torsdag 28. november 2013

Ny Nederlandsk Cyberstrategi

Nederland har revidert sin cyberstrategi, og denne er på mange måter alt det vår nasjonale strategi for informasjonssikkerhet ikke er. Den favner mer helhetlig enn vår strategi, er ikke utydelig pga eksisterende strukturer og omfatter både privat næringsliv, sivile myndigheter og militær sektor.

Det er verdt å merke seg at den på en ganske god måte forsøker å balansere hensynet til både sikkerhet og personvern.

Les hele strategien her:

New cyber security strategy strengthens cooperation between government and businesses

onsdag 27. november 2013

FFI Forum - Cybermakt

Jeg prøver å holde tungen rett i munnen når jeg skriver denne bloggen fordi jeg ikke er ansatt i Cyberforsvaret til å uttale meg på vegne av organinasjonen. Noen ganger kan det være vanskelig å trekke en klar grense for når jeg uttaler meg som fagperson, og når jeg taler arbeidsgivers sak. Dette er en av de gangene.

Cyberforsvaret har bestillt "Cybermakt-studien" fra FFI, og jeg var sendt til FFI Forum 26 november for å gi Cyberforsvarets kommentarer til FFIs presentasjon av studien. Interessen for FFI Forum var stor denne gangen, med ca 120 påmeldte. I salen var også media, men jeg har ikke sett saken gjengitt i avisene.

(Foto: FFI)

FFI har lagt ut en sak om presentasjonen her:

Hva cybermakt kan bety

Den første Cybermakt-rapporten er gradert, så jeg vil ikke gå inn i detaljene i denne. Det vi fikk presentert fra FFI var en slags oppsummering av hvilke egenskaper cyberdomenet har, og hva dette betyr for militær maktanvendelse i dette domenet. Cyberforsvaret har støttet inneholdet i rapporten, og mener at det er svært viktig med en grundig forskningbase for doktrineutvikling og utvikling av militære kapabiliteter.
Som jeg sa under FFI Forum så tror vi at utviklingen i både cyberdomenet og måten vi tenker rundt militærmakt i domenet vil endre seg. Trolig mer enn vi er i stand til å forutse nå. Det er vanlig å sammenligne cyberdomenets rolle nå, med slik luftdomenets rolle var for 100 år siden. Den gang var det ingen som kunne forutse hvordan luftmakt anno 2013 ville fortone seg. Det er ikke urimelig å mene at f.eks. politiske eller teknologiske endringer kan få betydning for bruk av militærmakt i dette domenet.

Jeg har lyst til å kommentere noen påstander fra presentasjonen. Under overskriften "Hva er Forsvarets rolle?" ble det hevdet at Forsvaret i liten grad kunne rykke ut for å overta drifts-oppgavene til aktørene som eier og drifter nasjonal kritisk infrastruktur. Dette er selvfølgelig helt riktig, og det er heller ingen som har påstått av Forsvaret kan eller vil gjøre det. I andre land vurderer man "cyber-reservister", personell som i en nasjonal krisesituasjon underlegges militær ledelse, men  som fortsetter i den jobben de har. f.eks. som driftsansvarlig eller sikkerhetsekspert i en eier av kritisk infrastruktur. Anders Werp fra Høyre nevnte dette som en mulighet også her, uten at det er tatt noen beslutning på dette.

FFI satte det på spissen og mente at vi ikke kan sammenligne den bistand som Forsvaret gir på andre områder, med den bistand som Forsvaret kan gi i cyber-kriser. "Et helikopter er et helikopter, og flyr personell eller materiell fra A til B. Cyberkapabiliteter er mer spesialiserte". Om analogien er god eller ikke kan sikkert diskuteres, alle helikoptere kan ikke nødvendigvis brukes til alle formål. Og slik er det jo med cyberkapabiliteter også. Forsvarets kapabiliteter er dimensjonert og tilpasset Forsvarets behov, og de skal primært brukes til å beskytte Forsvarets egne datanettverk og informasjonssystemer mot cyberangrep (vi kaller det helst cyberhendelser.. et angrep er noe langt mer alvorlig i vår terminologi).

Men; I en nasjonal krise er det mulig for sivile myndigheter å bruke disse kapabilitetene. Kapabilitetene er mobile, og kan brukes over hele landet. Det er åpenbart både tekniske og andre begrensninger for når og hvor de kan settes inn, men det vil i så fall være en vurdering i den situasjonen man er i.

Såvidt jeg vet er det kun Forsvaret som har slike kapabiliteter i Norge. Vi vet at andre nasjoner ikke har slike kapabiliteter, og NATO har først nylig etablert en tilsvarende evne. Men fungerer det? Her er noen av de erfaringene jeg har gjort meg gjennom de siste ti årene:


  • De har vært brukt med stor suksess i Forsvarets egne nettverk i både inn og utland
  • De har vært brukt med stor suksess i sivile aktørers nettverk under øvelser
  • Konseptet med mobile kapasiteter ble f.eks. brukt under øvelse Locked Shields 2012, hvor cyber defence laget som vant satte inn medbrakt utstyr som satte dem i stand til å håndtere situasjonen. Dette var utstyr som ble satt inn i et nettverk som var ukjent for dem inntil like før øvelsen startet. 
  • Det krever mye øving og trening for å mestre dette, og trolig også for å forstå muligheter, begrensninger og betydningen av å være i stand til å gjøre dette.
I tillegg til slike cyber defence kapabiliteter, har Forsvaret også (selvfølgelig) kapabiliteter for å etablere, forlenge, forsterke og endre "cyberspace" iht. våre operative behov. 


NSM har i sin blogg fokusert på begrensningene for slike kapabiliteter, og det synes jeg er synd ettersom de som koordineringsansvarlig for alvorlige cyberangrep burde ha satt seg mer inn i hvilke muligheter Forsvarets kapabiliteter kan gi. Jeg synes også det er litt rart, siden NSM også har vært med Forsvaret på øvelser både nasjonalt og i NATO, og selv observert disse i bruk.

NSM sitt blogginnlegg er her:
Lite sannsynlig med cyberkrig og -terror

I forkant av konferansen ble jeg bedt om å svare på noen spørsmål som kunne komme opp i paneldebatten. Disse ble ikke tatt opp spesifikt, men jeg deler dem gjerne her:

Hva er den største utfordringen i cyberdomenet?
Håndteringsevnen for alvorlige og sektorovergripende hendelser. Det er uavklarte spørsmål i grensegangen mellom håndtering av samfunnssikkerhet og statssikkerhet. Hvor alvorlig skal en hendelse være for at Forsvaret skal overta håndteringen, eller støtte sivil sektor i håndteringen? Vi mangler en nasjonal strategi som adresserer dette.
Sektorprinsippet vs prinsippet om samhandling. Her har vi ikke kommet spesielt langt.

Hvordan kan og bør Forsvaret bistå cybersikkerheten i det sivile samfunnet under kriser? 
Forsvaret har kapabiliteter som kan settes inn for å støtte sivile myndigheter under kriser. Forutsetter da at det er snakk om normal bistand. Dette kan være cyber defence kapabiliteter hvor vi kan deployere personell og utstyr som kan bistå i håndtering av slike hendelser, eller det kan være andre mobile ressurser som kan brukes til å etablere, tilpasse og utvide cyberdomenet i en slik situasjon.
For statssikkerhetstruende hendelser, må Forsvaret være i stand til å overta ledelsen av håndteringen av slike cyberkriser.

Kan Norge alene løse kompetansemangelen rundt cybersikkerhet?
Vi ser en satsning på forskning innen dette feltet, der flere av de store aktørene for eksempel støtter forskningssenteret på Gjøvik. NORSIS har i mange år gjort en god jobb med å heve den generelle forståelsen, og det er flere utdanningsløp spesifikt for informasjonssikkerhet. I Forsvaret har sin Forsvarets ingeniørhøgskole, som utdanner ingeniører og ledere i hele bredden av defensive cyberoperasjoner. Personell som er utdannet ved FIH er svært ettertraktet i sivil sektor, og styrker en rekke leverandører av sikkerhetstjenester og "CERT-funksjoner" i en rekke virksomheter.

En kan nok hevde at vi ikke utdanner tilstrekkelig til å møte behovene, men en kan samtidig spørre om vi er organisert på den mest hensiktsmessige måten. Å etablere en enhet som har evne til å håndtere alvorlige cyberangrep mot virksomheten er svært ressurskrevende. Dersom alle virksomheter skal ha sine egne håndteringsenheter, er vi ikke i nærheten av å utdanne nok personell av denne typen.

