tag:blogger.com,1999:blog-5274731453069083712024-03-14T04:18:32.929+01:00CybersikkerhetSkriblerier om cybersikkerhet og kanskje litt annet.Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.comBlogger42125tag:blogger.com,1999:blog-527473145306908371.post-45235336430811392282017-02-22T11:31:00.002+01:002017-02-23T19:22:22.791+01:00En digital Geneve-konvensjon?<span style="font-family: "verdana" , sans-serif;">Under åpningen av årets RSA Conference 2017 kom <a href="https://blogs.microsoft.com/on-the-issues/author/bradsmith/" target="_blank">Brad Smith</a>, President og Chief Legal Officer i Microsoft på scenen. Han leverte et sterkt <a href="https://blogs.microsoft.com/on-the-issues/2017/02/14/need-digital-geneva-convention/" target="_blank">argument</a> for at verden nå er moden for en Digital Geneve-konvensjon.</span><br />
<span style="font-family: "verdana" , sans-serif;"><br /></span>
<span style="font-family: "verdana" , sans-serif;">Men; er verden virkelig moden for det, og hvorfor var det nettopp Microsoft som foreslo dette?</span><br />
<span style="font-family: "verdana" , sans-serif;"><br /></span>
<span style="font-family: "verdana" , sans-serif;"><a href="https://no.wikipedia.org/wiki/Gen%C3%A8vekonvensjonene" target="_blank">Geneve-konvensjonene</a> består av fire traktater. Den første, som omhandler <i>Forbedring av </i><span style="background-color: white;"><i>sårede og sykes kår i de væpnede styrker i felten</i>, ble vedtatt helt tilbake i 1864 etter </span><span style="background-color: white;">den brutale krigen mellom Sardinia, Frankrike og Østerrike. De tre andre konvensjonene er </span><i style="background-color: white;">Konvensjonen om forbedring av sårede, syke og skibbrudnes kår i de væpnede styrker til sjøs, </i><i style="background-color: white;">Konvensjonen om behandling av krigsfanger og </i><i style="background-color: white;">Konvensjonen om beskyttelse av sivile i krigstid. </i><span style="background-color: white;">Sistnevte er</span><span style="background-color: white;"> den konvensjonen som er relevant for forslaget fra Microsoft.</span></span><br />
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;"><br /></span></span>
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;">Hensikten med konvensjonene er å sørge for at alle nasjoner som har signert dem, er pålagt å vedta et lovverk som gjør brudd på konvensjonene straffbare. Tanken er altså å komme frem til internasjonalt vedtatte spilleregler for konflikt i det digitale rom. På den måten kan verdenssamfunnet unngå store globale, regionale eller lokale skadevirkninger som følge av angrep på digital infrastruktur.</span></span><br />
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;"><br /></span></span>
<span style="font-family: "verdana" , sans-serif;">Tilbake til forslaget fra Microsoft. De setter opp seks <a href="https://mscorpmedia.azureedge.net/mscorpmedia/2017/02/Digital-Geneva-Convention.jpeg" target="_blank">punkter</a> :</span><br />
<ol>
<li><span style="font-family: "verdana" , sans-serif;">No targeting of tech companies, private sector or critical infrastructure</span></li>
<li><span style="font-family: "verdana" , sans-serif;">Assist private sector efforts to detect, contain, respond to and recover from events</span></li>
<li><span style="font-family: "verdana" , sans-serif;">Report vulnerabilities to vendors rather than to stockpile, sell or exploit them</span></li>
<li><span style="font-family: "verdana" , sans-serif;">Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable</span></li>
<li><span style="font-family: "verdana" , sans-serif;">Commit to nonproliferation activities to cyberweapons</span></li>
<li><span style="font-family: "verdana" , sans-serif;">Limit offensive operations to avoid a mass event</span></li>
</ol>
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;">Det første en kan spørre seg om, er om dette vil kunne fungere i praksis. Vil nasjonalstater virkelig innrette seg etter slike regler? What's in it for them?</span></span><br />
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;"><br /></span></span>
<span style="font-family: "verdana" , sans-serif;"><span style="background-color: white;">Det er en generell enighet om at sikkerhet på internett i hovedsak er et anliggende for privat sektor. Privat sektor eier det aller meste av infrastrukturen, og det er i hovedsak privat sektor som både bruker </span><span style="background-color: white;">og som blir angrepet gjennom </span><span style="background-color: white;">internett. Nasjonale myndigheters rolle er i hovedsak avgrenset til å etterse at privat og offentlig sektor følger de spillereglene som er satt opp. Vil en Digital Geneve-konvensjon endre på dette? Ja, jeg tror det. Hvis nasjonalstatene gjøres mer ansvarlig for sikkerheten i det digitale rom, må vi forvente at de også vil ta en større rolle i sikringen av det. Hva det eventuelt kan bety vet vi ikke enda.</span></span><br />
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;"><br /></span></span>
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;">Et annet spørsmål her er om alle nasjonalstater faktisk ønsker en slik konvensjon. Foreløpig er det enorme forskjeller i nasjonale kapasiteter for krigføring i det digitale rom. Cyberoperasjoner er asymmetriske, billige og de gir effekt. Attribusjon er vanskelig, i alle fall vanskeligere enn ved tradisjonelle operasjoner. De nasjonene som har opparbeidet seg et fortrinn, hvorfor skal de ville gi slipp på det? </span></span><br />
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;"><br /></span></span>
<span style="background-color: white;"><span style="font-family: "verdana" , sans-serif;">Det er heller ikke slik at all sivil infrastruktur i det fysiske rom er beskyttet mot andre nasjoners krigføring. Veier, broer, strømlinjer, toglinjer osv kan være <a href="https://www.usnwc.edu/getattachment/Departments---Colleges/International-Law/Announcements/manual_krigens_folkerett.pdf.aspx" target="_blank">lovlige mål</a>, dersom de direkte understøtter militære operasjoner. Generaladvokat Arne Willy Dahl skriver i sin <i>Håndbok i militær folkerett</i> at operasjoner i <a href="https://www.cappelendamm.no/_h%C3%A5ndbok-i-milit%C3%A6r-folkerett-arne-willy-dahl-9788202268282" target="_blank">digital infrastruktur</a> også kan være lovlige.</span></span><br />
<span style="font-family: "verdana" , sans-serif;"><br /></span>
<span style="font-family: "verdana" , sans-serif;">Poenget er at en Digital Geneve-konvensjon neppe vil kunne helt fjerne risikoen for at nasjonalstater angriper både sivil og militær digital infrastruktur. Men; en slik konvensjon kan trekke opp nye spilleregler som forhåpentligvis kan bidra til å forhindre at slike angrep får større skadevirkninger enn det som er nødvendig.</span><br />
<span style="font-family: "verdana" , sans-serif;"><br /></span>
<span style="font-family: "verdana" , sans-serif;">Et helt annet, og veldig interessant spørsmål er: Hvorfor er det nettopp Microsoft som kommer med dette forslaget? Hvorfor er det ikke en nasjonalstat som har foreslår det?</span><br />
<br />
<div>
<span style="font-family: "verdana" , sans-serif;">At globale IT-selskaper har blitt en betydelig </span><a href="http://blogs.prio.org/2016/02/is-apple-the-new-global-dictator/" style="font-family: Verdana, sans-serif;" target="_blank">maktfaktor</a><span style="font-family: "verdana" , sans-serif;"> er det ingen tvil om. Produktene deres styrer og utvikler hvordan vi lever livene våre, og både vi som enkeltpersoner og </span><a href="https://en.wikipedia.org/wiki/FBI%E2%80%93Apple_encryption_dispute" style="font-family: Verdana, sans-serif;" target="_blank">nasjonalstater</a><span style="font-family: "verdana" , sans-serif;"> må forholde oss til dem nærmest som om de er stater i det digitale rom.</span></div>
<div>
<span style="font-family: "verdana" , sans-serif;"><br /></span></div>
<div>
<span style="font-family: "verdana" , sans-serif;">Microsoft vil nok helst at vi tenker på deres Corporate Social Responsibility, altså at de nå tar ansvar for verdensfreden. I alle fall i det digitale rom. Og det skal vi absolutt tenke på. Vi er avhengige av at de har intensjon om å ivareta våre behov, også det for trygghet.</span></div>
<div>
<span style="font-family: "verdana" , sans-serif;"><br /></span></div>
<div>
<span style="font-family: "verdana" , sans-serif;">Men; til syvende og sist tror jeg at vi ser dette fra Microsoft fordi det er i deres egen interesse å få på plass en Digital Geneve-konvensjon. Cyberkrig og cyberkriminalitet skaper frykt og reduserer tillit, og er derfor en motkraft til den globale digitaliseringen. Det er dårlig nytt for Microsoft, Apple og alle de andre globale IT-gigantene. De er avhengig av et miljø som muliggjør vekst. </span></div>
<div>
<span style="font-family: "verdana" , sans-serif;"><br /></span></div>
<div>
<span style="font-family: "verdana" , sans-serif;">Heldigvis er det sammenfallende med våre egne interesser. Eller? </span></div>
<br />
<br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com1tag:blogger.com,1999:blog-527473145306908371.post-43051301527269125572017-02-06T17:59:00.000+01:002017-02-06T17:59:43.373+01:00DGF eller VDI, er det egentlig spørsmålet?Etter at Lysne II-utvalget la frem sin anbefaling om et Digitalt Grenseforsvar (DGF) har debatten ikke latt vente på seg. Heldigvis.<br />
<br />
Et stort antall etater, virksomheter og privatpersoner har gitt sitt høringssvar, disse kan du lese her: <a href="https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/">https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/</a><br />
<br />
Jeg har selv fått bidratt til høringssvaret fra <a href="https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/?uid=c5d8e769-160b-43da-9bac-8b694d840fa5">NorSIS</a>, og skal ikke kommentere hverken det eller andre høringssvar direkte. Men; I debatten som har fulgt har det kommet frem noen påstander og synspunkter som jeg vil kommentere. Som privatperson selvsagt.<br />
