Hvorfor skal jeg stole på deg?

Når man eksponerer et datasystem for en kundegruppe, impliserer dette altså et tillitsforhold: Vi stoler på at vedkommende som får tilgang til systemet er ærlig, oppriktig og med gode intensjoner; vi stoler på at vedkommende ikke utnytter feil og svakheter; og vi stoler på at tilgangssystemene vi har implementert holder uvedkommende ute fra systemet. Vi stoler også på at vedkommende som har fått tilgang, ikke slipper uvedkommende til.

Når slike tillitsforhold blir brutt, blir vi naturlig nok skuffet og lei oss, for i verste fall så får det alvorlige konsekvenser for en eller flere parter.
Det man vanligvis gjør, i slike situasjoner, er å forsøke å plassere skyld for tillitsbruddet. Det er jo ikke så ulikt det som skjer når det er brudd i tilliten mellom to personer.

Et sikkerhetstema som har fått mer oppmerksomhet i det siste, men som for all del ikke er nytt, er prinsippet om null tillit (UK National Cyber Security Centre).

Prinsippet etablerer rett og slett at det er enkelte komponenter i et informasjonssystem du absolutt ikke kan stole på!

Nettverket er et fiendtlig territorium!

Dette gjelder både interne og eksterne nettverk. Hvorfor? Et nettverk kan bli kompromittert, selv om det er beskyttet – Det holder at noen får tak i nettverkspassordet ditt, eller at noen finner en svakhet i kryptografien som beskytter nettverket. Slike kompromitteringer muliggjør det man kaller en “mellommann” (Man in the Middle). En mellommann kan fange opp datapakker, endre de, slette de eller rett og slett bare lytte på dem, i håp om å finne nyttig informasjon. Dette kan pågå lenge, før man oppdager det, eller før det i det hele tatt blir utført ondsinnede handlinger på det.

Autentiserte brukere kan være bedragere!

At en bruker gir seg ut for å være noen, betyr ikke at vedkommende er det!

Tidligere har man forsøkt å forsikre seg om at den som gir seg ut for å være noen faktisk er det, ved å verifisere en delt hemmelighet – En hemmelighet som vi antar at denne ene personen er alene om å vite (utenom systemet). Dette har i lang tid gjerne vært et passord. Først når vi får en bekreftelse på at passordet stemmer overens med det passordet vi kjenner til, antar vi at vedkommende er den samme som vi delte denne hemmeligheten med i utgangspunktet.

Selv om vi har sluttet å stole på passord som eneste verifikasjon på identitet, så har vi forsøkt å bøte på svakheten ved å introdusere det man kaller “multifaktor autentisering”. I stedet for å be om én hemmelighet, så ber vi nå om flere: Vi ber om en ekstra kode fra en mobil vi antar at du, og bare du kontrollerer; vi ber om en kode fra en “kodebrikke” som vi antar at bare du besitter; eller så ber vi kanskje om et fingeravtrykk, som vi er ganske sikre på bare tilhører deg.

Alle disse mekanismene inneholder svakheter som kan utnyttes. Det er kun et spørsmål om tid, og ikke minst hvor åpenbart det blir gjort. I tillegg så kan man fastslå at ingen av disse mekanismene med absolutt sikkerhet kan bekrefte identiteten til brukeren.

Når vi nå har etablert at autentiserte brukere kan være bedragere, så har vi også anerkjent den aller hyppigste angrepsvektoren de siste årene - digital identitet, og identitetstyveri.

Etablerte sikkerhetsparadigmer trenger en makeover

Informasjonssikkerhet og cybersikkerhet handler om å tilpasse seg et stadig skiftende trusselbilde. Vi tilpasser oss for å redusere sannsynligheten for eller konsekvensene av at et digitalt informasjonssystem blir utnyttet eller skadet av ondsinnede aktører.

I de siste årene, har vi kanskje i større grad vært opptatt av å redusere sannsynligheten for at noe galt skjer. Har vi hatt for stor tillit til egne forebyggende ferdigheter?

Når vi nå har anerkjent at identitetstyveri er en slik hyppig angrepsvektor, bør vi samtidig erkjenne at å gjøre noe med sannsynlighetskomponenten i risikoligningen kanskje er for sent. Da er det konsekvenskomponenten som må adresseres.

Et konsekvensreduserende tiltak ved identitetstyveri kan for eksempel være at man innskrenker rettighetene til den identifiserte parten - altså hva man kan gjøre i lys av å være den man hevder man er.

Dette står ofte i direkte konflikt med funksjonalitet og beleilighet, og er en veldig delikat vurdering som krever aktiv deltakelse, ikke bare av sikkerhetseksperter, men alle de som bidrar til å utvikle digitale løsninger.

I Kantega har vi nå økt fokus på kontinuerlig sikkerhet. Våre utviklere, designere, UXere og IT-rådgivere vil kunne bidra med vurderinger av trusselbildet innenfor sitt fagområde, fortløpende. Vi gjør dette for å kunne berike kunder med ferdigheter som ikke bare adresserer kjente svakheter, og reduserer risikoen for at noe forferdelig inntreffer, men også for å kunne gjøre vurderinger på når og hvordan man må jobbe med konsekvensreduserende tiltak. Vi gjør det også fordi vi ser at kunden har behov for kontinuerlig vurdering og endring av slike tiltak, og at mer tradisjonelle sikkerhetstiltak som f.eks. penetrasjonstesting kun bidrar med å adressere svakheter i et statisk system.

Vi trenger Null Tillit

Prinsippet om null tillit er et tema vi i Kantega nå har søkelys på, og det mener vi flere burde ha!

At vi har null tillit betyr gjerne at vi ikke skal gjøre systemkritiske valg basert på informasjon vi ikke kan bekrefte. Det virker kanskje som en enkel ting å forholde seg til, men det viser seg at det er flere grunner til at vi bryter med dette prinsippet.

En av grunnene kan være at tillit bl.a. skaper fysiologisk stimuli. Tillit skaper rett og slett velvære. Å bryte med prinsipper som skaper velvære krever at man utfordrer seg selv - at man pusher grenser.

En annen grunn kan være at vi har begrenset arbeidskapasitet, og må på et gitt tidspunkt ta til takke med sub-optimale løsninger. Følgene blir gjerne at vi direkte eller indirekte plasserer ansvar hos andre. På fagspråket kalles dette å overføre risiko.

Når vi må legge ønsker om effektive sikkerhetsfunksjoner på hylla, som følge av mangel på arbeidskapasitet, så kan det være greit å vektlegge kartlegging av konsekvensene av å gjøre kompromiss på sikkerhet og personvern, framfor å vurdere sannsynligheten for at noe galt skjer - for det vil jeg påstå er en garanti.

Å ha søkelys på prinsippet om null tillit, mener jeg vil bidra til å flytte fokus fra sannsynlighetskomponenten til konsekvenskomponenten i risikovurderingen, og forhåpentligvis også bidra til å adressere flere systemsvakheter, der sikkerhet- og personvernsansvaret tidligere har blitt overført til andre.

Har du ikke tidligere satt søkelyset på prinsippet om null tillit, så er det kanskje på tide å gjøre det nå?!