– Dette er de fem største problemene med IT-sikkerhet

Spørsmålet kommer opp veldig ofte, skriver Eugene Kaspersky.

Jeg satt nylig og lurte på hvor mange intervjuer jeg gjør med pressen hver måned. Tallet varierer riktig nok fra måned til måned, men i de mer aktive periodene kan tallet gå helt opp til 70! Og det er kun de muntlige intervjuene, det vil si direkte samtale eller over telefonen. Hvis jeg tar med e-post blir tallet bare latterlig.

Men jeg klager ikke. Jeg gjør faktisk det stikk motsatte – jeg elsker intervjuer! Dette minner meg forøvrig om Richard Branson og hans enkle regel: «Hvis CNN ringer og vil ha et intervju, slipper jeg alt for å gjøre det». Jeg følger også denne regelen – til punkt og prikke – og det er ikke uten god grunn.

De fleste intervjuer er det du forventer. Jeg blir stilt en masse spørsmål, jeg svarer så godt jeg kan, og det er det.

Men i enkelte, veldig sjeldne, tilfeller blir jeg intervjuet av en virkelig kunnskapsrik journalist, nøyaktig til et utrolig punkt, som ikke bare kjenner meg og Kaspersky Labs og hva vi gjør, men også alt om det smale og spesifikke emnet intervjuet handler om. Mot slutten av den tildelte timen er jeg utslitt, hjernen har sprukket og jeg føler hele sjelen min har blitt tappet sammen med lange svar på sofistikerte spørsmål.

Dette er de vanskeligste og mest prøvende type intervjuer, men også de mest brukbare. Hvorfor? Fordi i løpet av en så intens sesjon har den grå materien inni skallen giret opp et hakk eller tre og virkelig satt fart på arbeidet. Den pønsker ut nye måter å møte et kjent tema fra nye vinkler – til et så høyt nivå at selv etter intervjuet holder momentet ideene strømmende, noe som leder til en hel rekke nye innsikter. Det er virkelig fascinerende hvordan den kreative tankegangen kommer frem. Og alt ble sparket i gang av en superskarp journalist som gjør jobben sin mesterlig. Respekt fortjenes, og et takk!

Det som føyer slike spesielle intervjuer sammen med de vanlige, er et uunngåelig spørsmål om de største IT-sikkerhets-problemene i dag. For eksempel: «Hva holder deg våken om natten, i forhold til IT-sikkerhets-farer?». Det er ikke bare journalister under intervjuer som spør om dette hele tiden. Spørsmålet spretter frem på hver eneste IT-konferanse jeg taler ved.

Derfor: Jeg presenterer nå min liste over de fem viktigste problemene, over et bredt spekter, som IT-sikkerheten møter.

Jeg bør si med en gang at jeg ikke har medisiner for å løse alle problemene. Målet er å identifisere dem, slik at du kan starte å tenke på det og forhåpentligvis dra deg inn i den pågående diskusjonen ved å melde din interesse, empati og/eller sympati!

Her er lista:

1. Personvern (mangelen på den)

Med dette mener jeg personvernet til en persons liv og alt som hører til det på Internett.

Dagens trusler mot en persons ukrenkelige privatliv er ingenting sammenlignet med hva de var, det er praktisk talt umulig å vedlikeholde det. Men samtidig, og takk for det, flere og flere begynner å skjønne hvor massiv mengden med personlig informasjon som blir lagret om en på Internett, er. Dette kan komme fra aviser de leser, eller «fiksjonelle» TV-serier, som 24 og Spooks, der et berg av personlig data er øyeblikkelig tilgjengelig med et par museklikk.

Formidlingen av personlig data starter med at man frivillig overfører personlige detaljer til forskjellige Internett-tjenester, og fortsetter ved loggføringen av hvert fly du tar, og hvert kortkjøp du gjør, opp til loggføringen av dine fysiske bevegelser rundt i store byer, telefonsamtalene du tar, e-postene du sender og mottar, samt mye mer.

En annen vinkling på personversproblemet dukket opp for ikke så alt for lenge siden, da tusenvis av lekkede tekstmeldinger fra den russiske teleoperatøren Megafon ble synlig via søkemotoren Yandex. Se for deg det! Alle dine personlige data er dømt til å komme frem igjen i fremtiden.

Så du ser hele bildet: Mengden av informasjon som akkumuleres på nettet om oss er ekstremt, og er ikke alltid sikret. Men foruten den potensielt store faren til hver og en av oss individuelt, er faren like stor for nasjonal sikkerhet.

Det burde derfor ikke være noen stor overraskelse at lovgivere rundt om i verden blir mer og mer involvert i reguleringen av innsamlingen og lagringen av brukerinformasjon. Ikke at de trenger å finne opp hjulet på nytt. Alt de trenger å gjøre er å overføre tiltakene som finnes i vårt "offline"-liv. Internett-tjenester burde for eksempel ikke ha retten til å kreve privat informasjon hvis lignende tjenester finnes "offline", der du ikke trenger å utlevere denne informasjonen.