Avslutningsvis vil jeg si at Anders Werp nevnte at regjeringen har som intensjon å styrke justissektoren med tanke på å kunne håndtere alvorlige cyberangrep/kriminalitet. For meg virker det fornuftig, og det er i så fall en videreføring av det som ble påbegynt i den nasjonale strategien for informasjonssikkerhet som vi fikk for et år siden. Les mine kommentarer fra den gang her:

tirsdag 14. mai 2013

3 Big Mistakes In Incident Response

I denne artikkelen presenteres det tre av de største feilene en kan gjøre når man håndterer cyberangrep.

http://www.darkreading.com/management/3-big-mistakes-in-incident-response/240154817/

Synes artikkelen i utgangspunktet er god. Hovedtema er at manglende SA (Situational Awareness) fører til feil beslutning. Det er imidlertid ikke alt jeg er enig i:

1. ASSuming It's An APT.
Budskapet er at selv om "it walks like a duck, its not a duck". Det er jo åpenbart mulig at "vanlige kriminelle" etterligner TTP'ene til etterretningsorganisasjoner og andre offensive cyberkapabiliteter, men er det grunn god nok til å la være å undersøke om en hendelse kan være utført av sistnevnte aktører?
Selvfølgelig ikke. Jeg mener at det tradisjonelle måten å tenke eskalering, ikke fungerer i en Cyber Defence organisasjon. Hendelseshåndtering som skjer i driftsorganisasjoner kan være organisert slik at den som trenger hjelp først kommer i kontakt med helpdesk. Denne kan være bemannet med personell som har mindre utdanning og erfaring enn det som kreves for å løse mer komplekse problemer. Hvorfor? Jo fordi at de aller fleste hendelsene kan løses med en "mekanisk" tilnærming til problemløsning. Det er derfor de utstyrt med flytskjema for problemløsning, og det er derfor du må snakke med noen andre hvis flytskjema ikke løser problemet. Eskalering funker for disse problemene.

For en Cyber Defence analytiker derimot, er det behov for at eksperten er i fremste rekke. Det krever mye kunnskap og mye erfaring for å kunne avgjøre om et stykke data/informasjon er relevant eller ikke. Jeg er blitt fortalt at akuttmottaket på sykehuset fungerer på samme måte. Det er eksperten som undersøker deg først. Det er vesentlig å finne ut om du bare har brukket armen i den bilulykken, eller om du også har en langt mer alvorlig hodeskade som skal behandles først.

Derfor skal Cyber Defence analytikeren undersøke saken først, og hver sak må behandles som om det er en avansert motstander en står over for.

2. Not Monitoring Traffic.
Sikkerhetsovervåking bygger SA. Det er ingen vei utenom. Vil du vite hva som skjer i nettverkene dine, så må du overvåke dem. Uten overvåking har du ingen evne til å håndtere hendelser. Er forøvrig helt enig i hva artikkelen skriver om Netflow analyse. Om jeg måtte velge kun ett verktøy for overvåking, ville det vært Netflow-analyse.

3. Focusing Only On The Malware. 
Selv om jeg er enig i at en ikke bør fokusere på malware alene, synes jeg artikkelen bommer med begrunnelsen. Malware-analyse kan være et viktig bidrag til å avdekke motstanders intensjon, kapabilitet og kapasitet. Det kan bidra til å avdekke hvilken informasjon som er kompromittert eller ødelagt, og hvilken som ikke er det. Å si at malware-analyse ikke kan gi deg "root cause" er direkte feil.

Til slutt en påstand fra artikkelen som jeg ikke kan la passere:

But identifying the attacker is not straightforward in cyberattacks, and incident response isn't about ID'ing the individual attackers, anyway, Cylance's Shook says.
Dette utsagnet plasserer "incident response" nærmere tradisjonell informasjonssystemsikkerhet, enn slik jeg tenker rundt cyber defence. For sistnevnte handler det åpenbart om å forsøke å identifisere hvem motstanderen er, hva han vil, hvilke kapabiliteter og kapasiteter han har. Det er blant annet her at Cyber Defence skiller seg ut fra informasjonssystemsikkerhet.


torsdag 2. mai 2013

Komplekse adaptive systemer

Denne artikkelen diskuterer noen av problemene med komplekse adaptive systemer.

http://www.sciencedaily.com/releases/2013/05/130501131943.htm

Et av karakteristikaene ved slike systemer (skalarfrie nettverk) er at de en motstandsdyktige mot tilfeldige angrep, men sårbare mot målrettede angrep. Det globale internettet er et slike system.

I artikkelen foreslås det noen tiltak, blant annet å redusere størrelsen og konnektiviteten i slike nettverk. Det har jeg liten tro på, for det er jo nettopp "emergent properties" i slike netverk som gir effekt. Da er både størrelsen og effektiviteten vesentlige faktorer.

Adaptive defence?

Dennne artikkelen introduserer (?) begrepet adaptive defence.

http://securityblog.verizonbusiness.com/2013/05/01/adaptive-defense/

Nå er jo ikke begrepene "active defence" eller "active response" nye. Det er heller ikke diskusjonene som følger når dette diskuteres. Fra et IKT-sikkerhetsperspektiv, har man gjerne sett på dette som en ren teknisk respons, altså når en IDS dropper pakker eller lager brannmurregler for det den måtte oppdage. Fra et cyber defence perspektiv, handler det oftere om grensene mellom det defensive (CND) og det offensive (CNA og CNE).

Artikkelen beskriver en tilnærming som ligger mye nærmere slik vi forstår active defence i en militær kontekst, altså både det som handler om å møte en konkret trussel med de riktige forsvarsmekanismene, men også det som handler om å påvirke trusselaktøren, dog med defensive midler (villedning, redirigering, utarming av ressurser osv).

Jeg synes det er positivt at denne type konsepter blir mer vanlig, også i sivil sektor. At stadig flere tilbyr "cyberetterretinger" vil gjøre denne tilnærmingen enda mer effektiv.

tirsdag 23. april 2013

No "One size fits all"

Verizons rapport har flere interessante funn. Her er en oppsummering fra Darkreading:

http://www.darkreading.com/attacks-breaches/no-one-size-fits-all-in-data-breaches-ne/240153379

Det virker kanskje logisk at en "One size fits all" tankegang ikke vil fungere i praksis. Det er naturligvis forskjell på Statoil og en liten virksomhet med fem ansatte. Men hvordan står det egentlig til i realiteten? Selv om mange (større) virksomheter har solide strategier for sitt sikkerhetsarbeide og egne responsteams, er det langt flere som ikke har det. Hvem er det som ivaretar deres sikkerhetsbehov? Jeg antar at dette i stor grad blir overlatt til leverandøren av IT-tjenestene. Kan de tilby en skreddersydd pakke til hver kunde? Neppe. "One size fits all".

Det er også interessant at hele 60% av alle angrep rammer små virksomheter. I Norge har vi ca 500.000 små og mellomstore bedrifter. 400.000 har mindre enn 10 ansatte. Under Cyberkonferansen hørte vi Beitland i Næringslivets sikkerhetsorganisasjon fortelle om utfordringene denne delen av norsk næringsliv står over for. Kjetil Nilsen i NSM innrømmet at de ikke har klart å finne samarbeidsformer som ivaretar disse virksomhetene, og Tore Orderløkken i NorSIS fortalte at trusselaktørene nå rammer større virksomheter gjennom nettopp disse små virksomhetene. Hvorfor? Fordi de ikke evner å håndtere egen risiko, og ingen andre gjør det for dem heller.

Verizon sine funn viser også at 92% av angrepene kom fra utsiden. Dette er faktisk høyere enn det de rapporterte i 2010 (hvor ca 80% kom fra utsiden). Det er på tide av myten om at de fleste angrep kommer fra innsiden blir avlivet!

Rapporten sier videre at det tar lang tid før cyberangrep blir oppdaget, og at en stor andel faktisk ikke finner dette ut selv, men får det rapportert fra andre. Dette er kanskje ikke så overraskende, for tradisjonell forebyggende sikkerhet (og compliance-basert sikkerhet) har lite forkus på overvåking, deteksjon og analyse. For å redusere tiden det tar fra angrep til deteksjon, må det bygges opp solide team som har dette som primæroppgave.

Med tanke på at BYOD har blitt forklart som det neste store risikoelementet, var det kanskje overraskende at rapporten ikke har funnet at mobile enheter har spilt en vesentlig rolle. Det er jo noe å tenke på.

Rapporten finner du her:

http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf

2012 rapporten:
http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf

søndag 21. april 2013

Cyberkonferansen 2013

18 april arrangerte Cyberforsvaret, i samarbeid med Atlanterhavskomiteen, Cyberkonferansen 2013 i Gamle Logen i Oslo. Det var annonsert en spennende agenda, med gode foredragsholdere fra USA, UK og Norge. Det var ca 250 tilhørere i salen.


Generalmajor Roar Sundseth og statssekretær Eirik Thorshaug

Ved konferansens start, ble det annonsert at Richard Clark ikke kunne stille, pga bombeepisoden i Boston og giftbrevene som var sendt til myndighetspersoner i USA. Som erstatning for Clark, fikk vi et foredrag av Tangen Nilsen i Telenor.

Her er en kort beskrivelse av foredragene.