<br />
<i>"DGF skal ikke stanse noen digitale angrep, så det blir feil å kalle det et forsvar. Grenseovervåking er et mer korrekt begrep".</i><br />
<br />
Jeg leser mye mer inn i utvalgets rapport enn tekniske sensorer. Poenget er vel at nasjonen trenger et digitalt forsvar mot fremmed etterretning. Radarkjeden som overvåker luftrommet vårt forhindrer selvsagt ingen fiendtlige fly å fly inn i vårt luftrom. Det er imidlertid en helt nødvendig del av vårt "grenseforsvar". En mer nyttig diskusjon ville være hvilken informasjon sikkerhetsmyndighetene skal få tilgang til, og hvilke kapasiteter Norge skal ha for å "forsvare" seg i det digitale rom.<br />
<br />
<i>"Det er ingen grenser i det digitale rom, bare ulike nettverk som er koblet sammen". </i><br />
<br />
På et tidspunkt passerer kabelen vår landegrense. Etter mitt syn er det vesentlig, for våre beredskapssystemer (Forsvarets beredskapssystem og Sivilt beredskapssystem) muliggjør visse pålegg og "tvangsmidler" i krise og krig. Disse gjelder naturlig nok bare for infrastruktur i Norge. I fredstid kan politiet gjennomføre etterforskning i infrastruktur i Norge. Jeg tror derfor at de digitale gensene er ganske overlappende med de digitale. Med ett viktig unntak. Kritiske samfunnsfunksjoner kan være avhengig av infrastruktur utenfor Norge.<br />
<br />
<i><a href="https://www.digi.no/artikler/kommentar-lysne-utvalget-har-feilet-i-oppgaven-sin-det-finnes-allerede-et-digitalt-grenseforsvar-i-norge/376074">"VDI er et digitalt grenseforsvar nok, vi trenger ikke det Lysne-II foreslår".</a></i><br />
<br />
Helt uenig, av flere grunner. Men først; vi vet ikke i detalj hvilken teknologi eller teknisk tilnærming et DGF kan ha. Å sammenligne det med VDI som er en helt konkret teknisk løsning, blir derfor vanskelig. I tillegg er mange detaljer om VDI's oppbygging sikkerhetsgradert informasjon, slik at vi heller ikke kan diskutere detaljene omkring det.<br />
<br />
En vesentlig ulikhet mellom VDI og DGF er imidlertid de strategiske tilnærmingene. VDI er et "verdiorientert" sensorsystem som plasseres tett mot virksomheten som skal beskyttes. Dette gir mening når du har god kontroll på hva som er viktig å passe på. DGF er på sin side et "trusselorientert" sensorsystem, som plasseres der du tror at angriperen vil passere. Dette gir mening når du har god kontroll på hvor trusselen er, men ikke er helt sikker på hva han kan finne på å angripe.<br />
<br />
Lysne I-utvalget ga oss en god beskrivelse av vårt digitaliserte samfunn, preget av kompleksitet og lange digitale verdikjeder. Med andre ord, viktige samfunnsfunksjoner er bygget opp av mange deler som er spredt geografisk og over ulike sektorer og virksomheter. Det er lett å se at en verdiorientert tilnærming til overvåking blir svært vanskelig å realisere i praksis. Trolig umulig.<br />
<br />
Den eneste fornuftige tilnærmingen er derfor trusselorientert, og selv om et sensorsystem langs grensen ikke vil fange opp ALLE trusler, så er det likevel det beste valget av de to.<br />
<br />
<br />
<br />
<br />
<br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-89833751967675931152015-09-12T20:41:00.000+02:002015-09-12T20:41:29.531+02:00Overvåking og opptak av innholdsdataJeg var til stede da NSM overleverte sitt Sikkerhetsfaglige råd til Forsvarsdepartementet og Justis- og beredskapsdepartementet (1).<br />
<br />
Digi.no (2) viser til at NRK stilte spørsmål ved at NSM ønsket en utvidelse av VDI systemet, et nettverk av sensorer som NSM bruker til å fange opp hendelser i noen av virksomhetene de samarbeider med.<br />
<br />
På direkte spørsmål svarte direktøren i NSM, Kjetil Nilsen, at det ikke var snakk om å ta opp all datatrafikk, men noen ytterst få datapakker knyttet til IDS-signaturen. Problemet er bare det at det som FD skriver i sitt nye lovforslag er noe helt annet (3). Lovforslaget er helt tydelig på at det vil være behov for å ta opp innholdsdata. Det er heller ikke lurt å la være å ta opp innholdsdata dersom man faktisk ønsker å kartlegge omstendighetene rundt en hendelse.<br />
<br />
Det hender ganske ofte at en håndteringsenhet får informasjon om en hendelse som fant sted for noe tid siden. Dette kan for eksempel være at man får vite om en kampanje hvor en trusselaktør har sendt ut såkalte phishing-eposter. I et slikt tilfelle vil vi vite om våre ansatte har vært utsatt for kampanjen. Siden dette er ny informasjon, har vi ikke forberedt noen logger på å fange det opp, så vi må lete i historiske data. Hvis vi ikke på forhånd har bestemt oss for å ta opp all datatrafikk, alle eposter eller i det minste alle epost-headere... ja da finner vi rett og slett ikke ut av det.<br />
<br />
I andre tilfeller kan vår virksomhet være blant de første som oppdager en slik kampanje. Det er ganske vanlig at en slik kampanje består av ulike faser, der trusselaktøren bruker en ganske stor infrastruktur i gjennomføringen av angrepene. Kanskje han kontrollerer en webside som våre ansatte har for vane å besøke. Når de så gjør det, sendes de videre til en annen del av hans infrastruktur hvor selve angrepskoden leveres. Etter at infiltrasjonen er vellykket er det andre kommando- og kontroll servere som styrer innhenting av informasjon eller oppdatering av angrepskoden. Over tid kan mange forskjellige IP-adresser være involvert.<br />
<br />
For å forstå trusselaktørens taktikk og prosedyrer må en nitidig lete gjennom store mengder datatrafikk for å sette sammen et bilde. Det sier seg selv at for å få til dette, må man faktisk ha tilgang til all datatrafikk, inkludert innholdet.<br />
<br />
Jeg regner med at Nilsens svar til NRK var basert på en misforståelse. Det er nemlig en god grunn til at lovforslaget er så tydelig på at opptak av innholdsdata er nødvendig. Imidlertid er det slik at det ikke bare er NSM som har behov for dette. Alle virksomheter som har behov for å beskytte seg i det digitale rom må ha hjemmel til å gjøre det samme.<br />
<br />
Det er vel ingen som tror at NSM skal gjøre dette for alle virksomheter i Norge?<br />
<br />
(1) <a href="https://norsis.no/2015/09/sikkerhetsfaglig-rad/">https://norsis.no/2015/09/sikkerhetsfaglig-rad/</a><br />
(2) <a href="http://www.digi.no/juss_og_samfunn/2015/09/11/foreslar-mer-overvaking-for-a-verne-mot-dataangrep">http://www.digi.no/juss_og_samfunn/2015/09/11/foreslar-mer-overvaking-for-a-verne-mot-dataangrep</a><br />
(3) <a href="https://www.regjeringen.no/no/dokumenter/horing---forslag-til-endringer-i-sikkerhetsloven/id2412260/">https://www.regjeringen.no/no/dokumenter/horing---forslag-til-endringer-i-sikkerhetsloven/id2412260/</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-38712404393023436132015-08-28T20:37:00.000+02:002015-08-28T20:37:00.858+02:00Cthulhus Cthonian ConcoctionDet kan jo ikke BARE handle om cybersikkerhet her :)<br />
<br />
For et år siden bestemte jeg meg for å få en hobby. Voksne folk bør visst ha det, og jeg synes ølbrygging hørtes spennende ut. Siden da har det blitt rundt 20 brygg.<br />
<br />
I desember i fjor bestemte jeg meg for å lage en ordentlig kraftig stout. De fleste har kanskje vært borti Guinness dry irish stout, men ikke alle vet at vi skal tilbake til 1700-tallets London for å finne opphavet. En Porter var en mørk ale som ble svært populær blant byens "bærere", derav navnet "porter". Etterhvert begynte man å lage såkalte "stout porter" (sterk porter), som senere tok navnet <i>stout</i>.<br />
<br />
Et århundre senere ble <i>imperial stout</i>, også kjent som <i>Russian Imperial Stout,</i> født. Historien skal ha det til at dette var en ekstra kraftig stout som ble produsert for eksport til Russlands Catarina II og hennes hoff. Mye alkohol skulle forhindre at øl-tønnene frøs under transporten. Hvor mye av dette som er riktig vet jeg ikke, men det er et spesielt og nydelig øl.<br />
<br />
Tilbake til desember 2014. Jeg fant to oppskrifter som jeg kombinerte. Den ene var en "honning-porter" og den andre en imperial stout med vanilje og bourbon whiskey. Jeg smeltet oppskriftene sammen og kjøpte ingrediensene. Innen da hadde jeg bygget om ute-boden til brygge-bod, og satte i gang.<br />
<br />
... så skar alt seg. Kokeapparatet trakk for mye strøm, så sikringene gikk hele tiden. Lys-armaturet tok kvelden etter en halvtime, og jeg kunne jo ikke bruke vifteovnen jeg hadde gjort klar. Til slutt satt jeg i mørket med boblejakken på, og løp inn for å skru på sikringen hvert annet minutt.<br />
<br />
Resultatet var en stout på litt over 8%. Sort som natten og med en kvalmende whiskey-smak. Nå er det heldigvis slik at kraftige øl skal ha noe tid på seg før de "modnes". Jeg smakte en og annen øl utover våren for å se hvordan smaken utviklet seg, og i mai/juni merket jeg at det begynte å skje noe. Whiskey-smaken la seg pent i bakgrunnen sammen med vaniljen og honningen. Den velkjente lakris/anis-aktige smaken fra stouts kom frem og det hele begynte å bli ordentlig balansert.<br />
<br />
Så balansert at jeg bestemte meg for å melde den på hjemmebrygg-konkurransen på Stavsbrygg 2015 nå i august. Det var 27 påmeldte, så jeg hadde ikke veldig store forhåpninger. Overraskelsen var derfor stor da jeg tok 2. plassen i klassen over 4.75%. Bare så synd at jeg neppe klarer å gjenskape den, med alt det kaoset det ble under bryggingen :)<br />
<br />
Om navnet: En såpass mørk og kraftig øl skal ha et ordentlig navn. Lovecraft skrev om Chtulhu, en relativt ond gud i hans litterære univers. Chtonian betyr underjordisk, concoction betyr brygg. Altså, Chtulhus underjordiske brygg. Et særdeles passende navn.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-BPkLWSDyBUc/VeCpT7nI2SI/AAAAAAAABaI/5VFNz7NvSQE/s1600/99d13f3b1e774cd299c7dc4805167afa.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="172" src="http://4.bp.blogspot.com/-BPkLWSDyBUc/VeCpT7nI2SI/AAAAAAAABaI/5VFNz7NvSQE/s320/99d13f3b1e774cd299c7dc4805167afa.png" width="320" /></a></div>