Helt til slutt, til de av dere som fortsatt tror det er en sjans for å ha noe som er i nærheten av å ligne et ukrenkelig privatliv i dag, anbefaler jeg at ser denne serien med videoer.

2. Mangelen på Internett-pass (den eneste tingen som kan redde demokratiet)

Jeg tok opp dette allerede på min gjennomgang og prognose i desember 2011, oppsummert her. Så, her kommer detaljene.

Det er banalt å si at den unge generasjonen skiller seg fra den eldre. Men det er virkelig sant! De lever og tenker forskjellig, og de yngre kan ikke se for seg hvordan verden var uten dagens teknologi, som man tar for gitt. Mobiler, Internett, trådløst nettverk, Skype, blogger, sosiale nettverk, spillkonsoller også videre. De bor praktisk talt i det digitale domenet, og de vil bo der for alltid.

Det som er viktig er at de aldri vil stemme i valg hvis de faktisk må reise seg opp og gå ett sted for å gjøre det. De vil kun stemme om de kan gjøre det på nettet. Og for at avstemming på Internett skal fungere, trenger man et system for Internett-pass. Men det har vi ikke akkurat nå – som du sikkert vet. Kan du se hvordan dette vil påvirke grunnrammen til demokratiet?

Effektene av at den yngre generasjonen ikke vil gå ut for å stemme, som blir forhindret av at det ikke finnes Internett-pass, strekker seg langt lenger enn det man først kan se for seg. Teknologien vil i økende grad lage et polarisert generasjonsskille. Store horder – de yngste og mest aktive – vil ende opp totalt avskåret fra politikken, de vil ikke være klar over valgene politikerne angivelig tar på deres vegne. Politisk makt vil kun reflektere interessen til den eldre generasjonen. Det vil si, de såkalte digitale immigrantene, ikke de digitalt innfødte. Samtidig vil den politiske aktivismen til den yngre generasjonen øke fordi de føler seg mer isolert. Og det kan føre til en revolusjon som tar ned regimer.

Å utvikle og introdusere sikre digitale identifiseringer – Internett-pass – ser jeg derfor på som en av de viktigste oppgavene som den industrialiserte veden står overfor i dag. Heldigvis er det ganske greit å utføre teknisk sett. Politisk sett er en helt annen historie...

Det ville vært logisk å innføre biometriske Internett-pass for de tjenestene som i «offline»-verdenen krever fysisk identifisering av brukeren: Bank-tjenester, registrering for en flytur og lignende. Og som jeg allerede har nevnt, hvis det i «offline»-verdenen ikke er et behov for identifisering, burde det ikke være krav om det på Internett. Derfor, for netthandel eller samtaler med venner, burde du ikke trenge et Internett-pass.

Også har vi grenselandet mellom de to, som holder deg anonym: Tjenester som for eksempel ikke krever ditt fulle navn, men alder – for kjøp av for eksempel alkohol eller tobakk, tilgang til voksenmateriale og lignende. Igjen, den gode nyheten er at en anonym identifisering i grenseland er enkelt, teknisk sett.

3. Sosiale nettverk (som et instrument for å manipulere folkets mening)

I et samfunn, i et land, er det alltid forskjellige synspunkter og motsetinger, selv om de er sovende. Er det mulig å bruke sosiale nettverk til å vekke de sovende konfliktene og endre de til aktive? Selvfølgelig – det er lett! Spesielt om du tar med i betraktningen at en større del av brukerne i sosiale nettverk er unge – med tilhørende åpne og aktive posisjoner.

I dag mottar vi informasjon fra en rekke forskjellige kilder. Vi har tradisjonell TV, radio, aviser og andre papirpublikasjoner, men nå har vi også sosiale nettverk. Hvor nøyaktig er informasjonen som blir publisert på sistnevnte? For tradisjonell massemedia er det de viser regulert av en form for lovgivning. Hvis en journalist publiserer noe som ikke er sant eller ikke fornuftig, vil utgiveren før eller senere måtte svare for det, kanskje til og med i retten. Og de har alltid et rykte å tenke på, det er vitalt for å holde på leser- og brukermassen. Å ta en risiko med ryktet er rett og slett ikke verd det for media. Som en regel er de derfor veldig ansvarlige med hva de viser og publiserer – veldig ansvarlige

Men med sosiale media er situasjonen en helt annen. Det er ikke alltid klart hvem som skjuler seg bak et kallenavn, så ansvarligheten for informasjonen er så lav at hvem som helst kan skrive hva som helst – sant eller ei.

Ser man på dem på denne måten, kan sosiale nettverk effektivt brukes som en plattform for anonym manipulering. De kan brukes til å iverksette og spre falske rykter, provosere og feilinformere befolkningen. Så klart, sosiale nettverk kan også brukes til positive ting, men poenget her er at de lett kan misbrukes, i motsetting til tradisjonell media. Det finnes ingen vakthunder som passer på de sosiale nettverkene.

Teoretisk, og definitivt i praksis, kan sosiale nettverk bli brukt til å destabilisere samfunn, om det så er en dårlig eller god ting. Man trenger ikke å se langt for å finne eksempler på dette: Vi hadde den arabiske våren, den amerikanske sommeren, den britiske høsten og den russiske vinteren. Som propagandameldingene som ble sluppet fra fly i gårsdagens kriger, er sosiale nettverk den moderne versjonen, og blir brukt til å utføre lignende propagandakampanjer i dag – og ikke alle av dem har positive hensikter.