Åpning av Eirik Thorshaug, FD.
http://www.regjeringen.no/nb/dep/fd/aktuelt/taler_artikler/politisk_ledelse/taler-og-artikler-av-statssekretar-eirik/2013/opening-remarks-cyber-conference-2013.html?id=723124

Thorshaug holdt et godt innlegg der han blant annet presiserte at vi må bli bedre til å beskytte oss mot, oppdage og forsvare oss mot en økende cybertrussel. Forsvaret må kunne støtte sivile myndigheter dersom det er behov for det. Han presiserte også at det norske synet er at vi ikke trenger særlover for cyberdomenet.
Folkeretten gjelder også i cyberspace.

How will the developments in cyberspace shape the nature of future defense operations - Mr David Ferbrache, MOD UK.
Ferbrache ga oss et godt innblikk i hvordan UK tenker rundt en helhetlig tilnærming til utfordringene i cyberdomenet. Han gjorde det klart at cyberangrep nå er en del av samtlige sikkerhetspolitiske kriser og konflikter, og brukte konfilkten i Georgia som et eksempel på dette. Ferbrache fortalte at en stadig større del av en nasjons økonomiske vekst og velstand, kommer som en direkte følge av cyberdomenet. Av det følger det at cyberdomenet blir en stadig viktigere nasjonal interesse, og at disse må beskyttes. Stadig flere nasjoner er åpne om sine offensive cyberkapabiliteter, og en ser på cybermakt på lik linje med all annen maktbruk.
Han viste til at de observerer en økning i cyberangrep mot energisektoren, og at dette er bekymringsfullt fordi det trolig ikke er vanlige kriminelle grupper som står bak.

Cyber operations - a gamechanger or supporting activity? - Tidligere forsvarssjef General Sverre Diesen

Diesen er nå en del av et forskerteam som arbeider med en studie i cybermakt, et arbeide som er bestillt av Cyberforsvaret. Foredraget til Diesen var basert på blant annet dette arbeidet. Han redegjorde for noen av likhetene og forskjellene mellom cyberdomenet og de øvrige domenene (land, sjø, luft). Vi fikk et innblikk i noen av dilemmaene som kan oppstå når militærteori møter cyberspace. Feks, hva med ikke-stridende som deltar med cyberangrep i en konflikt? Vil en nasjon alltid ønske å skjule sine spor? 
Diesen konkluderer med at cybermakt har sin plass sammen med tradisjonelle militære maktmidler, men trolig ikke som et virkemiddel som brukes alene.





Kan cybermakt brukes til å påvirke andre stater? - Hans-Inge Langø, NUPI

Langø presenterte en ny måte å se på hvordan en kan dele inn "grupperingene" innen cybermakt-feltet. Traditionalists, Revolutionists og Environmentalists. 
Revolutionists argue the potential of cyber power… Traditionalists demand proof.
Personlig synes jeg at Langø sitt innlegg var det som presenterte nye idéer og ny innsikt. Etter å ha hørt foredraget, innså jeg for eksempel at Ferbrache trolig er en Environmentalist, mens Diesen trolig er en Traditionalist.
Langø delte Diesens syn om at cybermakt alene har et begrenset potensiale.

Obligation to share …when the spies hit us - Hanne Tangen Nilsen, CSO Telenor

Tangen Nilsen presenterte både utfordringer og hendelser som Telenor har vært utsatt for. Naturlig nok fikk spionasjehendelsen en del oppmerksomhet, ikke minst fordi den har ført til noe diskusjon i ettertid. Tangen Nilsen argumenterte for at informasjonsdeling er den eneste måten vi kan møte utfordringene i cyberspace sammen, og at NorCERT som vårt nasjonale senter, må bli mye bedre til dette. Hun mente videre at Norge har behov for en nasjonal cyberstrategi, og at den nasjonale strategien for informasjonssikkerhet ikke er tilstrekkelig. (Merk: den gjelder ikke for private selskaper. De militære cyberkapasitetene er heller ikke omtalt)

Nasjonal IKT-sikkerhet, fra mandat til gjennomføring - Kjetil Nilsen, Nasjonal Sikkerhetsmyndighet.
https://www.dropbox.com/s/woh721fviqxil19/Kjetil%20Nilsen%20DNAK%2018%20april.pptx

Nilsen presenterte NSMs tilnærming til utfordringene i cyberspace. Fokus på både forebygging og til å håndtere IKT-hendelser. Ønsker sterkere responsmiljøer i sektorene, men mener at det er for mye fokus på trusselaktørene. Viste også til at det er utfordrende å finne gode samarbeidsformer med de 500.000 små og mellomstore bedriftene.

Utfordringer for næringslivet - behovet for samarbeid mellom offentlige og private aktører - Kristine Beitland, Direktør Næringslivets Sikkerhetsråd

Beitland holdt et godt innlegg der hun blant annet presiserte at nasjonal strategi for informasjonssikkerhet er ikke dekkende nok, og burde ha mer fokus på det operative. I praksis vet man ikke hvem man skal forholde seg til når en blir utsatt for cyberangrep, og dette er ikke holdbart.

Status og løsninger - fra et uavhengig ståsted - Tore Larsen Orderløkken, NorSIS
Oerderløkken presenterte en status, sett fra NorSIS. Vi fikk et innblikk i kompleksiteten i det nasjonale apparatet som kan bli involvert når cyberangrep skjer. 

Cyberdomenet – i et helhetlig perspektiv - Sigurd Heier, tidligere avdelingssjef i Cyberforsvaret

Heier ledet arbeidet med å lage cyberretningslinjer for Forsvarssektoren, inntil han sluttet i Forsvaret sommeren 2012. Han ga oss et innblikk i dette arbeidet, og brukte en modell der han forklarte dette i ulike dimensjoner. 

Konferansen ble avsluttet av utenriksminister Espen Barth Eide. Dette var et svært underholdende og interessant innlegg.



Noen av momentene jeg noterte meg:
  • At cyberdomenet finnes, er grunn i seg selv til at vi skal hevde våre interesser der
  • Potensiale for å forårsake skade (angep) er mye større enn potensialet for å forsvare seg
  • En stat har en mye større potensiale for å skape ødeleggelse, enn det en kan fra gutterommet
  • Folkeretten gjelder i cyberspace, men det kreves tolkning. Feks, når er et cyberangrep et væpnet angrep?
  • Menneskerettene gjelder selvfølgelig også i det digitale rom
Sjef Cyberforsvaret, Generalmajor Roar Sundseth, avsluttet med å si at hensikten med konferansen var å skape et felles situasjonsforståelse, og et felles grunnlag for det videre arbeidet. Den umiddelbare oppfatningen var at det hadde man lykkes med, og at denne konferansen vil bli arrangert årlig.



onsdag 17. april 2013

Three simple steps to determine risk tolerance

Denne artikkelen gir oss tre steg for å bestemme hvilken toleranse for risiko vi skal ha.

http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-

Ved første øyekast synes dette å være ganske tilforlatelig, selv om jeg må innrømme at jeg etterhvert har blitt immun mot alle de nye mote-ordene (Risk tolerance? Var vi lei av Risk Acceptance og Recidual Risk allerede?)

Det er en veldig grei og rett-frem tilnærming denne artikkelen gir oss:
  1. Bestem hvor mye risiko du kan tåle
  2. Finn ut hvilken motivasjon du har for sikkerhetsarbeidet
  3. Bestem hvem som kan bestemme hvilken risiko du kan tåle
Jeg tror at mange vil kjenne seg igjen i følgende situasjon:
Den som er ansvarlig for det utøvende sikkerhetsarbeidet (CISO og ned) vet at omfanget og kompleksiteten i jobben deres er formidabel. En kan ikke forhindre sikkerhetsbrudd, fordi det ikke er forutsigbart. En kan ikke forsvare seg mot alt, fordi ressursene ikke strekker til. Med andre ord, ressursene må prioriteres. Prioritering betyr beslutning (ledelse) og er i seg selv en risiko. Hva om jeg har prioritert feil? 

Slik kan man i følge artikkelen ikke ha det, så en skal da ha et Enterprise Risk Management (ERM) system hvor risiko skal kvantifiseres (forferdelig dårlig idé). I praksis er min erfaring at slike systemer handler om én ting. Å øverføre ansvaret for beslutningene fra CISO til Styret, CEO, Adm Dir eller hvem det nå er som avnikker et slikt dokument. Nå er vi tilbake til ROS-analyser, rest-risiko og akseptansnivåer for risiko. CISO ønsker ikke at risiko-toleransen endrer seg hele tiden, for det gjør jo hverdagen uforutsigbar og stressende. Når ledelsen har besluttet hva de vil akseptere, så har CISO or sikkerhetsorganisasjonen fått sin høyre og venstre begrensing. Når det går galt, og CISO har levert innenfor sitt oppdrag, ja da er det vel noen andre som får ta støyten da.

Hvilken motivasjon en har til sikkerhetsarbeidet er sikkert greit å ha et forhold til, og jeg er enig i det artikkenel konkluderer med: Du vil ha en mix av alle typer motivasjon. Skal vi revideres i neste uke, sier du? Da er det KUN compliance som er viktig. Personvern synes å være svært viktig etter at man har hatt en større hendelse som rammer akkurat det området. Ellers tenker jeg at det er det virksomhetskritiske og operasjonelle som har størst fokus. For Forsvaret sin del, handler dette om liv og død. Informasjonssikkerhet, både det som gir reell sikkerhet og det som dessverre ødelegger for den, har betydning for menneskers liv i operasjonene. 