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-21113586527356625272015-07-01T08:31:00.000+02:002015-07-01T08:31:14.484+02:00Sannsynlighetsberegning - et uungåelig onde?Jeg har tidligere skrevet om risikohåndtering som en del av cybersikkerhet (1,2), og er blant dem som mener at å beregne sannsynlighet for visse typer cyberangrep ikke bare er meningløst, det er direkte farlig.<br />
<div>
<br /></div>
<div>
Jeg fikk dessverre ikke anledning til å overvære FFIs fremleggelse av sin rapport "Tilnærminger til risikoanalyse for tilsiktede uønskede handlinger", men jeg har diskutert dette tema med flere av forskerne ved FFI. Jeg har selv brukt både kvantitative og kvalitative metoder for risikovurderinger, og kjenner godt til hva det innebærer å bruke sannsynlighetsvurderinger i det arbeidet.</div>
<div>
<br /></div>
<div>
Det var derfor med interesse at jeg leste Lillian Røstads (Difi) innlegg om dette på digi.no (3). <span style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">Jeg er imidlertid ikke enig i alt hun skriver, og denne blogposten skal forklare hvorfor. Kort merknad til hvorfor jeg svarer her, og ikke i kommentarfeltet på digi.no: Jeg ønsker å samle denne type argumentasjon på ett sted for fremtidig bruk, samt at jeg kan legge til figurer her.</span></div>
<div>
<br /></div>
<div>
<b>Først til det vi er enige om. </b></div>
<div>
Begrepsbruken innen cybersikkerhet er preget både av at språket vårt er fattig i forhold til engelsk, og at ord or uttrykk ikke har et meningsinnhold som alle er enige om. Et klassisk eksempel er hvordan enkelte blander sammen begrepene trussel og sårbarhet. En skulle tro at så sentrale begreper ble brukt riktig, men det gjøre de ikke. Sannsynlighet er et annet slikt begrep som dessverre blir tillagt ulikt meningsinnhold av ulike mennesker og miljøer. </div>
<div>
<br /></div>
<div>
Matematisk sannsynlighet og statistikk en én type sannsynlighetsberegning som brukes innen cybersikkerhet. Det kan enten være for å angi hvor hyppig en hendelse forekommer, eller hvor stor sannsynlighet det er for at den skal oppstå én gang. Denne type sannsynlighetsberegning er en del av de kvantitative metodene som gjerne også inkluderer beregninger for hvor mange hendelser en kan tåle før kostnadene blir for store, hvor dyre mottiltakene kan være osv. Det var flere presentasjoner på RSA 2015 som viste at disse metodene blir brukt innen finans og forsikringsbransjen. </div>
<div>
<br /></div>
<div>
En annen type sannsynlighetsangivelse er de subjektive. Ekspertene vurderer subjektivt hvor sannsynlig det er at noe skal skje, og tilordner en verdi. Høy sannsynlighet. 75%. Tallverdi 4 (av 5). Fargen Gul. Disse verdiene er ofte basert på ekspertens gut-feeling, og jeg har vanskelig for å tro at de er særlig treffsikre for fremtiden. Dette gjelder spesielt for det FFI sin rapport omhandler, nemlig tilsiktede uønskede handliger. Å bruke fortidens erfaringer til å spå om fremtiden, er en dårlig idé om man skal tro Nassim Nicholas Taleb i sin bok om "low probability, high impact events" (4). Spesielt når det er snakk om målrettede angrep i komplekse adaptive systemer. Og det er det jo. </div>
<div>
<br /></div>
<div>
Vi må rydde opp i begrepsbruken, der er vi helt enige.</div>
<div>
<br /></div>
<div>
<span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">På engelsk skiller man mellom probable (sannsynlig) og likely (trolig/mulig). Selv om det ikke alltid er klokt å innføre nye begreper i et allerede "begrepsforvirret" område, tror jeg at vi ville ha nytte av å skille tydeligere på dette på norsk.</span></div>
<div>
<br /></div>
<div>
En annen ting vi er enige om er at cybersikkerhet ikke må eksistere på "sin egen planet". Hvis cybersikkerhet ikke blir integrert i virksomheten, så feiler de ansvarlige. En virksomhet har mange typer risiki, og risiko i mot den delen av virksomheten som skjer ved hjelp av IKT kan selvfølgelig ikke adskilles fra virksomhetens totale risikostyring. Dette er ekstremt viktig fordi tilsynelatende riktige og viktige cybersikkerhetstiltak kan direkte motvirke virksomhetens behov på andre områder. De fleste som driver profesjonelt med cybersikkerhet vet dette. </div>
<div>
<br /></div>
<div>
<b>... men så blir vi uenige</b></div>
<div>
Når Røstad beskriver risikotrekanten Verdi, Trussel, Sårbarhet, spør hun om ikke det bare er en annen måte å angi sannsynlighet på. Jeg mener at det ikke er det.</div>
<div>
<br /></div>
<div>
Allerede i 2003 innså det fremste informasjonssikkerhetsmiljøet i Forsvaret at den tradisjonelle (kvantitative) metoden for risikoanalyser ikke var egnet for å beskrive den reelle risikoen mot de IKT-løsningene som blir brukt i militære opersjoner. En ROS-analyse med risikokvadranter og det hele var et klassisk eksempel på at subjektive (sannsynlighets) vurderinger ble dyttet inn i en beregningsmodell som var laget for et helt annet formål. Resultatene kunne ikke brukes inn i de øvrige risikovurderingene, og sjefene forsto ikke det som ble forsøkt formidlet. Informasjonssikkerheten levde på sin egen planet.</div>
<div>
<br /></div>
<div>
Da vi startet opp med å vurdere risiko etter den nye metoden, lykkes vi med å formidle risiko til ledelsen slik at de kunne vurdere denne risikoen opp mot øvrige risiki mot sin avdeling og sitt oppdrag. Tiltakene kunne vurderes opp mot den operative konteksten, og han fikk økt sitt handlingsrom ved å kunne velge tiltak som normalt ligger utenfor området "cybersikkerhet". </div>
<div>
<div class="separator" style="clear: both;">
<br /></div>
<div class="separator" style="clear: both;">
<a href="https://lh3.googleusercontent.com/-xqiHE1azb_4/VZJQheEwlwI/AAAAAAAABWU/EHD4ekN45y4/s640/blogger-image-677632474.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" src="http://lh3.googleusercontent.com/-xqiHE1azb_4/VZJQheEwlwI/AAAAAAAABWU/EHD4ekN45y4/s640/blogger-image-677632474.jpg" /></a></div>
<br /></div>
<div>
<br /></div>
<div>
Jeg velger å fremstille risikotrekanten som overlappende sirkler. Den eneste reelle risiko er i skjæringspunktet mellom verdi, trussel og sårbarhet. Hvordan bruker vi denne metoden?</div>
<div>
<br /></div>
<div>
<i>Verdivurdering</i></div>
<div>
En slik risikovurdering begynner alltid med verdivurderingen. Denne gjennomføres sammen med lederen for virksomheten, eller en som har inngående kjennskap til virksomheten. Vi gjennomfører et halvveis strukturert intervju, der vi stiller spørsmål som: Hva er formålet med denne virksomheten? Hva er oppdraget? Hvilke ressurser/enheter har du for å løse oppdraget? Hvem er dine overordnede? Hvilket konsept for ledelse har de overfor deg? Hvilket konsept for ledelse har du overfor dine underlagte enheter? Mot slutten av intervjuet kommer vi inn på spøsmål som: Hvilken informasjon er du avhengig av for å ta beslutninger? Hvilken informasjon er det kritisk av du får formidlet til dine underlagte enheter? Hvilke systemer er bærer/behandler for denne informasjonen? Hva vil skje med opdraget dersom noen slår ut eller manipulerer de mest kritiske IT systemene?</div>
<div>
<br /></div>
<div>
Denne samtalen er viktig av flere grunner. For det første må risikoanalytikeren forstå virksomheten han skal vurdere. Det er ikke nok at han kjenner det tekniske godt, han må også vite hva formålet med virksomheten er og hvilke kortsiktige og langsiktige mål den har. Dette er viktig både for risikofastsettelsen og for å vurdere hvilke tiltak som er hensiktsmessige.</div>
<div>
<br /></div>
<div>
For det andre skaper denne samtalen er felles forståelse for hva som er det mest viktige, og hva konsekvensene kan være dersom noen angriper de kritiske IT systemene.</div>
<div>
<span style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">Samtalen er også grunnlaget for å utarbeide det kritiske informasjonsbehovet i forkant av sårbarhetsvurderingen.</span></div>
<div>
<br /></div>
<div>
<i>Sårbarhetsvurdering</i></div>
<div>
Så langt det er mulig gjør vi tekniske målinger eller penetrasjonstestinger. Generelt vil vi vite om den kritiske IT-løsningen inneholder de komponenter, tjenester og systemer det skal, eller om noen har plassert inn noe som ikke skal være der. Dernest vil vi vite om det som verdivurderingen har fastsatt som kritisk har sårbarheter. I Forsvaret måler man både tradisjonelle sårbarheter i IT løsningene, og muligheten for tap av informasjon gjennom elektromagnetisk stråling.</div>
<div>
<br /></div>
<div>
Et vesentlig poeng med sårbarhetsvurderingen er at det skal være faktiske målinger, ikke antakelser. Jeg har sett risikorapporter som inneholder vurderinger som "... virksomheten er avhengig av sin webserver, og slike er gjerne preget av feil som kan muliggjøre angrep mot serveren". Dette er nærmest verdiløse utsagn. Vi ønsker å vite helt konkret om webserveren har sårbarheter, hvilke det er, hvordan de utnyttes og hva de kan utnyttes til. Om en sårbarhet krever fysisk tilstedeværelse på webserveren, er selvsagt ikke en aktivistgruppe i Iran i stand til å utnytte den selv om de kan være en uttalt motstander av virksomheten.</div>
<div>
<br /></div>
<div>
En del av sårbarhetsvurderingen er hvor enkelt det er å utnytte den. Dette kan også brukes til å vurdere hvilke trusler en skal bry seg om. Dersom utnyttelse av en sårbarhet krever svært dyrt utstyr eller høyt kompetanse og treningsnivå, så kan vi utelukke en del trusler. </div>
<div>
<br /></div>
<div>
<i>Trusselvurdering</i></div>
<div>
Er det slik at dette bare er en annen måte å vurdere sannsynlighet? Nei, absolutt ikke.</div>
<div>
Husk at malware ikke er en trussel. Heartbleed er ikke en trussel. En falsk epost som forsøker å lure deg til å oppgi DnB påloggingsinformasjonen er ikke en trussel.</div>
<div>
<br /></div>
<div>
En trussel er en person, gruppe, organisasjon, virksomhet eller nasjon som har vilje og evne til å angripe eller påvirke deg eller din virksomhet. Vi vil vite hvem denne gruppen er. Hvilke metoder de bruker. Hva deres intensjon er. Hvilke verktøy de bruker. Hva deres handlingsmønster er. Hvordan de vil reagere dersom vi iverksetter mottiltak osv. Dette er ikke noe annet enn det man gjør for annen type etterretningsinnhenting. For Forsvaret betyr det at denne type trusler blir beskrevet og behandlet på akkurat samme måte som øvrige trusler. Noen ganger er det jo faktisk de samme truslene som bruker ulike virkemidler for å oppnå sine mål.</div>
<div>
<br /></div>
<div>
Etterretningskildene kan være mange. I tillegg til det ens egen cyberhåndteringsenhet bygger opp av kunnskap om truslene, finnes det mange andre klilder. I Norge er det mange som får informasjon fra EOS-tjenestene. Flere store virksomheter, i tillegg til Forsvaret, har fokus på egne etterretninger om aktuelle trusler. I <span style="-webkit-text-size-adjust: auto; background-color: rgba(255, 255, 255, 0);">tillegg kan slik informasjon kjøpes fra stadig flere tilbydere av "threat intelligence". Her skal man imidlertid være litt på vakt. Noen ytterst få leverer etterretningsprodukter som kan sammenlignes med vanlig etterretning, men de fleste tilbydere av "threat intelligence" leverer teknisk informasjon om verktøy og metoder som truslene bruker. Det er ikke det samme.</span></div>
<div>
<br /></div>
<div>
Trusselbildet er i kontinuerlig endring. Nye trusler kan oppstå, og eksisterende trusler kan utvikle sine metoder over tid. For håndtering av målrettede angrep vil imidlertid fokus på et oppdatert trusselbilde være til svært stor hjelp når risiko skal fastsettes og til å håndtere hendelser når de skjer.</div>
<div>
En systematisk tilnærming slik f.eks. Andrew Jones (QinetiQ) beskriver kan være til stor hjelp.</div>
<div>
<br /></div>
<div>
<i>Risiko</i></div>
<div>
Risikofastsettelsen skjer når vi vurderer de konkrete sårbarhetene vi har avdekket opp mot det vi vet om truslene, primært for de mest kritiske IT løsningene. Vi er selvsagt ikke naive. En sårbarhet kan enkelte ganger være så alvorlig i seg selv, at den skal håndteres selv om vi ikke er kjent med en trussel som har intensjon og evne til å utnytte den. På samme måte kan vi stå over for en trussel som vi vet har intensjon og evne, men der vi vet for lite om deres metoder. </div>
<div>
<br /></div>
<div>
Denne tilnærmingen fjerner behovet for å gjette og vi snakker samme språk i cybersikkerhet som i virksomheten forøvrig. Trusler og risiko blir vurdert mer helhetlig, og tiltakene kan vurderes i en operativ kontekst. </div>
<div>
<br /></div>
<div>
<b>Risiko ved tilsiktede hendelser</b></div>
<div>
Dette er de målrettede angrepene, de som skjer når virksomheten din står i en konfliktsituasjon med en trussel som har både evne og vilje til å gjennomføre cyberangrep. </div>
<div>
<br /></div>
<div>
Forsvaret har tidligere fortalt om målrettede angrep der trusselaktøren gjennomførte delvis vellykkede angrep. Motstanderne det er snakk om har cybervirkemidler som en liten del av sitt repertoar. Angrepene ble oppdaget gjennom etterretninger, og håndteringen ble gjennomført som en del av den "normale" virksomheten.</div>
<div>
<br /></div>
<div>
For kort tid siden ble et målrettet angrep avverget før det fant sted som en direkte følge av etterretninger. Et hvert forsøk på å skulle kvantifsere en sannsynlighet for de hendelsene i forkant fremstår som en helt meningsløs oppgave. </div>
<div>
<br /></div>
<div>
De samme erfaringene har andre store norske virksomheter gjort. En av dem er Telenor, som gikk ut med informasjon om de hendelsene de var utsatt for i forbindelse med virksomheten i India. Hva skulle den subjektive sannsynligheten for de angrepene vært anslått til? 75% Medium? Rød?</div>
<div>
<br /></div>
<div>
For tilsiktede uønskede hendelser vil tradisjonell risikovurdering basert på subjektive sannsynlighetsberegninger være en katastrofe. De er unøyaktige og villedende og vil enten føre til at trusler blir underkommunisert, eller at de blir overkommunisert og at unødvendige tiltak forhindrer at virksomheten når sine mål. </div>
<div>
<br /></div>
<div>
Avslutningsvis vil jeg medgi at kvantitative metoder og matematiske sannsynligheter kan ha noe for seg i visse sammenhenger. For en gitt malware kan de hende at du har nok empiri til å kunne beregne hvor stor sannsynlighet det er for at du vil bli forsøkt rammet. Om du kjenner spredningsmekansmen trenger du kanskje ikke empiri heller, dersom du kan analysere spredningsmekanismen i forhold til ditt digitale fotavtrykk. Dette gjelder imidlertid kun for hendelser som rammer tilfeldig, ikke for målrettede angrep.</div>
<div>
<div>
<div>
<br /></div>
<div>
(1) <a href="http://norcydef.blogspot.no/2013/03/frste-gang-publisert-pa-g-i-oktober.html" style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">http://norcydef.blogspot.no/2013/03/frste-gang-publisert-pa-g-i-oktober.html</a></div>
<div>
(2) <a href="http://norcydef.blogspot.no/2013/03/tidligere-publisert-pa-g-i-september.html" style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">http://norcydef.blogspot.no/2013/03/tidligere-publisert-pa-g-i-september.html</a></div>
</div>
</div>
<div>
(3) <a href="http://www.digi.no/kommentarer/2015/06/25/riskovurdering-uten-sannsynlighet-gir-ingen-mening" style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">http://www.digi.no/kommentarer/2015/06/25/riskovurdering-uten-sannsynlighet-gir-ingen-mening</a></div>
<div>
(4) <a href="https://en.m.wikipedia.org/wiki/The_Black_Swan_(Taleb_book)" style="font-family: 'Helvetica Neue Light', HelveticaNeue-Light, helvetica, arial, sans-serif;">https://en.m.wikipedia.org/wiki/The_Black_Swan_(Taleb_book)</a></div>
<div>
<br /></div>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com1tag:blogger.com,1999:blog-527473145306908371.post-88996483398828594362015-06-20T23:39:00.003+02:002015-06-20T23:40:25.293+02:00Eye in the skyJeg er en stor fan av Radiolab, og kan ikke anbefale det nok.<br />
<br />
I den siste podcasten forteller de om en overvåkingsteknologi som er brukt både i militære operasjoner og til bekjempelse av kriminalitet. Prinsippene er likevel overførbare til cybersikkerhet, og hvordan teknologien stadig utvider mulighetsrommet. Spørsmålet de stiller seg er: Selv om vi kan gjøre dette, burde vi?<br />
<br />
Det var spesielt to ting i podcasten jeg bet meg merke i.<br />
<br />
For det første viser de at gjennom å gjøre analyser i et helt nettverk av mennesker, steder og bevegelser, så kunne de avsløre hvordan et helt narkotika-kartell var bygget opp, og hvor deres kommandosentral lå plassert. De flyttet fokuset fra å oppklare enkelthendelser, til å forstå hvordan hele det kriminelle nettverket er bygget opp.<br />
<br />
For det andre var de litt betenkt fordi de positive sidene ved overvåking er vanligvis svært konkrete. "Dersom vi samler inn disse dataene, så vil vi kunne avsløre en gitt type kriminalitet". Ulempene derimot, er vage og ubestemmelige. "Vi mister frihet og privatliv". Det er lite konkret, og det taper diskusjonen. Denne diskusjonen er direkte overførbar til overvåking av internettbruk.<br />
<br />
Lytt til episoden her:<br />
<br />
<a href="http://www.radiolab.org/story/eye-sky/">http://www.radiolab.org/story/eye-sky/</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-7884951311498153292015-06-19T10:19:00.000+02:002015-06-20T08:47:55.949+02:00Cyber SituasjonsforståelseVi forstår intuitivt at beslutninger må tas på et riktig og rasjonelt grunnlag. Hva er de viktigste truslene mot virksomheten, og hva skal vi gjøre for å forberede oss? Hva er egentlig omfanget av hendelsen som nettopp har blitt oppdaget, og hvilke tiltak er de riktige å gjennomføre? Hvilke ressurser har vi tilgjengelig? Hvilke langsiktige tiltak må til?<br>
<br>
<i>Hva er egenlig cyber situasjonsforståelse, og hvordan oppnår vi det?</i><br>
<br>
Situasjonsforståelse kan deles inn i tre nivåer:<br>
<br>
1. Å <i>oppfatte</i> at en hendelse har funnet sted i tid og rom.<br>
2. Å <i>forstå</i> hva det betyr at hendelsen har funnet sted<br>
3. Å <i>forutse</i> hva hendelsen vil kunne føre til<br>
<br>
La oss se på et eksempel:<br>
1. Sikkerhetsovervåking avslører at store mengder data sendes fra en av virksomhetens datamaskiner til en IP-adresse i et annet land. Analytikeren <i>oppfatter</i> at dette skjer.<br>
<br>
2. Analysene avslører at dataene er innholdet i en database som brukes av utviklingsavdelingen, og at de sendes til en nasjon der myndighetene er kjent for å bruke cyber-virkemidler for å støtte opp om sin nasjonale industri. Analytikeren <i>forstår</i> hva det er som har skjedd og iverksetter umiddelbart tiltak som forhindrer videre tap av informasjon.<br>
<br>
3. Virksomheten analyserer situasjonen og kommer til at en konkurrent trolig står bak, og at han trolig vil bruke informasjonen til å vinne fremtidige kontraktsforhandlinger. Virksomheten <i>forutser</i> hva hendelsen kan føre til, og kan med bakgrunn i dette gjøre strategiske valg.<br>
<br>
<i>Enkelt? Overhodet ikke!</i><br>
<br>
Det finnes mange forslag til hva et cyber situasjonsbilde skal være. Sjefen/styret ønsker et overordnet bilde, gjerne med noen farger som indikerer om alt er ok. Analytikeren setter gjerne opp sine egne triggere i alle mulige systemer for å raskest mulig fange opp hendelser. Mitt fokus er på ledelsen av enheten som skal håndtere hendelsen. Denne står midt mellom analytikeren og virksomhetens ledelse, og må innhente informasjon fra begge leire.<br>
<br>
<b>Fallgruver</b><br>
Jeg har sette flere forsøk på å etablere løsninger for cyber situasjonsforståelse, og noen av dem har feilet ganske kraftig. En fellesnevner er at man ikke har tatt seg tid til å vurdere hvilken informasjon det er behov for, men brettet opp ermene og laget en eller annen teknisk løsning. For deretter å finne ut at det ikke var noen som trengte det. Noen eksempler:<br>
<br>
1. Dyre SIM/SIEM løsninger. Etter at løsningene er implementert oppdager du at de IKKE kan ta i mot noen logg-kilder som faktisk er helt kritiske. Korreleringen mot sårbarhetsundersøkelsene fungerer dårlig i praksis fordi du ikke klarer å måle systemene ofte nok. Løsningene forteller lite om virksomheten, altså hvilken kontekst hendelsene skal vurderes i. Resultatet er at en ikke vet om en gitt hendelse er alvorlig, og risk-score systemet er nærmest ubrukelig.<br>