Den kinesiske løsningen – å registrere brukere av sosiale nettverk basert på et ID-dokument – er å dra det for langt. Men det er langt fra lett å finne den rette balansen, å sørge for ytringsfrihet og anonymitet samtidig som man fjerner muligheten for manipulering. Og det er et problem jeg ikke har noen løsning på – har du?

4. Nettkriminalitet (som vi hører så mye om)

Nettkriminalitet er globalt, som du sikkert har skjønt nå.

Jeg tror tapet til verdensøkonomien takket være de onde hensiktene til nettkriminelle kan måles i milliarder av dollar hvert år, kanskje hundrevis av milliarder. Heldigvis har myndighetene i forskjellige land i det minste startet en konstruktiv dialog rundt dette problemet. Internasjonale prosjekter og regionalt nettpoliti har blitt etablert: FNs IMPACT-enhet har vært operativ siden 2008, og Interpol har annonsert at de åpner en spesiell avdeling for å spore nettkriminelle, i Singapore i 2014.

Selv om problemet med nettkriminalitet ikke blir løst i løpet av de neste årene, som er mest sannsynlig, vil nettkriminelle i det minste ha en langt vanskeligere jobb med å utføre sine handlinger. I motseting til, og jeg liker ikke å si det, folka bak kyberkrigingen.

5. Kyberkrig

En formelt etablert og bredt akseptert definisjon av nettangrep utført av militæret og/eller terrorister har ikke blitt introdusert enda. I mellomtiden, min egen definisjon er følgende:

«Kyberkrig er angrep på systemer som er særs viktige for nasjonens og/eller den globale økonomien, og for nasjonens og/eller den globale sikkerheten, som har som hensikt å svekke den militære slagkraften og påføre betydelig nasjonal skade samt deres evne til å handle hensiktsmessig, og slik de selv ønsker, med betydelige konsekvenser for menneskene, potensielt med skader og død til følge.»

Hvis du tror en slik trussel høres ut som noe fra fremtiden, er jeg redd jeg har noen skikkelige dårlige nyheter til deg: Alt dette er reelt, i dag.

Ett av de første nettangrepene, som fant sted i 2007, var av en mer eller mindre harmløs karater, hvis et slikt ord er passende. Du husker kanskje historien der hele Baltikum ble kuttet fra Internett etter et DDoS-angrep mot en rekke Estlandske nettsider. Men det var ingenting, sammenlignet med det som kom senere.

I 2010 lærte vi om et annet kyberkrig-angrep, og denne gangen var det virkelig alvorlig.

En utrolig komplisert dataorm kalt Stuxnet klarte å penetrere nettverket til et iransk atomanlegg, sabotere datasystemet og fysisk skade sentrifugene som ble brukt til å anrike uran. Spesielt interessant var det at datasystemene ikke var koblet til Internett.

Etter Stuxnet kom nyhetene om kyberkrig tykt og raskt. Den nyeste oppdagelsen er Flame-ormen, som demonstrerte hvor het denne kampen har blitt globalt. Og jeg har ikke en minste tvil om at det er stater som står bak det hele.

Så hva er det som er så farlig med kybervåpen?

Det farligste aspektet med dem er de uforutsigbare bivirkningene. I verste fall kan et våpen rettet mot en spesifikk industriell installasjon bomme helt, enten på grunn av en feil i algoritmen eller en banal feil i koden, fordi koden er så stor og kompleks. Som et resultat av et slikt angrep, for eksempel mot et spesifikt kraftverk, er det ikke kun målet som blir rammet: Alle andre kraftverk i verden bygget med samme design vil også bli det. Det er en farlig boomerang-effekt.

Det er i praksis umulig å beskytte seg mot slike angrep i dag. For å gjøre det må man redesigne all programvare som eksisterer, og bytte til sikre operativsystemer. Det er klart at dette er omtrent umulig. Selv om det skulle vært mulig, kan du se for deg budsjettene som blir involvert? Ingen stat vil tillate å gjøre så kolossale investeringer i IT-sikkerhet.

Så, hva skal vi gjøre?

Dette problemet må løses på samme måte som problemene med kjemiske-, biologiske- og atomvåpen ble løst tidligere. Det som trengs er en internasjonal avtale om samarbeid, ingen spredning og ingen bruk av kybervåpen. Og slike prosjekter må bli organisert og koordinert av en uavhengig internasjonal organisasjon, som en «kyber-IAEA», ideelt sett under ledelse av noe i retning FN.

Jeg tror at stater før eller siden vil skjønne faren ved bruk av kybervåpen i en kyberkrig, og til syvende og sist stoppe bruken av det. Om ikke utviklingen stanses, må i det minste bruken og spredningen av kybervåpen stanses.

Denne saken har også blitt publisert på Eugene Kasperskys blogg. Oversettelse til norsk av Hardware.no.

Norges beste mobilabonnement

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen