Er IT for komplisert?

Brannmurer, VPN, logg systemer, AD, autentisering, personell: alle disse håndteres enten internt eller er outsourcet til kompetente leverandører som sørger for at IT-systemene vedlikeholdes. Det sørges for at mailen kommer fram, at organisasjonens sensitive informasjon holdes innelåst. Dette koster penger. Altså må det gi organisasjonen en verdi.

Slik har mange myndigheter, bedrifter og andre foretak resonnert. Og hører man på leverandørenes reklamer, så er løsninger for å beskytte informasjon på plass, og løsningene beskytter sensitiv data døgnet rundt.

Når det avsløres at statlige organer, sykehus, transportmyndigheter og andre organisasjoner viser seg å ha leverandører eller løsninger som er katastrofalt dårlige på håndtering av konfidensialitet og integritet, så begynner de fryktløse å stille kritiske spørsmål ved sine egne systemer og leverandører.

De som ikke våger å være kritisk går videre med lukkede øyne, holder for ørene og velger blindt å stole på IT-systemene de allerede har. Å kjøpe tjenester og løsninger som ser ut til å løse problemer med informasjonssikkerhet er én ting – det holder kanskje for å oppfylle visse regelverk, og man er i det minste ikke dårligere enn de fleste andre. Men om det handler om å beskytte tilbud, intellectual property eller person-opplysninger; om å virkelig sikre organisasjonens hemmeligheter, må man angripe problemet på en helt annen måte.

Sannheten er dessverre både brutal og skremmende. Når Microsoft i september nok en gang oppdaterte minst én zero-day-bug (blant 82 andre sikkerhetsbugs), innser man at selv Microsofts løsninger er usikre. Selv om Microsoft gjør jobben, og lykkes på mange måter kommer det fortsatt et stort antall sikkerhetsoppdateringer ut, noe som ofte innebærer at systemet fram til da har vært sårbare for angrep.

Outsourcing i ulike former har også vist å straffe seg, da det er veldig komplekst å outsource mens man samtidig oppfyller konfidensialitets- og sikkerhetskrav. «Nobody ever got fired for buying IBM» stemmer ikke lenger. Dette fikk den svenske innenriksministeren Anders Ygeman, intrastrukturminister Anna Johansson, samt Generaldirektør for Transportstyrelsen i Sverige Maria Ågren erfare, da det viste seg at IBM benyttet ressurser og personell som befant seg utenfor Sveriges grenser og kontroll. Etter dette har alle nordiske ministre og myndighetssjefer som går god for at myndighetene håndterer IT-systemer helt riktig fått en rask vei til avskjed dersom de ikke kan bevise at organisasjonen har gjort alt korrekt.

Med tanke på alle sikkerhetsbugs i kryptoteknikk, autentiseringsløsninger og nå til og med vår elskede WPA2-protokoll (det du benytter når du surfer på WIFI) er det bare den mest naive som stoler helt på sine IT-systemer.

Vi mennesker har en tendens til å forenkle, men sikkerhet er ikke enkelt i IT-verdenen.

De som har forstått dette og er best på å ta grep er oftest militære organisasjoner, sikkerhetspoliti og lignende. Og det er denne tilnærmingen allmennheten og hver enkelt IT-ansvarlige må ta til seg. De eneste systemene som er helt sikre er de som ikke er tilkoblet internett. Men hvordan får man da bedriften eller det statlige organet til å faktisk fungere?

All informasjonssikkerhet begynner med spørsmålet «hvilken informasjon er sensitiv, og hvilke trusler må vi beskytte den mot?» Når man har klassifisert bedriftens informasjon kan man gå videre og konstruere løsninger som støtter bedriften så langt som mulig, samtidig som man beskytter sensitiv informasjon.

Det er her forenklinger risikerer å snike seg inn. Når en myndighet outsourcer en løsning til en stor IT-leverandør, og det viser seg at sensitiv informasjon kan havne på en server i et land der man ikke kan garantere integritet og konfidensialitet, så har man rett og slett ikke evnet å stille riktige krav.

Så hva er løsningen?

1. Utforske og forstå det mest komplekse, og dermed orke å sette seg inn i virksomhetens informasjonsmiljø.
2. Konstruere IT-sikkerhet for «ikke-rasjonelle» brukere, det vil si … for mennesker.