<br>
2. Enkle PowerPoint/SharePoint dashboards. Disse ser flotte ut. Kanskje noen i ledelsen så et slikt dashboard et sted, og nå skal det innføres i din virksomhet også. Energien legges i utformingen av dashboardet, og ikke så mye i arbeidet med å innhente og analysere informasjonen som skal presenteres. Resultatet er at det "dør på rot".<br>
<br>
3. Egenutviklede løsninger. Disse er gjerne bedre tilpasset de behovene og systemene som virksomheten har, men med mindre en har en egen utviklingsavdeling er det stor fare for at løsningen ikke blir oppdatert eller holdt ved like.<br>
<br>
<b>The good way to do it</b><br>
I stedet bør man starte med å analysere hvilken informasjon som er nødvendig for å kunne ta gode beslutninger. Hvis en tar seg tid til å løfte blikket og se hvilken informasjon analytikere og ledelse har behov for, ender du kanskje opp med et informasjonsbehov som er annerledes enn det du først trodde.<br>
<br>
<div class="separator" style="clear: both; text-align: center;">
</div>
En slik tilnærming ble presentert på NATO Cooperative Cyber Defence Centre of Excellence i 2014 i et paper<span style="font-size: x-small;">(1)</span> av Dressler, Moody, Bowen og Koepke. Jeg liker spesielt godt at de beskriver hvilke dataklasser som inngår i en helhetlig cyber situasjonsforståelse. De enkelte dataklassene må vurderes med tanke på hvilket informasjonsbehov du har, hvordan informasjonen skal samles inn, analyseres og presenteres.<br>
<br>
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-A4yhxfJQd5o/VYM17AiDKoI/AAAAAAAABTs/sr6ose0muFw/s1600/4d7db0d82a4a4ee60714a974822a8b8a.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="http://3.bp.blogspot.com/-A4yhxfJQd5o/VYM17AiDKoI/AAAAAAAABTs/sr6ose0muFw/s320/4d7db0d82a4a4ee60714a974822a8b8a.png" width="316"></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Dataklassene som inngår i cyber situasjonsforståelse</td></tr>
</tbody></table>
<br>
<i><u>Cyber events</u></i><br>
Dette er alle hendelser som er relevante i analysearbeidet. Det inkluderer naturligvis informasjon fra inntrengningssystemene, men også alle andre logg-kilder som må samles inn for å kunne fastslå et hendelsesforløp.<br>
<br>
<u><i>Key Cyber Terrain</i></u><br>
For å forstå en hendelse, eller for å forstå hvilke mottiltak som er mest hensiktsmessig, må en forstå cyberlandskapet. Store virksomheter kan ha store og komplekse IT-løsninger, spredt utover mange funksjonsområder og geografiske avstander. I en gitt situasjon er imidlertid ikke alle deler av nettverket like viktig. "Key cyber terrain" kan feks være avgrenset til internett-portalen, ordresystemet eller serverne som kjører en spesifikk versjon av operativsystemet. For å forstå hva som er viktig, må dette avklares sammen med den eller de som driver virksomheten.<br>
<br>
<u><i>Ongoing operations</i></u><br>
For store virksomheter, som Forsvaret hvor jeg har min bakgrunn, kan det være flere pågående operasjoner samtidig. Håndteringen av flere samtidige hendelser må koordineres med tanke på tid, rom, ressurser osv. I tillegg må de kunne presenteres samlet for ledelsen.<br>
<br>
<u><i>Cyber readiness</i></u><br>
Hvilke cyberkapasiteter har virksomheten? Hva er status for utstyret? Er treningsnivået tilstrekkelig? Er bemanningen god nok? Er de ute på oppdrag, eller er de disponible? Når en leder hendelseshåndtering, må en vite hvilke ressurser som er tilgjengelig. Å legge planer for ressurser du ikke har er en dårlig idé.<br>
<br>
<u><i>Cyber vulnerabilities</i></u><br>
Hvilke sårbarheter har du i ditt "Key cyber terrain"? Er det oppdatert? Er det minimert? Har du tilstrekkelig konfigurasjonskontroll og en oppdatert oversikt over hvilke sårbarheter som finnes i de mest kritiske delene av ditt cyberlandskap.<br>
<br>
<u><i>Threat Landscape</i></u><br>
Hvilke trusler står virksomheten over for? Hva vet du om truslene? Hvilke intensjoner driver dem til å angripe akkurat din virksomhet? Hvilke teknikker og metoder bruker de? Hvordan kan du oppdage om de har angrepet virksomheten? Hvordan kan du forberede deg på å avskjære angrepene? Har du sårbarheter i ditt key terrain som truslene som er mest relevante for deg kan utnytte? Trusselbildet er dynamisk og i konstant endring. <br>
<br>
Først når du har vurdert disse dataklassene nøye og funnet ut hvor informasjonen oppstår, hvordan du skal samle den inn og vurdere den, først da kan du utvikle en løsning for hvordan den skal presenteres. En til tilnærming vil også skape den nødvendige forankringen både oppover og nedover i organisasjonen, og sørge for at alle forstår hvilken rolle de spiller i etableringen av situasjonsforståelsen.<br>
<br>
<i>Først <u>da</u> kan du si at det er en felles situasjonsforståelse.</i><br>
<br>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-SkLae0lYX-Y/VYOr34Stb-I/AAAAAAAABUE/luiBWtKqA90/s1600/SA.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="256" src="http://3.bp.blogspot.com/-SkLae0lYX-Y/VYOr34Stb-I/AAAAAAAABUE/luiBWtKqA90/s320/SA.jpg" width="320"></a></div>
<br>
<br>
(1) <a href="https://ccdcoe.org/cycon/2014/proceedings/d2r1s7_dresslermoody.pdf">Operational Data Classes for Establishing Situational Awareness in Cyberspace</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-70822707805088857502015-06-17T13:30:00.000+02:002015-06-20T16:56:07.361+02:00Sårbarheter i skalar-frie nettverkNår jeg snakker om cybersikkerhet pleier jeg å nevne de nye sårbarhetene som oppstår i skalar-frie nettverk.<br />
<br />
ARPANET ble konstruert på 60-tallet. Det var et pakke-svitsjet nettverk som blant annet skulle kunne virke etter en krig hvor atomvåpen ble brukt. Pakke-svitsj teknologien kombinert med en topologi basert på maske-nett ga et robust nettverk.<br />
<br />
Det som kjennetegner et slikt nettverk er at nodene i nettverket har et antall forbindelser som er normalfordelte. Det betyr at de fleste noder har et gitt antall forbindelser, og at det er usannsynlig at enkelte noder har fryktelig mange eller fryktelig få forbindelser.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-HGCTWxIkcck/VYFVBKK1nyI/AAAAAAAABS8/0yxOGkRzORg/s1600/Mesh-Topology.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="320" src="http://3.bp.blogspot.com/-HGCTWxIkcck/VYFVBKK1nyI/AAAAAAAABS8/0yxOGkRzORg/s320/Mesh-Topology.jpg" width="288" /></a></div>
<br />
Skalar-frie nettverk er derimot bygget opp på et annet prinsipp. I stedet for at antall forbindelser er normalfordelte, følger distribusjonen en power-law. Det betyr at noen få noder har svært mange forbindelser, mens de aller fleste har svært få forbindelser.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-_yj9hRMbUew/VYFPTXJPLoI/AAAAAAAABSk/4-McZi2P7go/s1600/Figure_3.JPG" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="320" src="http://4.bp.blogspot.com/-_yj9hRMbUew/VYFPTXJPLoI/AAAAAAAABSk/4-McZi2P7go/s320/Figure_3.JPG" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Eksempel på et skalarfritt nett</td></tr>
</tbody></table>
Dersom vi ser på distribusjonen av forbindelser i de to typene nettverk ser vi at de følger helt forskjellige regler. I figuren under ser vi maske-nettet som en tradisjonell bell-kurve, mens det skalar-frie nettet vises som en power-law distribusjon.<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://3.bp.blogspot.com/-Yco5ULHfBHQ/VYFPw942ulI/AAAAAAAABSs/Nc0VILFNdEA/s1600/Complex_network_degree_distribution_of_random_and_scale-free.png" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="208" src="http://3.bp.blogspot.com/-Yco5ULHfBHQ/VYFPw942ulI/AAAAAAAABSs/Nc0VILFNdEA/s320/Complex_network_degree_distribution_of_random_and_scale-free.png" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Distribusjon av maske-nett og skalarfrie nett</td></tr>
</tbody></table>
En avgjørende forskjell på de to typene nett er hvor motstandsdyktige de er for ytre påvirkning. ARPANET var konstruert med tanke på krig. Dersom en motstander klarte å slå ut en node (en kommandoplass eller sambandsstasjon) så vil de resterende nodene likevel klare å kommunisere. Det er jo nettopp dette som er bygget inn i pakkesvitsj-teknologien. Nettverksprotokollen finner en rute gjennom nettet, og sørger for at informasjonen blir levert selv om noen noder tas ut av nettet.<br />
<br />
<i>Et maskenettverk er laget for å motstå målrettede angrep.</i><br />
<br />
Hva med skalar-frie nett?<br />
Disse har visse andre egenskaper. Som nevnt vil enkelte noder ha svært mange forbindelser. Dette er nettets super-noder, og de er svært viktige av flere grunner. For eksempel er de disse som sørge for at det er kort vei mellom to vilkårlige noder i nettverket.<br />
Problemet er at disse super-nodene gjør hele nettet sårbart. Dersom en slår ut super-nodene, vil nettet kunne kollapse totalt. Dette er en ny type sårbarhet som vil kun vil oppstå i slike nett.<br />
<br />
<i>Et skalar-fritt nett er svært sårbart for målrettede angrep, men er svært motstandsdyktig ved tilfeldige angrep.</i><br />
<br />
I filmen under ser vi hvordan et skalar-fritt nett oppfører seg ved tilfeldige angrep. Størrelsen på noden indikerer antallet forbindelser som noden har. En stor node har mange forbindelser, mens en liten node har få. I simuleringen ser vi at noder blir tatt ut av nettverket, og det er tilfeldig hvilke noder som tas ut. Selv om et stort antall noder fjernes, så henger nettet fremdeles sammen og de gjenværende nodene kan fremdeles kommunisere. Det er først når nærmere 4/5 av alle nodene er tatt ut at nettet kollapser.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.blogger.com/video.g?token=AD6v5dyXEZJJBIBVrA0TtIuddlZFlKQcg5N1Fil1gS98Dqh-mQBAtbaLtFo6vE6iLOPwdVeOaZTduC500282kyHG-A' class='b-hbp-video b-uploaded' frameborder='0'></iframe></div>
<br />