Derfor blir jeg litt oppgitt når dette pakkes inn i "systemer" og verktøy som bare tilfører ekstra avstand til den reelle risikoen. Det eneste som blir bedre er følelsen av å ha håndtert risiko.

Det siste punktet, hvem som kan bestemme, er jo åpenbart. Delegering av myndighet er jo noe en gjør i alle deler av en organisasjons virksomhet.

For meg handler dette mest om å lede og om a ta ansvar. Å lage intrikate systemer for måling av risko, og å binde nivået over deg til å ta på seg ansvaret for noe de uansett ikke kan forutsette fullt ut, er ikke å  lede eller å ta ansvar.  Å delta aktivt, og likeverdig, i de operative ledelsesprosessene er noe helt annet. 

Det er derfor at CISO'er skal sitte ved sjefens bord. Felles situasjonsforståelse og en dynamisk tilnærming til hvordan en skal forholde seg til risiko bør være målet.


søndag 14. april 2013

Er attribution og hack-back umulig?

Jeg har diskutert maktutøvelse i cyberspace ved en rekke forskjellige anledninger, og én ting er sikkert. Det er like mange meninger om attribusjon og "hack-back" som det er personer som interesserer seg for tema. Med fare for å være litt for kategorisk, så deler attribusjonsmeningene seg i to leire: Ingeniørene, som vet alt om hvor lett det er å skjule sine tekniske spor, og analytikerne som leter etter informasjon i alle domener, også utenfor det rent tekniske. Ingeniørene mener som regel at attribusjon er umulig, eller i alle fall så vanskelig og usikkert at det ikke lar seg gjøre i praksis. Analytikerne tar dette som en utfordring.

Spørsmålet om attribusjon er viktig, for en eventuell motreaksjon må jo ikke ramme en uskyldig part.

Spørsmålet om motreaksjon er en annen rød klut. I tillegg til at en i utgangspunktet må være sikker på at en har funnet riktig mål (attribusjon) så må en tenke seg at det er mulig å møte cyberangrep med cyberangrep. For at det skal være mulig, må det både være teknisk gjennomførbart, og en må kunne levere en eller annen form for effekt. At dette er vanskelig er det ingen tvil om, men er det umulig? Kan cyberangrep kun brukes i form av first-strike operasjoner der en har planlagt alt i detalj over lang tid?

Ikke i følge denne artikkelen:
http://www.skatingonstilts.com/skating-on-stilts/2013/04/stewart-baker-cybersecurity-itrust-consulting-report-on-apt-1-pla-unit-61398.html

Gitt at det som blir gjengitt i artikkelen har funnet sted, så viser den for det første at attribusjon er mer enn å kun vurdere de tekniske atributtene ved angrepet. Attribusjon er også å vurdere motstanders TTP, Taktikk, Teknikk og Prosedyre. TTP springer gjerne ut fra motstanders utdanning, doktrine, kultur og andre ting som ikke endrer seg så ofte. Dette er vi bevisst på. Det er en grunn til at vi forsøker å bygge inn uforutsigbarhet i TTP'ene.
Videre ser vi at en dynamisk enhet kan utnytte et mulighetsrom som åpner seg. Vi får demonstrert at cyberangrep ikke bare må være first-strike operasjoner som er planlagt i lang tid.

Dette er selvfølgelig ikke enten-eller. Det handler om å gjøre verktøykassen større, om å skape et nytt handligsrom for seg selv.

Bør alle drive med hack-back? Selvfølgelig ikke. Dette skal reguleres gjennom Rules Of Engagements, som all annen maktbruk.

Andre eksempler på hack-back:
http://techcrunch.com/2009/05/05/researchers-take-over-botnet-grab-56000-passwords-an-hour/
http://www.darkreading.com/security/news/217201422/researchers-take-over-dangerous-botnet.html
https://www.google.no/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=https%3A%2F%2Fwww.usenix.org%2Fsystem%2Ffiles%2Fconference%2Fleet12%2Fleet12-final23.pdf&ei=2-lqUaq6I4aD4ATV9IGYAg&usg=AFQjCNE32z4HsJNOi33my7na8NOYk5d-CQ&sig2=9xGgBWfQ1EtZTtwRRDhAug&bvm=bv.45175338,d.bGE


torsdag 11. april 2013

Positivt om Finanstilsynets ROS rapport

Jeg har tidligere vært kritisk til den "tradisjonelle" ROS-metoden for risikofastsettelse. Årsaken er at metodene alt for ofte bruker ulike kvantitative metoder for risikoangivelsen. Se tidligere blogposter for utdyping. 1)

ROS-rapporten fra Finanstilsynet har imidlertid unngått dette på en god måte. Rapporten er på et overordnet nivå, og det er jo nettopp her en ROS-metode kan brukes. (Så lenge en holder seg unna risikokalkulatorene)

Anbefaler å lese rapporten.



1)

tirsdag 9. april 2013

CISPA tilbake i Kongressen

Threatpost skrev følgende:

The Controversial CISPA Is Back in Congress

Dette er et lovforslag jeg virkelig håper de klarer å få gjennom, selvfølgelig med nødvendige tilpasninger i forhold til personvernet. Egentlig er jeg litt overrasket over at dette med overvåking og deling av nettverkstrafikk er nødvendig å få inn i en slik lov, for det som er mye mer viktig er at myndighetene skal pålegges å dele etterretninger med privat sektor slik at de kan beskytte seg selv:

CISPA requires the Director of National Intelligence to establish procedures to allow intelligence community elements to share cyber threat intelligence with private-sector entities and encourage the sharing of such intelligence 1)
Selv om stadig flere private aktører nå tilbyr "teknisk informasjon om trusselaktører", så er det vel fremdeles slik at det kun er myndighetene som har kapasitet til å lage etterretninger. Slike er selvfølgelig mye mer verdifullt når en skal beskytte seg mot avanserte cyberangrep.

Obligation to share!


1) http://en.wikipedia.org/wiki/Cyber_Intelligence_Sharing_and_Protection_Act

mandag 8. april 2013

Finsk cybersikkerhetsstrategi

Her er den finske cyberstrategien (på engelsk).

Finlands cybersikkerhetsstrategi

Mulig jeg ser nærmere på denne etterhvert, men her er noen foreløpige tanker.

Strategien fremstår som solid og helhetlig.
I motsetning til vår nasjonale strategi for informasjonssikkerhet, omfatter den finske strategien både privat sektor og den militære organisasjonen. En får heller ikke inntrykk av at den finske organiseringen er like rotete som vår.

Anbefalt lesning!

Supply chain security vs Industripolitikk

Her ser vi et godt eksempel på hvordan supply chain security, eventuelt industripolitikk, fører til negative konsekvenser. Når anskaffelse av ny teknologi går tregere, får det konsekvenser for både effekt og for sikkerheten.

http://www.bankinfosecurity.com/blogs/hidden-law-could-hamper-govt-infosec-p-1446

søndag 7. april 2013

Arming for Virtual Battle: The Dangerous New Rules of Cyberwar

Jeg synes dette er en god artikkel, og at det kaster lys over en del forestillinger om cybermakt på en god måte. (Takk til @StormJL som gjorde meg oppmerksom på den)

Arming for Virtual Battle: The Dangerous New Rules of Cyberwar

Noen tanker etter å ha lest artikkelen:

Tallin-manualen har på en måte "normalisert" synet på hva cybermakt egentlig er. Noen miljøer har ønsket å fremstille det som noe helt spesielt, noe som ikke kan sammenlignes med tradisjonell militærmakt. Det vi ser nå er at det sees på som en type maktbruk som sidestilles med "ordinær" maktbruk, og at cybermakt derfor kan møtes med andre maktmidler dersom det er nødvendig, proporsjonalt osv. Dette mener jeg er en riktig utvikling.

At sivil infrastruktur vil bli berørt er uungåelig, og snarere enn å ha løst denne utfordringen, satses det på avskrekking. Om dette er en strategi som virker er jeg ikke helt sikker på, så lenge det er "enkelt" å gjennomføre clandestine operasjoner. Jeg synes også det er for enkelt, når man sier "If there is a war on the Internet, both the battlefields and the weapons will be in private hands." Dersom målet er militær infrastruktur, er det langt fra sikkert at en eventuell støttende, underliggende eller tilstøtende sivil infrastruktur blir rammet. At våpenet kan havne i sivile hender er dessverre trolig riktig. Bruk av cybervåpen vil trolig kompromittere det. Det kan bety at det i fremtiden ikke vil kunne ha effekt, eller at personer eller grupper som ikke bør ha tilgang til slike våpen får kjennskap til slike.

