Daglig hører vi om avanserte IT-angrep som rammer både bedrifter, offentlige institusjoner og privatpersoner. Men ofte er kildene til disse historiene aktører i en bransje som lever av kundenes frykt for å bli angrepet. Hvor troverdige er de egentlig?
En som ikke gir bransjen så veldig høye skussmål, er Ian Levy, teknisk direktør for det britiske National Cyber Security Centre (NCSC), en relativt nyopprettet IT-sikkerhetstjeneste etter konsolideringen av seks tidligere IT-sikkerhetsetater i Storbritannia. Den nye tjenesten skal gjøre Storbritannia bedre i stand til å forsvare seg mot alle former for kyberangrep.
NCSC er en del av signaletterretningstjenesten GCHQ (Government Communications Headquarters).
Levy holdt i forrige uke et foredrag under sikkerhetskonferansen Enigma 2017, hvor han gikk til angrep på det skremmebildet han mener leverandører av IT-sikkerhetsprodukter har skapt.
Les også: Utviklere mener antivirus gjør nettleseren mer usikker
Fantasifoster
Ifølge The Register sa Levy at «hele verden» forsøker å selge forsvar mot det som gjerne kalles «advanced, persistent threats», altså avanserte og vedvarende trusler. Dette gjøres ved å vise bilder av hemmelighetsfulle, unge menn med hettegenser eller finlandshette i dunkle rom med Matrix-lignende tekst i bakgrunnen. Omtrent som bildet nedenfor.
Ifølge Levy bidrar slike bilder til å skape et fantasifoster hvor ondsinnede hackere er noe utilnærmelig og uslåelig.
– Vi tillater selskaper med et massivt incitament å definere den offentlige oppfattelsen av problemet, sa Levy, ifølge The Register.
Han mener at de fleste angrep skjer mot virksomheter hvor IT-sikkerheten i utgangspunktet er svak og dermed enkelt å trenge gjennom.
NSAs elitehackere: – Slik gjør du livet surt for oss
Magisk amulett
– Dersom du kaller det en avansert, vedvarende trussel, ender du opp med en fortelling som i hovedsak sier «dere er for dumme til å forstå dette, og bare jeg virkelig hjelpe deg – kjøp min magiske amulett, og du vil greie deg godt». Det er middelaldersk heksekunst, det er ekte middelaldersk heksekunst, sa Levy.
Han skal blant annet ha trukket fram et angrep på et britisk telekomselskap hvor det ble utnyttet en SQL-injiseringssårbarhet som var eldre enn tenåringen som angivelig skal ha utført angrepet.
Les mer: Dette må du vite om SQL-injisering – og slik beskytter du deg (Digi Ekstra)
– Det er ikke avansert på noen som helst måte, sa Levy. Han mener at bransjen overdriver hackernes muligheter, slik at de selv kan selge flere produkter og tjenester.
Ilia Kolochenko, som leder IT-sikkerhetsselskapet High-Tech Bridge, støtter påstanden til Levy om at mange i bransjen selger produkter ved å overdrive mulighetene til angriperne.
– I dag er det for mange IT-sikkerhetsoppstarter som forsøker å øke salget ved å bruke FUD-taktikker [Fear, Uncertainty and Doubt, journ. anm.], sier Kolochenko til ComputerWeekly.
Noe av NCSC skal bidra med, er å fremme et mer aktivt IT-sikkerhetsforsvar i Storbritannia, samt å tilby virksomhetene «sikkerhetssystemer som virker», skriver The Register.
I en strategiplan for kybersikkerhet som NCSC har lagt fram for de neste fem årene, er det også oppgitt som et mål å styrke informatikkundervisningen i Storbritannia ved blant annet å gjøre grunnleggende IT-sikkerhet til en del av pensum for alle som studerer informatikk, teknologi eller andre digitale fagfelt.
Leste du denne? Etterretningstjeneste måtte gripe inn mot «smarte» energimålere