Hvordan ser et målrettet angrep ut i det samme nettet? I filmen under ser vi det samme nettet, men i denne simuleringen blir den største noden tatt ut først, deretter den nest største, så den tredje største osv. Vi ser raskt hvilken effekt et målrettet angrep har. Allerede før 1/5 av nodene er tatt ut, har nettet kollapset fullstendig, og de gjenværende nodene kan ikke lengre kommunisere.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<iframe allowfullscreen='allowfullscreen' webkitallowfullscreen='webkitallowfullscreen' mozallowfullscreen='mozallowfullscreen' width='320' height='266' src='https://www.blogger.com/video.g?token=AD6v5dyt8kYVWo_CYpOND4F_MErulAJfg0i21pdmT_F6wCOoPCLBTK2JqsUdGBgENMWSS3vfE7wEB5U3TNkZ_uEOdw' class='b-hbp-video b-uploaded' frameborder='0'></iframe></div>
<br />
Hvordan slike nettverk oppstår ser ut til å være en funksjon av at nettverk vokser seg store og komplekse. Internett har utviklet seg til å bli skalar-fritt, og det inneholder også andre skalar-frie nett som f.eks. web og twitter (Google er en super-node for websider. Stephen Fry er en super-node for twitter). Andre eksempler på slike nett er nettverket av flyplasser/flighter, betalingssystemene som bankene har bygget opp og sosiale nett. Naturen ser ut til å favorisere denne typen nett, for vi finner slike nett også i samspillet mellom proteiner, hvilke dyr som spiser hvilke andre dyr osv.<br />
Årsaken kan være at slike nett er robuste mot tilfeldige feil, og at naturen derfor har en tendens til å skape denne type nett.<br />
<br />
For cybersikkerhet er dette både interessant og viktig. Det åpenbare er at vi må identifisere og beskytte super-nodene. Det høres kanskje enkelt ut, men i store komplekse nett kan det være vanskelig å identifisere hvilke noder dette faktisk er. For en virksomhet, eller for vår nasjonale kritiske infrastruktur for den del, må vi forstå dyamikken i hvordan nettet brukes. Denne kan endre seg over tid, og nye super-noder kan oppstå.<br />
<br />
<i>God situasjonsforståelse er en forutsetning også for dette.</i><br />
<br />
Det som er mindre åpenbart men likevel noe vi blir tvunget til å forholde oss til, er når et skalar-fritt nett påvirker et annet. Jeg brukte Stephen Fry som eksempel på en super-node for twitter. Han har i skrivende stund over 10 millioner følgere. Fra tid til annen nevner han noe han har sett eller lest, og legger ved en link til websiden.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-FGedEAnmthc/VYFY95XZzyI/AAAAAAAABTI/FX8lTVKn3fw/s1600/cdb83ddbe9f0d5977ec6d75efb4c1eee.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="54" src="http://3.bp.blogspot.com/-FGedEAnmthc/VYFY95XZzyI/AAAAAAAABTI/FX8lTVKn3fw/s320/cdb83ddbe9f0d5977ec6d75efb4c1eee.png" width="320" /></a></div>
<br />
Hva skjer når hans twitter-følgere klikker på linken? Nettsidene han har linket til har ved flere anledninger blitt slått ut når flere millioner mennesker besøker siden innenfor en kort tidsperiode.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://4.bp.blogspot.com/-NFwGut0dvLA/VYFZkrTnV5I/AAAAAAAABTQ/UNFqVGAwoVY/s1600/f4621a40e62553f2f813a86304295762.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="98" src="http://4.bp.blogspot.com/-NFwGut0dvLA/VYFZkrTnV5I/AAAAAAAABTQ/UNFqVGAwoVY/s320/f4621a40e62553f2f813a86304295762.png" width="320" /></a></div>
<br />
De som eier disse nettstedene har naturligvis ikke forberedt seg på at den "skalar-frie effekten" fra twitter skulle ramme dem på denne måten.<br />
<br />
Er du forberedt?<br />
<br />
<br />
<a href="http://norcydef.blogspot.no/2013/05/denne-artikkelen-diskuterer-noen-av.html">Komplekse Adaptive Systemer</a><br />
<a href="http://norcydef.blogspot.no/2015/06/cyber-situasjonsforstaelse.html">Cyber Situasjonsforståelse</a><br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-68488202057764198272015-06-14T11:41:00.001+02:002015-06-20T16:58:19.526+02:00Uformelt høringssvar til den nye sikkerhetslovenJeg ser til min store overraskelse at jeg ikke har blitt bedt om å gi et høringssvar til den nye sikkerhetsloven :) Så dette må vel anses å være et uinvitert og høyst uformelt svar.<br />
<br />
Regjeringen har altså sendt ut på høring endringer til sikkerhetsloven (Lov om forebyggende sikkerhetstjeneste). Høringsfristen er satt til 20. august 2015.<br />
<br />
Til min store glede ser jeg at den skal inneholde bestemmelser om sikkerhetsmessig overvåking. Enhver virksomhet som vil beskytte seg mot digitale trusler må ha en eller annen form for overvåking. Det er kun slik at vi kan oppdage om de forebyggende tiltakene virker, og om noen har klart å komme seg forbi sikkerhetstiltakene.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://1.bp.blogspot.com/-00OApbZfBvM/VX1L8aSbxPI/AAAAAAAABPw/pWDDndi83Qg/s1600/13153a54927f0dfce6a8140e29ed4e28.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="260" src="http://1.bp.blogspot.com/-00OApbZfBvM/VX1L8aSbxPI/AAAAAAAABPw/pWDDndi83Qg/s320/13153a54927f0dfce6a8140e29ed4e28.png" width="320" /></a></div>
<br />
<br />
<b>Begreper</b><br />
Det hele begynner litt dårlig idet de blander sammen "trussel" og "våpen". Dette er ikke så vanskelig. En trussel er den person/gruppe/stat som vil deg vondt. Ondsinnet kode er et "våpen", eller "verktøy" om du vil, som de bruker for å oppnå det de vil. Det er forferdelig mye rot med begrepsbruken innenfor dette, så slike tabber bør man ikke gjøre.<br />
<br />
<b>Lovhjemmel</b><br />
Jeg synes at tanken om å lage en lovhjemmel for sikkerhetsmessig overvåking av IKT-systemer er god, men jeg synes det er en dårlig idé at det skal skje i sikkerhetsloven. Sikkerhetsloven omfatter selvfølgelig ikke alle IKT-systemer i norske virksomheter, så en kan jo havne i en situasjon hvor en (liten) andel av en virksomhet sine systemer har en slik lovhjemmel, mens de andre ikke har det. Det kan fort skape en situasjon som gjør det vanskelig for en virksomhet å gjøre dette riktig, dersom et dataangrep spenner flere ulike systemer. For Forsvaret, som jeg kjenner godt, vil det være en utfordring.<br />
<br />
Jeg synes det er interessant å se at de mener at arbeidsgivers kontrolltiltak er en tilstrekkelig lovhjemmel (så lenge det skjer i overenskomst med arbeidsmiljøloven og personopplysningsloven). Andre jurister har nemlig hevdet at arbeidsgivers rett til å kontrollere virksomheten IKKE er en lovhjemmel slik høringsforslaget sier. Det er derimot en sedvanerett. For å skaffe seg nødvendig lovhjemmel har disse andre juristene derfor vurdert at det må inngås en avtale mellom eier av datasystemet og den som bruker det. Med andre ord: Et informert samtykke.<br />
Hvem som har rett vet jeg ikke. Jeg er ikke jurist. Om det er tilstrekkelig med arbeidsgivers rett til å kontrollere sin virksomhet, så blir det i så fall mye enklere for virksomhetene å drive med sikkerhetsmessig overvåking.<br />
<br />
<b>Sikkerhetsovervåking og automatiserte prosesser</b><br />
Men så rakner det litt. Departementet utdyper hva de mener om sikkerhetsmessig overvåking, og skriver<br />
<br />
<blockquote class="tr_bq">
<i>Departementet presiserer at slik overvåking ikke må utføres av personell. Det bør tilstrebes at
overvåkingen skjer ved hjelp av automatiserte prosesser.</i></blockquote>
<br />
Stopp litt og tenk gjennom hvordan sikkerhetsmessig overvåking faktisk skjer.<br />
En har store mengder logg-data fra en enheter og systemer, en har systemer som er laget for overvåkingsformål, og en har analytikere med kunnskap og en verktøykasse.<br />
Når en hendelse "overvåkes" så begynner det gjerne med at en analytiker ser noe og tenker "hmmmm". Så henter han data fra en rekke logg-kilder. Der finner han noe som gjør at han starter en pakkedump av en spesiell type nettverkstrafikk. Analysene av datatrafikken gjør at han henter noen filer fra en klient. Malware analyse gjør at han endrer på pakke-dump filteret for trusselen er ute etter noen helt spesielle filer. Han sjekker flere logger. Reverse-engineerer mer ondsinnet kode. Scanner for sårbarheter i nettet sitt, lager en kode-snutt som ser etter en spesiell fil i nettverkstrafikk og på serverne.<br />
<br />
Dette er et tenkt, men helt realistisk, eksempel. Det som er felles for enhver analyse av sikkerhetshendelser er å finne ut fakta om hva som har skjedd. Skadene skal begrenses, og en vil jo gjerne unngå at dette skjer igjen. Noen ganger har en ansatt brutt betingelsene for bruken av systemet, og han kan være en del av årsaksbildet. Kanskje det må opplæringstiltak til, eller kanskje en disiplinæroppfølging. Dersom det er en kriminell handling utført av noen utenfor virksomheten, bør saken anmeldes til politiet. Alt dette krever at vi vet hva som faktisk har skjedd, og at vi har et informasjonsgrunnlag som er godt nok til å ta beslutninger på.<br />
<br />
<i>Ingen automatiserte prosesser er gode nok!!</i><br />
<br />
Det er en alvorlig svakhet, og en betydelig fare for den enkeltes rettssikkerhet dersom det ikke er mennesker som samler inn og vurderer informasjonen. En automatisert prosess ser som regel kun en liten del av et hendelsesforløp, og jeg kan lett se for meg at en kan trekke feile slutninger på bakgrunn av det. Konsekvensene er at vi ikke egentlig vet hva som har skjedd, eller hvorfor, og at vi ikke klarer å begrense skadene eller forhindre at det skjer igjen. Enda verre er det at de automatiserte prosessene kan komme til å kaste mistanke mot personer som faktisk ikke har gjort noe galt.<br />
<br />
For å sikre den best mulige håndtering av sikkerhetshendelsen, og for å ivareta den enkeltes rettssikkerhet best mulig, bør loven faktisk kreve at overvåking skal skje av personell. Det bør videre stilles krav til kompetanse for personellet og til måten de skal utføre overvåkingen. Departementet beskriver noen slike krav, og det er bra. Hvis de endrer §13a første ledd, og kutter ut <i>"fortrinnsvis ved bruk av automatisert systemovervåking"</i>, så blir det mye bedre.<br />
<br />
<b>Avanserte utholdende trusler?</b><br />
