Trykkokeren min har fått meg til å tenke på hvordan man kommuniserer risiko.
En trykkoker et stilig kjøkkenapparat som minker koketiden ved å øke kokepunktet: Utmerket til å lage pulled pork hjemme på et par timer i stedet for en hel dag. Når man skal vaske opp og tar ut beholderen man tilbereder maten i, slik at varmeelementet er direkte eksponert, blir man møtt med følgende advarsel:
“ADVARSEL: FOR Å REDUSERE RISIKOEN FOR ELEKTRISK SJOKK, KOK BARE I DEN AVTAGBARE BEHOLDEREN”
Som jo teknisk sett er helt korrekt. Det som kommuniseres her, er at ingen i sin rette forstand ville tilberedt mat direkte på et varmeelement. De fleste av oss har heldigvis grunnleggende kunnskap om matlaging.
Like heldige er ikke vi som skal kommunisere risiko knyttet til personvern og informasjonssikkerhet. Det kreves mer for at ledere skal forstå risiko på samme måte som oss med dypere teknisk innsikt.
Mats mener alle utviklere bør kunne kryptografi: - Det er vanskelig, og mye kan gå galt
Uskyldig glipp, store konsekvenser
Om vi eksempelvis kommuniserer at man kan “redusere risikoen for at passord kommer på avveie, ved å lagre passord kryptert”, så har vi unnlatt å si noe vesentlig. Det eneste fornuftige er å kryptere passord, og det å ikke gjøre det er ikke er holdbart.
Etter at Østre Toten ble rammet av et dataangrep i 2021, og hele kommunen ble satt ut av spill, oppsummerer kommunedirektøren problemet:
“Da vi fikk en rapport før julen 2020, som var en gjennomgang av sikkerheten, skjønte ikke organisasjonen vår og de som tok beslutninger hvor alvorlig det var. Vi skjønte ikke at vi måtte gjøre noe nå, ikke utsette arbeidet til det var bevilget penger til neste år.”
I etterkant er det undersøkt hva som var tilstanden til sikkerheten i kommunen forut for dataangrepet, og det har vist seg at angrepet ble utført med en gammel administratorbruker som ikke lengre var i bruk. En isolert sett ganske uskyldig glipp, som sammen med andre tilsvarende sårbarheter kan få store konsekvenser.
Østre Toten om ransomware-angrepet: - Vi prioriterte ikke sikkerhet høyt nok
Sikkerhet er møysommelig arbeid
Problemet med at gamle brukere blir liggende illustrerer at sikkerhetsarbeid ofte er møysommelig arbeid. Å gå gjennom et system eller flere systemer for å finne ut hvilke brukere som fremdeles benyttes, og hvilke som eventuelt kan fjernes, kan bli tidkrevende om man ikke har oversikt. Særlig om systemene er driftskritiske, sikkerhet handler også om tilgjengelighet. Det er sjeldent så enkelt at man bare kan fjerne det man tror er gamle brukere og håpe på at det ikke får konsekvenser.
Hvis slike gamle brukere i det hele tatt blir lagt merke til av noen, skal det rapporteres som et avvik? Sikkerhetskulturen i en virksomhet avgjør hvor terskelen for å si ifra ligger, og nettopp det at det gjerne er snakk om gamle avvik som krever oppmerksomhet, hever terskelen.
Man blir sjeldent populær av å peke på gammelt slurv, og omstendelige prosesser for å rapportere små avvik hjelper heller ikke. Særlig når det er snakk om ting som virker ganske harmløse.
Nå kan alle skrive angreps-kode, med AI som ChatGPT. Det har sine fordeler
Ikke vent på styringssystemet
Sikkerhet er et lederansvar, så til deg som er leder, snu litt på det: ikke vent på at avvik og sårbarheter skal rapporteres i henhold til styringssystemet, let etter dem. Utvid definisjonen av “system” til å inkludere alt fra databaser til servere knyttet til en applikasjon, og still noen spørsmål som en enkel uformell internkontroll:
Har brukerene mer tilgang enn nødvendig? Har systemet gamle brukere som ikke benyttes lengre?
Er passord og nøkler lagret i klartekst i databaser, konfigurasonsfiler, script eller i kodebaser i versjonskontroll?
Har brannmurene gamle regler, som ikke lengre er i bruk?
Kommuniserer systemer og applikasjoner kryptert? Tar de vare på sin egen sikkerhet, eller baserer sikkerheten seg på at nettverket er sikkert?
Vurder risikoen deretter, basert på hvor mye sensitiv informasjon systemene behandler.
For å fortsette på matmetaforen: det kan hende maten som serveres smaker godt, men vet ledelsen egentlig hvordan det ser ut på kjøkkenet? Det er mange fordeler med å ha et ryddig kjøkken.
Hvis risiko ikke kommuniseres skikkelig, ender man fort opp med tiltak av typen gummihansker og gummistøvler (som reduserer risikoen for elektrisk sjokk!) uten å ta tak i de underliggende problemene. Det er slik man ender opp med dårlige sikkerhetsløsninger, som for eksempel å kreve at brukerene bytter passord jevnlig, heller enn å faktisk kryptere passordene.
Eller enda verre: at man ikke tar tak i problemene før det er for sent.
