bunnen, bør i hvert fall risikoen for dataangrep via hjemmenettverket reduseres. Så trenger du kanskje ikke sove like dårlig vel vitende om at inngangsdøren alltid står åpen …