APT, Advanced Persistant Threats (APT) er et begrep som har vært brukt av sikkerhetsindustrien de senere år. Det har blitt en slags fellesbetegnelse på "kriminelle og nasjoner som har noe å fare med", eller trusler som gjennomfører "målrettede angrep". For en nasjons kritiske infrastruktur (som Sikkerhetsloven primært er til for) så er vel alle relevante trusler både avanserte og utholdende. En annen nasjons etterretningstjeneste eller militære styrker vil jo alltid være slik. Det er et unødvendig og forvirrende begrep fordi det finnes så mange ulike forklaringer på hva "APT" er.<br />
<br />
Her er departementets forslag til ny tekst:<br />
<br />
<i>§ 13 a. Sikkerhetsmessig overvåking av godkjente informasjonssystemer <br /><br />Den enkelte virksomhet skal kontinuerlig overvåke godkjente informasjonssystem for sikkerhetstruende hendelser, fortrinnsvis ved bruk av automatisert systemovervåking. Sikkerhetsrelevante hendelser skal registreres. </i><br />
<div>
<i><br />Når informasjon utveksles mellom systemer, på tvers av autorisasjonsskiller, eller til bærbare lagringsmedier, skal informasjonen som utveksles registreres og lagres. </i></div>
<div>
<i><br />Der flere virksomheter er tilknyttet samme informasjonssystem, kan en virksomhet etter avtale med de andre virksomhetene forestå overvåking og registrering i henhold til første og andre ledd på vegne av den ansvarlige virksomhet. </i></div>
<div>
<i><br />Med mindre annet er bestemt, skal informasjon registrert etter første ledd lagres i fem år. <br />Informasjon som nevnt i første og andre ledd skal kun benyttes til formål om å håndtere sikkerhetstruende hendelser. </i></div>
<div>
<i><br />Den enkelte virksomhet skal påse at autoriserte brukere av informasjonssystemer som overvåkes i henhold til denne bestemmelse får informasjon om formålet med behandlingen, om de tiltak som er iverksatt, om informasjonen vil bli utlevert, og eventuelt hvem som er mottaker. </i></div>
<div>
<i>Kongen kan gi nærmere bestemmelser om sikkerhetsmessig overvåking av informasjonssystemer, herunder om hvilke typer data som kan eller skal registreres og lagres, lagringstid for registrerte data, hvem som skal kunne gis tilgang til de lagrede data og hvordan tilgang skal gis.</i><br />
<br />
<br />
Les også hva tidligere sjef Cyberforsvaret, Roar Sundseth, skriver om høringsforslaget:<br />
<a href="http://www.watchcom.no/index.php?v=21b2">http://www.watchcom.no/index.php?v=21b2</a><br />
<br /></div>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-29838610280531665602015-04-29T06:17:00.001+02:002015-06-16T20:20:36.726+02:00Ny US DoD Cyber StrategiDet er 4 år siden US Department of Defence ga ut sin "Strategy for Operating in Cyberspace". Strategien fra 2011 er generelt oppfattet som en relativt vag strategi, og hendelser og avsløringer i årene etter har vist at det lå langt mer under panseret enn det strategien ga inntrykk av.<br />
<br />
23. april 2015 presenterte Ash Carter (Secretary of Defense) en ny strategi som er langt mer eksplisitt enn den forrige. Den både utpeker hvilke nasjoner som er hovedmotstandere i cyberkonfliktene (Russland, Kina, Nord Korea og Iran), hvilke cyberkapabiliteter USA skal ha og hvordan disse skal brukes.<br />
<br />
Det er åpenbart at hele strategien skal bidra til å oppnå et overordnet strategisk mål: <i>Den skal forsterke avskrekking som et utenrikspolitisk virkemiddel.</i><br />
<br />
<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://3.bp.blogspot.com/-nSrslgasgiU/VUBaLq6K6bI/AAAAAAAAA-Y/2pyl8YP8shw/s1600/5cbc687e135c9e59e592b527db4d12a0.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="273" src="http://3.bp.blogspot.com/-nSrslgasgiU/VUBaLq6K6bI/AAAAAAAAA-Y/2pyl8YP8shw/s1600/5cbc687e135c9e59e592b527db4d12a0.png" width="320" /></a></div>
<br />
Hvorfor skal Norge bry seg om at USA har fornyet sin strategi?<br />
<br />
Det er det flere grunner til. For det første er det klokt å vite hvordan våre allierte tenker i sin forsvars og utenrikspolitikk. Men mer nærliggende handler det om at vi ser til USA når vi selv skal utvikle doktriner og kapasiteter. Vår egen Nasjonale strategi for informasjonssikkerhet fra 2012 kan ikke sammenlignes direkte med den amerikanske (Forsvaret er ikke en del av vår strategi), men det er åpenbart at man har sett til den amerikanske strategien da den ble skrevet. Vil vi se en endring i retning av den nye amerikanske strategien når Norge skal revidere sin cyberstrategi?<br />
<br />
Strategien definerer tre hovedaktiviteter innen cybersikkerhet:<br />
<ol>
<li><b>Information sharing and interagency coordination</b><br />Deling av trussel- og sårbarhetsinformasjon står sentralt, men det handler også om å dele kunnskap om "best practice" innen forebygging og håndtering.</li>
<li><b>Build bridges to the private sector</b><br />Internett eies og opereres først og fremst av privat sektor. DoD vil gjennom samarbeid bidra til at privat sektor settes i stand til å beskytte seg selv. Parallellene til våre egne forhold er åpenbare.</li>
<li><b>Building alliances, coalitions and partnerships abroad</b><br />Samarbeid med allierte skal bidra til å motvirke trusler utenfor USA. "Five-eyes" nasjonene er nevnt, men også Midtøsten, Asia-Pacific og Europa.</li>
</ol>
<div>
Strategien definerer tre primære oppdrag:</div>
<div>
<ol>
<li><b>DoD must defend its own networks, systems and information</b></li>
<li><b>DoD must be prepared to defend the United States and its interests against cyberattacks of significant consequence</b></li>
<li><b>If directed by The President or the Secretary of Defence, DoD must be able to provide integrated cyber capabilities to support military operations and contingency plans.</b></li>
</ol>
</div>
<br />
Deretter beskrives en ny "Cyber Mission Force" og det defineres fem strategiske målsettinger:<br />
<br />
<ol>
<li><b>Build and maintain ready forces and capabilities to conduct cyberspace operations</b><br />DoD må ha styrker og personell som er utdannet, trent og utrustet til å kunne utføre cyberoperasjoner.</li>
<li><b>Defend the DoD networks, secure DoD data and mitigate risks to DoD missions</b><br />DoD sine nettverk er for store og komplekse til at alle sårbarheter kan fjernes eller til at alle trusler kan motstås (Høres dette kjent ut?). En skal derfor identifisere, prioritere og forsvare de nettverk og data som er mest kritiske for operasjonene.</li>
<li><b>Be prepared to defend the U.S. homeland and U.S. vital interests from disruptive or destructive cyberattacks of significant consequence</b><br />DoD kan ikke alene beskytte hele USA og alle dets virksomheter og interesser. Det skal derfor satses på å bygge sterke partnerskap med alle aktører som kan bidra til å forsvare nasjonen.</li>
<li><b>Build and maintain viable cyber options and plan to use those options to control conflict escalation and to shape the conflict environment at all stages</b><br />USA skal kunne bruke offensive cyberkapasiteter til å kontrollere eskalering av enhver konflikt. Bruken av kapasitetene skal planlegges og synkroniseres med kinetiske operasjoner av alle typer.</li>
<li><b>Build and maintain robust internationally alliances and partnerships to deter shared threats and increase international security and stability.</b><br />Alle tre overnevnte oppdrag krever et tett samarbeid med allierte, og USA vil utvikle et dypere operativt samarbeid der de ser det som hensiktsmessig.</li>
</ol>
<div>
Mye i strategien krever mer utdypende vurderinger og kommentarer, og det tenker jeg å gjøre. Avslutningsvis noen sitater fra dokumentet:</div>
<blockquote class="tr_bq">
<span style="font-family: Times, Times New Roman, serif;">Attribution is a fundamental part of an effective cyber deterrence strategy as anonymity enables malicious cyber activity by state and non-state groups. On matters of intelligence, attribution, and warning, DoD and the intelligence community have invested significantly in all source collection, analysis, and dissemination capabilities, all of which reduce the anonymity of state and non-state actor activity in cyberspace. Intelligence and attribution capabilities help to unmask an actor’s cyber persona, identify the attack’s point of origin, and determine tactics, techniques, and procedures. Attribution enables the Defense Department or other agencies to conduct response and denial operations against an incoming cyberattack. </span></blockquote>
<blockquote class="tr_bq">
<span style="font-family: Times, Times New Roman, serif;">To operate effectively in cyberspace DoD requires cyber intelligence and warning and shared situational awareness through all phases of a potential operation.</span></blockquote>
<blockquote class="tr_bq">
<span style="font-family: Times, Times New Roman, serif;">As DoD builds its Cyber Mission Force and overall capabilities, DoD assumes that the
deterrence of cyberattacks on U.S. interests will not be achieved through the articulation of
cyber policies alone, but through the totality of U.S. actions, including declaratory policy,
substantial indications and warning capabilities, defensive posture, effective response
procedures, and the overall resiliency of U.S. networks and systems. </span></blockquote>
Linker:<br />
<a href="http://www.defense.gov/home/features/2015/0415_cyber-strategy/Final_2015_DoD_CYBER_STRATEGY_for_web.pdf" target="_blank">The DoD Cyber Strategy (2015)</a><br />
<a href="http://www.defense.gov/news/d20110714cyber.pdf" target="_blank">U.S. Department of Defense Strategy for Operating in Cyberspace (2011)</a><br />
<a href="https://www.regjeringen.no/globalassets/upload/fad/vedlegg/ikt-politikk/nasjonal_strategi_infosikkerhet.pdf" target="_blank">Nasjonal Strategi for Informasjonssikkerhet</a><br />
<br />
<a href="http://norcydef.blogspot.no/2013/03/min-vurdering-av-den-nasjonale.html" target="_blank">Min kommentar til den nasjonale strategien for informasjonssikkerhet</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-31932060340534488352014-05-12T15:59:00.002+02:002015-06-16T20:21:10.228+02:00FDs CyberretningslinjerForsvarsdepartementet ga 1. mars ut sine retningslinjer for informasjonssikkerhet og cyberoperasjoner i forsvarssektoren. Retningslinjene gjelder for FD og undrlagte etater, hvilket vil si Forsvaret, Forsvarsbygg, FFI og NSM.<br />