Når kan et cyberangrep sidestilles med et væpnet angrep på en nasjon? Jeg har erfart at det er svært ulike syn på dette spørsmålet. Enkelte hevder at det aldri kan sidestilles, mens andre er raske til å ta i bruk "cyberkrig" når det er snakk om bruk av avanserte cyberangrepsteknikker. Jeg mener vi bør ha en pragmatisk tilnærming til dette, dog med et grunnprinsipp om at dersom cyberangrepet har en tilsvarende effekt som et konvensjonelt angrep, så kan de sidestilles. Jeg innser likevel at dette spørsmålet har mange sider som gjør det vanskelig å besvare. Er motstander stridende, og dermed et legalt mål?

Artikkelen nevner cyberoperasjoner brukt i "preemptive strikes". Dette synes å være en vanlig tilnærming, men en bør etter mitt syn ikke avgrense seg til dette. Det må også utvilkles doktriner, operasjonskonsepter og taktikker for å møte cyberangrep med cyberangrep. Det handler om å utstyre seg med de virkemidlene som er mest hensiktsmessige i den situasjonen en står i.

Til slutt en kommentar til dette avsnittet:

"Military leaders must rethink the most important question relating to defense in cyberspace: Who is the attacker? "In most cases," the Tallinn manual reads optimistically, it is possible to identify the source of data attacks. But that doesn't coincide with the experiences of many IT security experts."

De fleste infosec eksperter jeg har snakket med har et for snevert syn på hva attribusjon er. Dersom en kun ser på de rent tekniske attributtene av et angrep, så er jeg enig. Det er veldig vanskelig å slå fast hvem som står bak. Det finnes imidlertid mye annen informasjon som også kan vurderes, og som kan gjøre attribusjon mulig. Enkelt er det likevel ikke.



onsdag 3. april 2013

TG13 - Hacktivisme

Her er presentasjonen om hackivisme, av Salberg og Hardie.

Hacktivisme

Using Dependency Modeling For Better Risk Decisions

I denne artikkelen intervjuer Dark Reading Jim Hietala og Chris Baker fra Open Group. Tema er en ny standard som skal hjelpe oss å håndtere risiko bedre.

Using Dependency Modelling For Better Risk Decicions

Utgangspunktet for deres modell er attack-trees, en metode for å kartlegge "alt som kan gå galt".
(Attack Trees). Dessverre har jeg ikke noe særlig tro på denne metoden for å kartlegge risiko der truslene er uforutsigbare og dynamiske. Selv om wargaming kan være nytting i mange sammenhenger, bør det styres, og i tillegg til å gå gjennom de mest trolige scenariene, bør det styres mot å tenke utenfor boksen. Hva er det vi IKKE har tenkt på.

Hvorfor kan man ikke gjøre det i slike attack-trær da? Det er ingenting som forhindrer at man kan gjøre det, men kritikken mot denne metoden har vært at det er for lett å lage slike trær for det man allerede vet, og vanskelig å faktisk beskrive scenarier utenfor boksen. Mulig det er fordi at det ukjente er vanskelig å bryte opp og beskrive i detalj. Men unntak av i lærebøkene, har jeg ikke vært borti at noen bruker slike trær aktivt i sin risikohåndtering. Wargaming, som ligner på dette, brukes nok og kan som nevnt være fornuftig når det brukes riktig. "Hva er motstanders mest trolige handlemåte?" "Hva er motstanders farligste handlemåte?" er to spørsmål som kan lede til en god wargaming sesjon.

Artikkelen sier lite om innholdet i selve metoden, og jeg synes at svarene som representantene fra Open Group gir er preget av god gammeldags svada. Enkelte svar får meg imidlertid til å sperre opp øynene.

Baker: Within IT security risk management, one of the real benefits that start from deploying a dependency model in your environment is that it demands that you start by saying, 'What are we trying to achieve? What are our objectives?'
In the case of IT security, then you might adopt confidentiality, availability, and integrity, or some other issues around authentication and so on and so forth. And you will have systems that help you implement that.
Her faller jeg av. Et cyber defence team som stiller seg spørsmålet "Hva vil du oppnå?", og ender opp med å svare konfedensialitet, integritet og tilgjengelighet, er dømt til å feile. Et cyber defence team har som sin eneste oppgave å sørge for mission security, eller på norsk: Operasjonell handlefrihet.

The customer came to us basically saying, 'OK, I've got a 1,000 branches, and I've got 20 odd systems in every branch, and that's a big number. I'm getting red, amber, and green [alerts] from all of them. Every morning I come in and I have about 1,500 reds. All I want to know is, which of these reds are the most red?'
We're working with an organization that already provides that data within medium-sized environments to enable them to use our calculation engine and the open dependency modeling standard to communicate, capture that, and then give a prioritized list of outputs.
Jeg har overhodet ingen tro på at det går an å ha et oppdatert bilde på hvilke avhengigheter (koblet mot "business goals") som er gjeldende til enhver tid og hvordan de skal være prioritert i forhold til hverandre. Hva som er viktig for en virksomhet, kan forandre seg uke for uke, dag for dag. Kanskje enda oftere. En vil garantert sitte igjen med en oversikt som ikke er korrekt, og dermed et beslutningsgrunnlag som er feil.

Intervjuet ender med å love at vi skal få se mer til denne metoden om noen måneder. Jeg venter ikke i spenning.

Ps, har tidligere skrevet om risikohåndtering... Ligger i arkivet.




mandag 1. april 2013

Supply Chain Risk Management


Supply Chain Security eller Supply Chain Risk Management blir stadig oftere nevnt. Det males noen temmelig sorte bilder, der utenlandske myndigheter planter avlytningsenheter eller "kill-switches" i nettverkskomponenter og annet IKT-utstyr som vi handler hos dem. Dette ser vi spesielt i USA, der Kinesiske Huawei og ZTE jevnlig anklages for å muligens ha slike bakdører. Jeg skriver muligens, for meg bekjent har det ikke vært påvist at utstyr fra de produsentene har slike bakdører.

Hvor mye av dette er basert på reelle risiki, og hvor mye er nasjonal industripolitikk?

Når myndighetene, spesielt Forsvaret, gikk for å bruke COTS var dette begrunnet i at det ville spare utviklingskostnader, og det vil gi rask tilgang til ny teknologi. Den teknologiske utviklingstakten har økt dramatisk, så det gir god mening i en strategi der en tar del i andres utvikling, fremfor å skulle utvikle alt selv, eller i allianser med andre (f.eks. NATO).  Sikkerhetsutfordringene ved en slik strategi har vært kjent hele tiden, og etterhvert fikk man Common Criteria standarden for sertifisering av IKT-utstyr. CC har vært anvendt de siste 10 årene, og det har vært stilt krav om CC sertifisering, (EAL seritifisering) for utstyr som skal brukes i Forsvarets systemer. I praksis har dette medført at en gitt produsent sender et lite antall modeller til sertifisering, trolig fordi det er ganske kostbart. (Kostnadene blir jo i noen grad sendt til kundene, men likevel). I tillegg er en sertifiseringspriosess ganske omfattende, så det går også mye tid før et gitt produkt får sin sertifisering. 

Resultatet? Utstyret som er tillatt brukt er eldre, har dårligere funksjonalitet enn de siste produktene som slippes på markedet, og vil etterhvert nå sitt End-of-life tidspunkt og dermed ikke lenger være tilgjengelig for kjøp. Men vent litt. Var ikke poenget med COTS strategien at vi skulle høste av den teknologiske utviklingen? Når vi bruker CC på denne måten, frasier vi oss muligheten til å bruke ny teknologi for å oppnå økt effekt av vår IKT. Dette kan umulig være riktig?

Og det er det heller ikke. Derfor har blant annet NATO gått mer og mer bort fra å kreve EAL-sertifisering av utstyret, men utsteder heller Protection Profiles som er mer generelle, og mer rettet mot produsenten enn mot utstyret. 

Måten vi bruker CC på har altså tatt et steg "tilbake" i forhold til den detaljerte kontrollen av utstyret man hadde lagt opp til. Det passer dårlig for de som er forkjempere for en slik tankegang. 

Velkommen Supply Chain Risk Management. Vi ser de samme argumentene og løsningene som før. Trusselen males opp, standarder etableres og fokuset rettes mot utstyret. 


... bare for å nevne noen.

Vi trenger forsåvidt ikke dra så langt for å høre de samme tankene. Vår egen Nasjonal Sikkerhetsmyndighet har uttrykt at Supply Chain Security har fokus, og at dette er noe de ønsker å lage retningslinjer for. Det kan i så fall bety at vi igjen skal gå i en retning av sertifisering av utstyr, med alle de ulemper det medfører. Om så skjer, betyr det at alle som er underlagt dette sikkerhetsregimet, igjen blir låst til utdatert og mer kostbart IKT utstyr. Dette er ganske dramatisk, ettersom vi heller burde omfavne ny teknologi. 

Er trusselen fra utenlandske myndigheter overdrevet? Er avlytting og kill-switcher bare fantasi? 

Helt sikkert ikke, men om vi lar denne potensielle trusselen gjøre slik at vi fratar oss selv muligheten til å opnå økt effektivitet og produktivitet... Ja da går jo vinningen opp i spinningen. 

