SIKKERHET

For oss som spiller i forsvar, blir alt et angrep

Er alt et angrep, eller er det bare en normal, men uønsket hendelse sett i et større perspektiv?

Illustrasjon.
Illustrasjon.
Fagdirektør Roar Thon, Nasjonal Sikkerhetsmyndighet
14. mai 2017 - 07:00
Fagdirektør Roar Thon i NSM. <i>Foto: Håvar Haug</i>
Fagdirektør Roar Thon i NSM. Foto: Håvar Haug

I mine yngre dager var jeg, etter min innhabile oppfatning, en habil fotballkeeper. Som målvakt (som det også kalles) var jeg lagets siste skanse som skulle forhindre at motstanderen laget mål.

I løpet av en vanlig fotballkamp ble jeg og laget utsatt for mange angrep. Det var ikke ønskelig, men det var en del av kampen. Jo færre angrep, jo færre sjanser for at de scoret mål. Jo færre mål de scoret, jo større sjanse var det for at vi vant kampen.

Jeg var kanskje mest fokusert når det andre laget hadde ballen. Enhver ballbesittelse hos det andre laget var uønsket, en risiko og et potensielt angrep. Men det var ikke alltid at det ble til et angrep. Foran meg hadde jeg lagkamerater som løp, taklet og forsvarte. De reduserte risikoen, de hindret angrepet, de stanset målsjansen.

Så hvorfor skriver jeg så om fotball på sikkerhetsbloggen?

Fordi det etter min mening er en god illustrasjon på noe som hele sikkerhetsbransjen bør tenke litt over. Selv de som ikke liker fotball. For i sikkerhetsbransjen blir fort alt til et angrep. Men hva om det bare er en hendelse – i det som er en del av kampen? Eller sesongen.

Jo flere angrep, jo mer må vi forsvare oss? Eller? 

De siste årene har informasjonssikkerhet og cybersikkerhet fått en økende oppmerksomhet i samfunnet og i media. Flere konsulentselskaper har vind i seilene og leter etter flere ansatte med kompetanse til å hjelpe norske virksomheter til å bli sikrere. Det er viktig med større fokus på dette området. Men…

I offentlig og privat sektor er det er mange som skal «selge sikkerhet». I salgsiveren er det kanskje lett - og til tider bevisst ønskelig - å maksimere trussel- og risikobildet. (Ja, jeg sitter i glasshuset her) Faren er at det skrikes og advares så høyt og kraftig at det på sikt kan virke mot sin hensikt. Mye av det som skjer som skal tas på det største alvor. Men i mangelen på kunnskap/åpenhet om blant annet enkelthendelser, blir volum det som ofte preger nyhets- og situasjonsbildet. Alt fra den ene hendelsen som får ekstremt mye oppmerksomhet hvor «alle» benytter muligheten til å krisemaksimere. Eller det er det ekstreme antallet med dataangrep som rammet en norsk sektor, eller virksomhet som trekkes ytterligere opp.

Hva er et dataangrep? 

Min gode kollega Hans Christian Pretorius uttalte følgende i et intervju til Digi.no nylig – «Min påstand er at Norge aldri har blitt angrepet. Hvis det å angripe betyr å ødelegge, ta ut en tjeneste eller virkelig skade noen via cyber, så har vi altså ingen eksempler på det»

Det er ikke vanskelig å være enige i dette og mer. Vi er en bransje som strør om seg med angrep her og angrep der. Kanskje vi skulle bli enige om hva som er hva? Utgjør en mottatt e-post med skadevare et dataangrep? Eller hva med 9 e-poster?

Jeg eier på ingen måte sannheten her, men jeg nesten sikker på at 500 millioner e-poster med mulig skadevare ikke utgjør 500 millioner dataangrep. Vi bør skjerpe oss. Hva blir neste års statistikker? 1 milliard angrep? Hva betyr slike tall egentlig? Er det en økning i aktivitet fra trusselaktører? Er vi blitt flinkere til å detektere? Er alt statlig spionasje? Er det datakriminalitet, eller bare latterlige inkompetente forsøk på å trenge inn i våre systemer?

Vi bør passe oss

Vi som har skreket i mange år om at sikkerhet må prioriteres bør virkelig passe oss. Det er mye som tyder på at vi er i ferd med å få den oppmerksomheten vi har skreket etter. Da kommer vil til å møte vi helt andre krav til presisjon, kommunikasjon og anbefalinger. Jeg tror ikke konsernledelser eller styrer har særlig nytte av å vite at «vi» detekterte 10% flere eller færre «dataangrep» De vil være interessert i den ene saken hvor vi ikke lykkes. De vil vite investeringsbehovet for å understøtte virksomhetens primære oppgaver med relevante sikkerhetstiltak i fremtiden. Bare for å nevne noe.

Jeg har deltatt på mange seminarer og konferanser det siste året og har etter hvert sluttet å reagere på «alle» som nå bruker GDPR til å selge sine sikkerhetstjenester og løsninger. Den nye personvernforordningen kan være en drivkraft til å få bedre informasjonssikkerhet i norske virksomheter og det er positivt. Men det som ikke er positivt er at situasjonen ofte beskrives som om Bjørn Erik Thon i Datatilsynet allerede nå er klar med bøteblokken for å ilegge ALLE norske bedrifter astronomiske summer, dersom din bedrift ikke har kjøpt akkurat denne tjenesten eller produkt.  

Kombiner dette med «astronomiske antall» dataangrep og faren for at akkurat din bedrift kan gå konkurs dersom du ikke tar sikkerheten på alvor, så er vi veldig dyktige til å kommunisere at nå er det rett før alt går nedenom og hjem. For alt er et truende angrep mot oss.

Vi vinner ofte fotballkampen

Sannheten er, (min subjektive oppfatning) at stort sett, går det overraskende bra. Vi vinner ofte fotballkampene vi spiller, men ikke bare ved å fokusere på forsvaret. Vi som er forsvarsspillere må ikke miste hodet bare fordi motstanderen noen ganger har ballen. Vi må fortsatt stanse motstanderen ved å plassere oss riktig, forutse taktikken de bruker, takle dem og spille ballen videre i laget, slik at vi øker sjansen til å vinne kampen. Vi må lære underveis og tilpasse oss. Det kommer flere kamper utover i sesongen. Det kommer flere sesonger.

Mellom kampene må vi trene. For å forbedre oss må vi gjerne komme med forslag til trenerteamet om hvordan vi bedre bør forsvare oss, men vi må ikke glemme at kampen ikke bare handler om å spille i forsvar og at alt ikke er et angrep.

For det går til slutt utover publikum.

Dette innlegget er også publisert på Sikkerhetsbloggen hos NSM.

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.