Per Hellqvist om IT-säkerhet och sånt

Jag har precis kommit tillbaka från en tripp till ett av våra kontor i england. Syftet med resan var att träffa kollegor och gå igenom en presentation jag tagit fram för att höja nivån på säkerhetskunnandet både internt och externt. Det är mycket spännande och känns ansvarsfullt. Det har dock gett mig dålig nattsömn i flera veckor (prestationsångesten visade sitt fula nylle).

Jag har inga problem med ämnet som sådant, men det finns vissa saker som alltid orsakar problem för ämnesexperter som ska visa vad de kan:

– Hur avgränsar man sig (i tid och budskap), när man vet väldigt mycket om något?

– Hur når man en “medelnivå” som passar alla? Lägger man sig på en för hög nivå kommer de som inte vet så mycket att zooma ut och börja tänka på annat. Lägger man sig för lågt så kommer de som vet en del att sitta och gäspa.

-Hur engagerar man andra tillräckligt? Säkerhet är inget man lär sig utan något man “är”. Det är ett sätt att vara. Är mottagaren av budskapet inte intresserad kan man inte tvinga dem.

Efter att ha vridit och vänt på problemet i ett par dar och efter att ha talat med ett par av dem som budskapet är tänkt att nå så visar det sig att de flesta orosmolnen inte var så svarta som de verkade.

Jag gav mig själv en virtuell örfil och påminde mig om att när man ska leverera ett budskap om säkerhet spelar det ingen roll vilken nivå man lägger sig på. Säkerhet är inte ett tekniskt problem, utan en metod. Säkerhet ska inte vara ett hinder, utan en möjliggörare.

När jag påmint mig om detta så kändes det mycket bättre :-)

England är ett intressant land förresten. Jag har varit där en hel del och man stöter alltid på nya intressanta personligheter och spännande/roliga saker. Denna runda var nog chaffören från Ghana den mest intressanta person jag träffade. Under tiden från Heatrow till hotellet så hade vi en mycket intressant diskussion och jag fick en mycket spännande inblick i hur livet är i Ghana och hur det är att lämna allt och flytta till ett nytt land. Det som var roligast denna gång var nog skylten på dörren till trapphuset (se bilden)

Trappan ur funktion

Samtidigt är säkerhetskontrollerna på flygplatserna en ständig källa till irritation. Det är för den lite mer insatte hyggligt uppenbart att det primära syftet inte är att stoppa terrorister och problemmakare, utan för att upprätthålla bilden av att man har det under kontroll. Man försöker ingjuta en känsla av trygghet i resenärerna. Det är inte ens svårt att hitta på en lång lista med saker man kan ta sig till för att få in material på insidan som kan användas för kapningar och annat elakt.

Även fast vi i säkerhetsbranschen förmodas förespråka både hängslen och livrem när det gäller säkerhet så känns flygplatssäkerheten vare sig trygg, effektiv eller engagerad.

De oändliga köerna motverkar säkerhetskontrollernas syfte till viss del. Ett par som stod nära mig igår skämtade ironiskt att det vore bättre att släppa igenom några terrorister och låta dem plocka ett plan här och var. Det drabbade ju bara ett fåtal. På så sätt, menade de, skulle alla andra smidigare kunna komma igenom. Även fast det känns osmakligt att skämta om sådana saker så visar det på att man genom att inte ha tillräcklig kapacitet i säkerhetskontrollerna påverkar allmänhetens inställning till dem. Istället för att tycka att det känns bra att alla kontrolleras noga för att stoppa dem som vill oss illa, så förlöjligar man de insatser som utförs av de som vill oss väl. På sätt och vis så gör man så att vi som står i de evinnerliga köerna tappar tålamodet och förståelsen för insatsen.

Än värre blir det när man hamnar som nummer 2000 i kön och det bara är två kontroller öppna. Då är det nära att det brister även för härdade säkerhetsmedvetna resenärer.

Jag tyckte mycket synd om tanten bredvid mig med ny höftkula och ensamma mamman med två barn i trotsåldern och ett enormt handbagage (man får bara ha en väska, så vissa trycker ned flera väskor i en stor väska. Efter säkerhetskontrollen delar man bara på väskorna)

När det gäller IT-säkerhet och säkerhet i allmänhet gäller mycket samma saker. Varje ny nivå av säkerhet som införs kommer ha inverkan på systemets prestanda eller sättet vi utför vårt arbete. Varje nytt säkerhetsprogram man installerar kommer ta prestanda, varje nytt lås kommer göra att det ta längre tid att hämta kaffet. Om man då inte har förståelse för varför säkerheten finns på plats kommer man bli irriterad och eventuellt också vidta åtgärder för att kringgå skyddet.

Återigen handlar det alltså om ett informationsbehov.

Jag har själv predikat säkerhet i olika former i 11 år och känner att nu måste väl alla känna till det här med virus och att man inte ska klicka och att man ska uppdatera och allt annat som egentligen borde vara självklart.

Men, människor fungerar inte så. Om man inte konstant påminns om saker eller aktivt arbetar med nåt så faller det undan och försvinner i dimman.

Nu har vi ju inte haft något större virusutbrott sedan sommaren 2005. Det gör att allmänheten inte uppfattar elak kod som ett hot längre och man tar fler risker än tidigare. Man klickar på saker, för det hände ju inget förra gången. Man struntar i säkerhetsmeddelanden, för det hände ju inget förra gången. Man följer alla länkar man får tillsänt sig via e-post, tjattprogram och sånt, för det hände ju inget förra gången.

Kort sagt så spelar vi elakingarna rätt i händerna! Dagens attack går ut på att komma in i datorn, stanna inne i datorn så länge som möjligt och tjäna pengar. Det bästa sättet att göra det är att ungå allmänhetens ögon. Man gör det genom att sända ut den elaka koden i små utskick och sen göra om den till nästa utskick för att undgå upptäck av antivirusprogrammen. Man gör det genom att använda så kallade rootkits för att undgå upptäckt i dator. Man gör det genom att spela in tangentbordstryckningar och stjäla lagrade lösenord och filer.

Om användarna inte misstänker att något är fel så har de ju ingen anledning att leta efter fel och problem.

Samtidigt så arbetar leverantörerna av säkerhetsprogram för att vara så osynliga som möjligt. Vi får på tafsen om vi tjatar och varnar användarna för mycket. Då stänger de av programmen eller vänjer sig vid larmen så till den grad att de helt ignoreras.

Det gäller alltså att finna en avvägning mellan att hålla vanliga användare uppdaterade vad gäller hotbilden. Samtidigt som säkerhetsnivån måste vara osynlig och anpassad, men kraftfull nog att blockera allt som kommer i dess väg. Den måste också allokeras tillräckliga resurser för att allt ska flyta så smidigt som möjligt… Piece of cake :-)

Taggar: Allmänt, Korkat, Trams

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.