Ønskedrømmen om en sikker supply chain bør gis opp, og i stedet finne måter å oppdage og håndtere reell risiko.  Stikkprøver er en mulighet, Cyber Defence team kan spille en rolle når det handler om å oppdage ondsinnet funksjonalitet i nettverksutstyr.  Men bland for all del ikke industripolitikk inn i dette.

(Caveat: Jeg snakker her kun om infosec-delen av Supply Chain Risk Management)

fredag 29. mars 2013

Min master thesis - Using netflows for slow portscan detection

Tenkte det var greit å dele masteroppgaven min her.  Selv om det begynner å bli noen år siden den ble ferdig, så tror jeg at den likevel kan komme til nytte for den som jobber med sikkerhetsovervåking og forsvar mot cyberangrep.

Using netflows for slow portscan detection.

Cyberforsvaret rekrutterer aktivt

Denne måneden har vært en travel måned for Cyberforsvaret, i alle fall når det gjelder rekruttering og mediedekning. Her er en samling artikler:

Første artikkel omhandler angrepet mot Telenor, og ikke Cyberforsvaret direkte. Telenor og Cyberforsvaret samarbeider om kompetanseheving og utveksling av informasjon. Dette er viktig for å oppnå effektiv beskyttelse og bekjempelse av cyberangrep.

Spionerte på Telenor-sjefer, tømte all e-post og datafiler

Digi har kjørt en serie artikler, der de har intervjuet sjef og studenter ved Forsvarets Ingeniørhøgskole. Artiklene presenterer skolen, og et militærteoretisk syn på cyberdomenet og cybervåpen.

Internett er et militært våpen
Du trenger et "sverd"
Vil ha debatt om cybervåpen

En rekke aviser har dekket Cyberforsvarets rekrutteringsaktiviteter på årets The Gathering

http://www.dagbladet.no/2012/09/19/nyheter/cyberforsvaret/forsvaret/sikkerhetspolitikk/krig/23490336/
http://www.dbtv.no/?vid=2258281031001
http://www.aftenposten.no/nyheter/Forsvaret-jakter-datanerder-pa-The-Gathering-7158547.html#.UVVaFatYTK0
http://www.aftenposten.no/digital/5000-datafrelste-har-inntatt-Hamar-7160330.html#.UVVaF6tYTK0
http://www.itavisen.no/914198/forsvaret-jakter-paa-tg-folket
http://www.gd.no/nyheter/article6575826.ece
http://www.gd.no/nyheter/article6540951.ece
http://e24.no/jobb/her-skal-it-bedriftene-finne-unge-genier/20350946?recommend=true

Langfredag og påskeaften vil Cyberforsvaret holde flere foredrag på The Gathering:
http://www.gathering.org/tg13/no/schedule/

torsdag 28. mars 2013

Min vurdering av den nasjonale strategien for informasjonssikkerhet

Jeg får vel begynne med en disclaimer. Denne vurderingen av den nasjonale strategien for informasjonssikkerhet er min, ikke Forsvarets eller Cyberforsvarets. Jeg uttaler meg med andre ord som fagmann, ikke representant for 
min arbeidsgiver. 

http://www.regjeringen.no/upload/FAD/Vedlegg/IKT-politikk/Nasjonal_strategi_infosikkerhet.pdf

Det var på høy tid at vi fikk en nasjonal strategi. Man husker kanskje strategiforslaget som Nasjonal sikkerhetsmyndighet la frem i 2010, og som ble lagt bort etter høringsrunden. Den gang skrev jeg høringsbrevet fra Forsvarets Sikkerhetsavdeling(1), og sammen med en rekke andre høringsinstanser, var vi kritiske til forslaget. 
Strategien som nå er gitt ut er koordinert mellom Justis- og beredskapsdepartementet, Forsvarsdepartementet, Samferdselsdepartementet og Fornyings-, administrasjons- og kirkedepartementet. Såvidt jeg vet er det sistnevnte departement som har ført det i pennen.

Vi har altså fått en strategi, men er det en god strategi? Fokuserer den på de riktige områdene, og har den tilstrekkelige ambisjoner og tydelige målbilder slik at vi faktisk kan få en positiv utvikling?

Innledningen er for alle praktiske formål gjentagelser og stadfesting av et etablert syn på dagens situasjon. Det vises til vår avhengighet til IKT, og jeg savner nok et kikk i krystallkulen. Ja, vi er alle enige om at vi er avhengige av IKT. Men hva om fem år? Ti? Femten? En strategi bør etter mitt syn se lengre frem, så få det heller være at tiltaksplanen har en kortere horisont. Som et minimum kunne man ha sett til regjeringens ambisjoner om digitalisering av kommunikasjon mellom innbyggerne, næringslivet og det offentlige(2).

Sikkerhetsutfordringene og trendene dekker et bredt område, og jeg synes at de områdene som er valgt ut er helt ok. Noe er kanskje overlappende som «Nye tjenesteplattformer og uoversiktelighet» og «Økt kompleksitet». Personlig savner jeg at strategien her tar opp behovet for fremskaffe og dele informasjon om trusselaktørene (etterretninger). Det er en trend blant sikkerhetsselskaper at slik informasjon tilbys, og det burde være et nasjonalt strategisk anliggende å legge bedre til rette for deling av slik informasjon.

Når det gjelder kapitelet om ansvarsdeling, er det som forventet. Det er kjent at sikkerhetsutfordringene i cyberspace utfordrer sektor- og ansvarsprinsippene, men jeg har ikke fanget opp noen reell vilje til å gjøre noe med dette. Jeg tror det er klokt å legge det overordnede ansvaret hos Justis- og beredskapsdepartementet (JD), fordi vi tross alt snakker om handlinger som trolig er kriminelle. Det er vanskelig for meg å se for meg håndtering av cyberhendelser, uten at det i stor grad involverer politiet. Det som imidlertid blir noe uklart er hvilken rolle NSM/NorCERT skal ha. De har per i dag en faglinje til JD, men det er Forsvarsdepartementet som har etatsstyringen. Strategien og tiltaksplanen bør være svært tydelig på hvilken organisering vi skal ha, slik at denne støtter opp under den faktiske ansvarsfordelingen. Å gi overordnede oppgaver til en virksomhet som ikke er gitt det overordnede ansvaret eller som har reell myndighet til å gripe inn virker ufornuftig.
Jeg savner også at strategien beskriver Forsvarets rolle og ansvar ved cyberhendelser som er så alvorlige at de kan true statssikkerheten. Eller som i det minste er i den øvre delen av krisespennet. Årets Crisis Management Exercise og Cyber Coalition øvelser i NATO viste med all tydelighet behovet for deployerbare og stridende cyberenheter. Disse er det bare Forsvaret som har.

Om de overordnede mål og strategiske prioriteringer:

1 Ivareta informasjonssikkerheten på en mer helhetlig og systematisk måte 
Virker fornuftig. En må ha et styringssystem for informasjonssikkerhet. Det er imidlertid helt vesentlig at man velger riktig metode for risikovurderingene. Les hva jeg har skrevet om det tidligere: (3) og (4).

2 Styrke IKT-infrastrukturen
En fare her er at man går i retning av «sikkerhetsgodkjenning» av systemene. Dette vil føre til kraftig økte kostnader, økt tidsbruk i utviklings- og implementeringsfasen som igjen fører til at teknologien i større grad er utdatert når den tas i bruk. Glemte jeg å nevne at systemene heller ikke blir så sikre at cyberangrep blir umulig? Man viser til behovet for redundans, noe jeg heller ikke tror blir mulig fordi kostnadene vil øke. FFI forsker på Resilience, altså motstandsdyktighet, og det er et konsept som jeg tror har mer for seg enn å forsøke å kontruere «sikre» IKT-løsninger. Spesielt om en kombinerer dette med å konstruere forsvarbare IKT-løsninger. Se gjerne mitt whitepaper om arkitekturprinsipper for en forsvarbar infrastruktur her: (5)

3 Sørge for en felles tilnærming til informasjonssikkerhet i statsforvaltningen
Virker fornuftig, men delvis overlappende med første satsningsområde. Igjen er det fokus på å styrke beskyttelsen for IKT-løsningene, og lite om fokus på å fjerne trusselen.

4 Sikre samfunnets evne til å oppdage, varsle og håndtere alvorlige IKT-hendelser
Det største mangelen her er at strategien ikke har som en helt tydelig prioritering at informasjon om truslene, som virksomhetene kunne ha brukt til å beskytte seg selv, skal deles i mye større grad enn det som er tilfellet i dag. Offentlige myndigheter, primært NorCERT men også sektor-CERTene, burde vært pålagt å dele denne informasjonen med både privat næringsliv og øvrige offentlige etater. Vi burde her ha sett til USA som har en slikt lovforslag nå.
Jeg synes forøvrig at punktet er utydelig når det gjelder håndteringsansvar for alvorlige dataangrep, og kriminalitet på internett. Er det virksomheten selv? NorCERT? Politiet? Forsvaret er heller ikke nevnt her, bortsett fra som en sektor på linje med alle andre sektorer. 

5 Sikre samfunnets evne til å forebygge, avdekke og etterforske datakriminalitet
Dette glir sammen med forrige satsningsområde, og det er etter min mening ufornuftig å dele dette i to punkter. En kan bli fristet til å tro at det er gjort for å tekkes eksisterende organisering mer enn en oppdeling basert på reelle forskjeller.

6 Kontinuerlig innsats for bevisstgjøring og kompetanseheving
Virker fornuftig, om enn noe tamt i sin beskrivelse.

7 Høy kvalitet på nasjonal forskning og utvikling innenfor informasjons- og kommunikasjonssikkerhet
Dette er et viktig punkt, og det er synd at en legger seg på et så lavt ambisjonsnivå. Beskrivelsen bruker for mange dempere i språket (bør i stedet for skal). Forskning og utvikling er naturligvis aktiviteter som ser langt frem, og strategien burde etter mitt syn ha lagt til grunn noen ordentlig «hårete» ambisjoner. Hvor skal Norge vært best?

Avslutningsvis: Det er ingen overraskelse at ansvaret for gjennomføring legges til det enkelte departement og virksomhet. Heller ikke at tiltakene skal finansieres innen rammen av de økonomiske tildelingene.

Hovedinntrykket er at det er bra at vi har fått en strategi, men at den egentlig ikke er tydelig nok, eller går langt nok, i målbeskrivelsen. Sånn sett får jeg et inntrykk av at det mest handler om å konsolidere eksisterende strukturer, og at det sånn sett blir spiselig for de fleste. At vi kanskje ikke klarer å ta et sjumilssteg får så være, i det minste sitter alle stille i båten :)



(1) http://www.regjeringen.no/pages/2534053/Cybersikkerhet_svar-med-merknader_Forsvarets-sikkerhetstjeneste.pdf
(2) http://www.aftenposten.no/nyheter/Dropper-papirbrev_-alt-skal-bli-digitalt-6802539.html
(3) https://plus.google.com/111681706588280002123/posts/jSGMB4rAanh
(4) https://plus.google.com/111681706588280002123/posts/VnYBr5u2cvd
(5) https://plus.google.com/111681706588280002123/posts/bzdgbHsS8rN

Trusselorientert tilnærming til cybersikkerhet

http://threatpost.com/en_us/blogs/fbi-moves-identify-more-hackers-102912

Nok en artikkel som beskriver en trussel-orientert tilnærming til cybersikkerhet. 

Det som er interessant er at FBI tydeligvis ikke mener at såkalt attribusjon er så vanskelig at man bør la være. De fleste (teknikere) jeg snakker med bruker ordet attribusjon om det å identifisere personen/gruppen/aktøren som står bak et cyberangrep. De hevder, med rette, at det finnes så mange måter å skjule (den tekniske) opprinnelsen for angrepet. De hevder at det rett og slett er en umulig oppgave å identifisere den som står bak.
En etterforsker er trolig bedre utrustet til å vurdere (analyse/syntese) et større sett med "indikatorer", og vil derfor i større grad tenke at det vil la seg gjøre å identifisere vedkommende. Sånn sett er dette en mer korrekt bruk av begrepet attribusjon: 

The act of attributing or ascribing, as a quality,character, or function, to a thing or person, an effect to a cause. [1913 Webster]

En trussel-orientert tilnærming gjør deg i stand til å samle inn et større antall brikker i puslespillet, og vurdere disse på en strukturert måte. Da er ikke attribusjon bare en teoretisk mulighet, men høyst reelt og nødvendig for å kunne møte trusselaktøren med de mest hensiktsmessige virkemidlene.

Is attack the best defence?

Tidligere publisert på G+ i oktober:

http://letstalk.globalservices.bt.com/en/security/2012/09/is-attack-the-best-form-of-defence/

Denne artikkelen stiller spørsmålet "is attack the best defence"? Selv om artikkelen forsåvidt trekker opp noen interessante momenter, så er dette selvfølgelig feil spørsmål. Riktig spørsmål er "what is the point of defence without attack"?

Formålet med militære operasjoner er jo å påtvinge andre sin vilje. De væpnede styrker har mange forskjellige virkemidler, noen er defensive i sin natur mens andre er offensive. (Defence & Attack for å bruke terminologien fra artikkelen). En militær operasjon vil bruke mange slike virkemidler, satt sammen og synkronisert slik at man oppnår størst mulig effekt. 

Imidlertid har defensive og offensive virkemidler forskjellige grunnleggende egenskaper og begrensninger. Defensive virkemidler har som formål å forberede for og gi handlingsrom til offensive virkemidler. De har en helt åpenbar begrensning: de kan ikke oppnå annet enn å opprettholde status quo. Det er det maksimale vi kan oppnå. Å tenke sikkerhet i det digitale rom, der vi kun bruker defensive virkemidler, vil altså i beste fall sørge for at ingenting forandres. En annen egenskap med defensive virkemidler er at de i sin natur er reaktive. Om vi står overfor en potent motstander vil han til slutt slite ut det digitale forsvaret, fordi han har initiativet og våre ressurser ikke er uttømmende. Løsningen er ikke mer ressurser til defensive virkemidler, vi kan ikke betale oss ut av dette. 

Effektiv Cyber Defence må bruke begge typer virkemidler. Først da er det mulig å påvirke en trusselaktør, og å oppnå et effektivt forsvar mot alvorlige trusler mot våre interesser og virksomheter.

Cybersecurity and cyber war hysteria

Tidligere publisert på G+ oktober 2012:

http://www.crikey.com.au/2012/10/03/can-govts-ever-discuss-cybersecurity-without-going-over-the-top/

Denne artikkelen tiltrakk seg min oppmerksomhet, men dessverre tilfører den lite nytt til debatten. Kort oppsummert: Myndighetene er "dumme" fordi de overdriver cybertrusselen. 

I det korte perspektivet er det vanskelig å vite hvem som sitter med "det sanne bildet". Vi kan alle observere de åpenbare effektene av et cyberangrep, men hva med effektene som ikke er åpenbare? Hva med trusler som ble avverget pga god etterretning og effektivt forsvar mot slike angrep? Er disse åpenbare for blogosfæren? I det lengre perspektivet er det myndighetenes (Forsvarets) oppgave å se lengre frem, og bygge strukturer og kapasiteter som skal brukes dersom fremtidens trusler materialiserer seg. Kan vi virkelig si at en cyberkrig aldri vil bli utkjempet?
Si vis pacem, para bellum - If you want peace, prepare for war.

Det som kanskje er mest skuffende med denne type artikler, er at de sjelden diskuterer hva, om noe, som skiller nettopp cybersecurity og cyber war. Er det virkelig slik at dersom vi fjerner all staffasje, så handler det jo bare om cybersikkerhet? Noen mener dette. Jeg mener at de tar feil, og at grunnen til at man tror at alt egentlig bare er cybersikkerhet er at de fokuserer nesten bare på den tekniske dimensjonen. Hvis en bare ser på det tekniske, så kan jeg forestille meg at det er vanskelig å se forskjell. Man bruker gjerne det samme tekniske utstyret, som brannmurer, tilgangsstyring, overvåkingsutstyr, for å nevne noe. Forskjellene derimot, finner vi i hensikten og hjemmelsgrunnlaget for det en gjør. 

Hensikten med cybersikkerhet er å ivareta konfidensialitet, integritet og tilgjengelighet. Hjemmelsgrunnlaget finner vi i en rekke lover og forskrifter som f.eks. personopplysningsloven, sikkerhetsloven m.fl.
Hensikten med militære cyberoperasjoner er imidlertid å skape eller opprettholde egen handlefrihet i operasjonene. (Cyberoperasjoner er viktige fordi militære operasjoner er helt avhengig av informasjonsteknologi). Hjemmelsgrunnlaget finner vi IKKE i det samme lovverket, men i folkeretten og det lovverket som regulerer den militære aktiviteten. Det betyr at det er helt andre virkemidler, altså det vi bruker teknologien til, enn det vi har for cybersikkerhet. En cyberoperasjon er med andre ord en del av den makt Forsvaret kan utøve, når forutsetningene tillater det.

Så spørsmålet i slike artikler burde jo være: Vil det noen gang være slike forutsetninger? Vil et cyberangrep kunne sidestilles med væpnede angrep, og således utløse bruk av militær makt?

Det korte svaret er ja. Jeg anbefaler å lese "Håndbok i militær folkerett", men vent gjerne til den reviderte utgaven gis ut siden den på en enda bedre måte drøfter "cyber war".

Risko i cyberspace, del 2

Tidligere publisert på G+ i september 2012:

I forrige post argumenterte jeg for at metodene som ofte brukes i riskovurderinger er sterkt mangelfulle, og at de heller bidrar til å forhindre at vi får en oppfatning av den faktiske risikoen. Problemet er i hovedsak knyttet til at man blir tvunget til å angi en sannsynlighetsverdi for noe som enten ikke er stokastisk, eller hvor man rett og slett ikke har data som kan brukes til å angi sannsynlighet. Når det er sagt, det er heller ikke en enkel øvelse å angi konsekvensene av et angrep fordi kompleksiteten i dagens systemer gjør at årsakssammenhenger er vanskelige å se. 
Så hva kan vi gjøre? Her er mine tanker:

1. Det absolutt aller verste er typiske ROS-analyser som tar utgangspunkt i Risiko = Sannsynlighet x Konsekvens. De er ressurskrevende, sier svært sjelden noe som helst nyttig om faktisk risiko, og kan i ytterste konsekvens utarme egne ressurser på sikkerhetstiltak som ikke har noen effekt. 

2. Litt bedre er å erstatte sannsynlighetsvurderingen med en slags mulighetsanalyse. Jeg har sett eksempler på at sårbarhetsvurderingene beholdes as-is, og at man forsøker å modellere trusselen på en strukturert måte. Det betyr at man forsøker å si noe om trusselaktørens evne og vilje til å gjennomføre et angrep. (Jones, Qinetiq). Dette er bedre enn å gjette på et tall mellom 0 og 1, men uten etterretninger om faktiske trusselaktører blir det på en måte redusert til beskrivelser av "erketyper". "Lokale vinningskriminelle: Økonomisk motivert, evne til å forsere enkle fysiske sperretiltak. Ikke kapasitet til avanserte dataangrep. Mer interessert i selve datamaskinen enn informasjonen på den." Dette sier selvfølgelig lite om akkurat DIN virksomhet er spesielt utsatt for slike trusler. Likevel kan en slik fremgangsmåte peke ut noen fokusområder på et overordnet nivå. Hvilke type trusler er mest aktuelle for oss, hvordan bør vi innrette sikkerhetsorganiseringen, beredskapstiltakene osv.

3. Enda bedre er det om en har tilgang til etterretningsopplysninger om trusselaktører som opererer på de arenaene en selv opererer på. Dette skjer i noen grad, for noen typer trusselaktører. Politiet går noen ganger ut med informasjon om personer eller grupper som utgjør en spesiell trussel. Dette er informasjon som en kan bruke til å vurdere risiko. For cyberområdet har en aktører som Norsis, NorCERT, Telenor SOC og andre som bidrar til å produsere et trusselbilde som kan brukes til å vurdere cybertrusselen. I USA har man sett behovet for at etterretningsorganisasjonene må gi informasjon til sivil sektor, nettopp for at de skal bli i stand til å beskytte seg selv. Dette er en type informasjonsutveksling som har mange utfordringer knyttet til seg, men som trolig også har et stort potensiale.

4. Om en ikke har tilgang til gode etterretninger fra andre, så bør en fremskaffe disse selv. Gjennom å overvåke egen infrastruktur kan en både avdekke trender som kan være viktig for den mer overordnede sikkerhetsstyringen, og en kan avdekke og motvirke faktiske angrep. Dagens trusler karakteriseres av at de er fleksible (omgår sikkerhetsmekanismene dine), dynamiske (utvikler sitt repertoir) og uforutsigbare (Les gjerne Talebs "Black Swan"). 

Risikovurderingen bør derfor vurdere om du har kapabiliteter og kapasitet til å motstå den type trusselaktører som er mest relevant for deg. Er du riktig organisert. Har du riktig teknologi og tilgang til riktig informasjon? Har du tilstrekkelig myndighet? Er du tilstrekkelig trent på et bredt spekter av hendelser? Har du riktig kompetanse i teamet? I så fall er du trolig i stand til å oppdage og motvirke et bredt spekter av angrep.
I kjernen ligger det en endring i fokus. Fra forebyggende sikkerhetstiltak basert på statistisk prediksjon, til etterretningsdrevet risikohåndtering i en infrastruktur som er konstruert etter forsvarbare arkitekturprinsipper.

Risiko i cyberspace, del 1

Første gang publisert på G+ i august 2012:

I det siste har avisene gjentatt spørsmålet "Hvordan kunne de ha vurdert risikoen så feil?". Beredskapen, altså evnen til å forutse hva som kunne gå galt, hadde feilet. Det er mulig at ledere og andre har forsømt sine plikter, men jeg vil også hevde at det er noe grunnleggende galt med hvordan vi vurderer risiko. Innenfor mitt fagfelt, cybersikkerhet, ser vi akkurat de samme effektene. På tross av omfattende risikoanalyser, klarer man likevel ikke å beskytte seg mot cyberangrep. På tross av de enorme ressursene vi legger i å konstruere og operere sikre nettverk, blir vi likevel angrepet. Hvorfor er det slik? Spesialistene har jo kunnskap nok, så forklaringen kan ikke ligge der. Min påstand er at det er i selve metoden for risikoanalyse at vi feiler. 

En risikoanalyse skal avdekke risikoen knyttet til et tiltak, aktivitet, system eller situasjon. Hensikten er å skaffe seg et beslutningsgrunnlag, slik at vi kan unngå eller redusere risikoen nok til at vi kan akseptere den. I følge NS 5815 Krav til risikovurderinger, er risiko definert som "et uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse." Og her er vi allerede i kjernen av problemet med risikostyringen. 

For å forstå bakgrunnen for denne tenkningen rundt risikostyring, må vi tilbake til USA og Japan på 1950-tallet der Quality Management virkelig fikk fotfeste. William Edwards Deming, en amerikansk statistiker og professor ved The New York University, forbedret produksjonsprosesser og produksjonskvalitet gjennom blant annet statistiske metoder. Sentralt lå avvikshåndtering, nettop fordi en ikke ønsker avvik i produksjonen, enten det er snakk om biler, lyspærer eller harddisker. Ut fra Quality Management kom det en hel rekke metoder og verktøy som var sterkt medvirkende til å forbedre produksjon over hele verden. Så langt, alt bra.

Da jeg startet min yrkeskarriere som EDB-tekniker i Forsvaret tidlig på 90-tallet, snakket man allerede om risikoanalyser og sikkerhetshendelser i informasjonssystemene. Men den gang var sikkerhetshendelsene i stor grad knyttet til feil på utstyret. En harddisk kunne ryke, en telefonlinje kunne gå ned. Så langt, alt bra. 

Både avvikshåndtering i Quality Management og avvikshåndtering av harddisker som ryker, kan forutsies ved hjelp av statistiske metoder. Risiko = Sannsynlighet X Konsekvens. Hele poenget med å bruke denne "formelen" er at det vi skal angi risiko for har stokastiske egenskaper. Det vil si at det er et element av tilfeldighet som avgjør om harddisken skal ryke eller ikke. Noen husker sikkert at det ble oppgitt MTBF-verdier (Mean Time Between Failure) for enkelte datakomponenter. Så risikostyring i et slikt system er ganske enkelt, takket være Deming og hans kolleger. Om jeg har 1000 harddisker i serverparken min, så kan jeg takket være de statistiske metodene regne ut hvor mange av dem som vil ryke i løpet av et år. Det risikoreduserende tiltaket blir å kjøpe inn nok harddisker slik at de kan byttes ut fortløpende. Alle er fornøyd. 

Problemet er at dette ikke virker i dagens trusselbilde. Det som kanskje i hovedsak karakteriserer dagens cybertrusler er at aktørene blir mer avanserte, mer målrettet, mer dynamiske og mer uforutsigbare. En nasjonalstat som har en etterretningskampanje (duqu, flamer, gauss) angriper ikke tilfeldig. Disse har en omfattende og nøyaktig plan for sine angrep. Hacktivister har neppe like gode planer for sine angrep, men de kompenserer med en tydelig intensjon og identifisering av målet. Det er ikke tilfeldig at an gruppe som er mot hvalfangst angriper Norge fremfor Sveits. Poenget er at målrettede og villede angrep IKKE kan forutsies ved hjelp av statistisk prediksjon. Metodene som vi har benyttet for risikoanalyser så langt, virker ikke i denne nye situasjonen. De er tvert imot skadelige fordi vi blir presentert med et feil beslutningsgrunnlag, og dermed bruker opp ressursene på sikkerhetstiltak som har liten effekt. Vi kan ikke forutse cyberangrep ved hjelp av statistiske metoder, fordi cyberangrepene er ikke stokastiske!!

Risiko = Sannsynlighet X Konsekvens må ut av all undervisning som omhandler cybersikkerhet. 

Mine tanker om hva som bør inn kommer i neste innlegg

Drones

If drones are the future of warfare, the cyberdomain will certainly be the center of gravity.

http://www.wired.com/dangerroom/2013/03/navy-next-killer-drone/

Security awareness training

I agree with Schneiers view on security awareness training. It is hard enough for a security professional to know what browser to use this week, what filetypes to avoid after the latest 0-day or what techniques the adversaries fancy this month. Assuming that a non-professional will keep up to date with this is a mistake.
A more viable strategy would be to have a well trained cyber defence team, constantly adapting the policies and technical security measures to meet the current threat. A rudimentary knowledge, paired with the directive "If you experience something unusual, call this number", could prove sufficient as security awareness training for the non-professional.

The article:
http://www.schneier.com/blog/archives/2013/03/security_awaren_1.html