<br />
Jeg har selv vært involvert i arbeidet med retningslinjene siden våren 2012, og det var store forventninger knyttet til dem fra alle som har deltatt.<br />
<br />
Retningslinjene kan bli bedre på enkelte punkter, men tar også vår sektor noen steg videre. Jeg tenker da på at vi har fått på plass et mer felles begrepsapparat, og at ansvars og oppgavefordelingen er mer avklart.<br />
<br />
For meg er likevel skillet mellom informasjonssikkerhet og cyberoperasjoner det viktigste. Vi er midt i en utvikling der cyber defence/defensive cyberoperasjoner/computer network defence blir forstått i en annen kontekst enn før. Det er fortsatt mange meninger om dette, og det er derfor bra at cyberretningslinjene er tydelige på dette.<br />
<br />
Les hele dokumentet her: <a href="http://regjeringen.no/upload/FD/Dokumenter/FDsretningslinjercyberoperasjoner.pdf" target="_blank">FDs Cyberretningslinjer</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-4816244839159031142014-03-24T08:12:00.001+01:002015-06-16T20:21:48.070+02:00Bad Decisions Made Faster: How Qualitative Security Risk Assessments Are Making Things WorseDerek Brink har skrevet et blogginnlegg for RSA hvor han hevder at kvalitative risikoanalyser fører til dårlige beslutninger.<br />
<div>
<br /></div>
<div>
<br />
<a href="https://blogs.rsa.com/bad-decisions-made-faster-qualitative-security-risk-assessments-making-things-worse/?utm_source=rss&utm_medium=rss&utm_campaign=bad-decisions-made-faster-qualitative-security-risk-assessments-making-things-worse">https://blogs.rsa.com/bad-decisions-made-faster-qualitative-security-risk-assessments-making-things-worse/?utm_source=rss&utm_medium=rss&utm_campaign=bad-decisions-made-faster-qualitative-security-risk-assessments-making-things-worse</a></div>
<div>
<br /></div>
<div>
Argumentet er at man konstruerer risikomatriser (ja, du har sikkert sett disse 5x5 matrisene med grønne, gule og røde felter) som danner grunnlaget for beslutninger. Nivåene for risiko er som regel av typen "lav, medium,høy".</div>
<div>
<br /></div>
<div>
Vi må først se på det sistnevnte. Det finnes flere typer skalaer, og hvilken du bruker, og ikke minst hvordan du bruker de, har stor betydning.</div>
<div>
<br /></div>
<div>
<b>Nominell skala:</b> Dette er en kvalitativ skala som kan brukes til å skille ulike typer forekomster fra hverandre. "Orange, Brun, Sort". En kan ikke si at Orange er mer, mindre, bedre eller dårligere enn brun. De er bare forskjellige. Innen cyber defence kan denne skalaen brukes til å opprette ulike typer/klasser av angrep. "Mail-baserte angrep" og "Web-baserte angrep" for å si det enkelt.</div>
<div>
<br /></div>
<div>
<b>Ordinal skala:</b> Dette er en kvalitativ skala som kan brukes til å ordne forekomster i forhold til hverandre. "Low, medium, high". Low er mindre enn medium, som er mindre enn high. En kan ikke fastsette avstand mellom nivåene (medium kan være dobbelt så mye som low, men high kan være fire ganger så mye som medium). Det betyr at man feks ikke kan beregne standardavvik. Dette er svært viktig å merke seg.</div>
<div>
<br /></div>
<div>
<b>Interval skala:</b> Dette er en kvantitativ skala hvor man kan bruke aritmetiske metoder for analyse og beregning. Celcius temperaturskala er et eksempel på en slik skala. En kan ikke beregne ratio for forekomster i en slik skala. (En risiko med 50 poeng, er ikke nødvendigvis dobbelt så høy som en med 25 poeng)</div>
<div>
<br /></div>
<div>
<b>Ratio skala:</b> Dette er en kvantitativ skala hvor ratio mellom forekomster kan beregnes. En slik skala har et definert nullpunkt, slik at ratio for forekomster kan beregner i forhold til dette. Kelvin temperaturskala er et eksempel på dette.</div>
<div>
<br /></div>
<div>
Brink har jo rett i at en ordinal skala er kvalitativ, men som jeg har skrevet om i denne bloggen tidligere så er ikke problemet skalaen i seg selv, men hvordan den brukes. Når man tvinges til å bruke aritmetiske metoder (verktøy og algoritmer) så blir det som regel slik at man tilordner verdier (poeng) til nivåene i skalaen, slik at man kan gjøre kalkulasjoner. Dette er en grov feil som må unngås for enhver pris. Som jeg har skrevet om tidligere, dette skyldes at metodene fra et helt annet område (quality management) brukes for cyber defence/cybersikkerhet der vi står over for en motstander med intensjon og evne, ikke tilfeldige feil i en produksjonsprosess.</div>
<div>
<br /></div>
<div>
Det er ikke uvanlig å se ordinal skalaen i bruk i ekte kvalitative risikovurderinger, og jeg mener bestemt at det er nyttig å bruke en slik skala der. I slike risikovurderinger faller man ikke for fristelsen til å poengsette nivåene og å dytte dem inn i de meningsløse 5x5 matrisene.</div>
<div>
<br /></div>
<div>
<br /></div>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-13173797138436183772013-11-28T19:47:00.000+01:002015-06-16T20:22:12.297+02:00Ny Nederlandsk CyberstrategiNederland har revidert sin cyberstrategi, og denne er på mange måter alt det vår nasjonale strategi for informasjonssikkerhet <i>ikke</i> er. Den favner mer helhetlig enn vår strategi, er ikke utydelig pga eksisterende strukturer og omfatter både privat næringsliv, sivile myndigheter og militær sektor.<br />
<br />
Det er verdt å merke seg at den på en ganske god måte forsøker å balansere hensynet til både sikkerhet og personvern.<br />
<br />
Les hele strategien her:<br />
<br />
<a href="http://english.nctv.nl/currenttopics/press_releases/2013/new-cyber-security-strategy-strengthens-cooperation-between-government-and-businesses.aspx" target="_blank">New cyber security strategy strengthens cooperation between government and businesses</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com1tag:blogger.com,1999:blog-527473145306908371.post-26941968391737077032013-11-27T20:07:00.000+01:002015-06-16T20:22:37.625+02:00FFI Forum - CybermaktJeg prøver å holde tungen rett i munnen når jeg skriver denne bloggen fordi jeg ikke er ansatt i Cyberforsvaret til å uttale meg på vegne av organinasjonen. Noen ganger kan det være vanskelig å trekke en klar grense for når jeg uttaler meg som fagperson, og når jeg taler arbeidsgivers sak. Dette er en av de gangene.<br />
<br />
Cyberforsvaret har bestillt "Cybermakt-studien" fra FFI, og jeg var sendt til FFI Forum 26 november for å gi Cyberforsvarets kommentarer til FFIs presentasjon av studien. Interessen for FFI Forum var stor denne gangen, med ca 120 påmeldte. I salen var også media, men jeg har ikke sett saken gjengitt i avisene.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-uGdZ9S6ODAQ/UpZCoGrQl_I/AAAAAAAAAac/HpnrA1sJCBY/s1600/Forum_cybermakt_680.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="188" src="http://2.bp.blogspot.com/-uGdZ9S6ODAQ/UpZCoGrQl_I/AAAAAAAAAac/HpnrA1sJCBY/s320/Forum_cybermakt_680.jpg" width="320" /></a></div>
<div style="text-align: center;">
<span style="font-size: xx-small;">(Foto: FFI)</span></div>
<br />
FFI har lagt ut en sak om presentasjonen her:<br />
<br />
<a href="http://www.ffi.no/no/Aktuelle-tema/Sider/Hva-cybermakt-kan-bety.aspx" target="_blank">Hva cybermakt kan bety</a><br />
<br />
Den første Cybermakt-rapporten er gradert, så jeg vil ikke gå inn i detaljene i denne. Det vi fikk presentert fra FFI var en slags oppsummering av hvilke egenskaper cyberdomenet har, og hva dette betyr for militær maktanvendelse i dette domenet. Cyberforsvaret har støttet inneholdet i rapporten, og mener at det er svært viktig med en grundig forskningbase for doktrineutvikling og utvikling av militære kapabiliteter.<br />
Som jeg sa under FFI Forum så tror vi at utviklingen i både cyberdomenet og måten vi tenker rundt militærmakt i domenet vil endre seg. Trolig mer enn vi er i stand til å forutse nå. Det er vanlig å sammenligne cyberdomenets rolle nå, med slik luftdomenets rolle var for 100 år siden. Den gang var det ingen som kunne forutse hvordan luftmakt anno 2013 ville fortone seg. Det er ikke urimelig å mene at f.eks. politiske eller teknologiske endringer kan få betydning for bruk av militærmakt i dette domenet.<br />
<br />
Jeg har lyst til å kommentere noen påstander fra presentasjonen. Under overskriften "Hva er Forsvarets rolle?" ble det hevdet at Forsvaret i liten grad kunne rykke ut for å overta drifts-oppgavene til aktørene som eier og drifter nasjonal kritisk infrastruktur. Dette er selvfølgelig helt riktig, og det er heller ingen som har påstått av Forsvaret kan eller vil gjøre det. I andre land vurderer man "cyber-reservister", personell som i en nasjonal krisesituasjon underlegges militær ledelse, men som fortsetter i den jobben de har. f.eks. som driftsansvarlig eller sikkerhetsekspert i en eier av kritisk infrastruktur. Anders Werp fra Høyre nevnte dette som en mulighet også her, uten at det er tatt noen beslutning på dette.<br />
<br />
FFI satte det på spissen og mente at vi ikke kan sammenligne den bistand som Forsvaret gir på andre områder, med den bistand som Forsvaret kan gi i cyber-kriser. "Et helikopter er et helikopter, og flyr personell eller materiell fra A til B. Cyberkapabiliteter er mer spesialiserte". Om analogien er god eller ikke kan sikkert diskuteres, alle helikoptere kan ikke nødvendigvis brukes til alle formål. Og slik er det jo med cyberkapabiliteter også. Forsvarets kapabiliteter er dimensjonert og tilpasset Forsvarets behov, og de skal primært brukes til å beskytte Forsvarets egne datanettverk og informasjonssystemer mot cyberangrep (vi kaller det helst cyberhendelser.. et angrep er noe langt mer alvorlig i vår terminologi).<br />
<br />
Men; I en nasjonal krise er det mulig for sivile myndigheter å bruke disse kapabilitetene. Kapabilitetene er mobile, og kan brukes over hele landet. Det er åpenbart både tekniske og andre begrensninger for når og hvor de kan settes inn, men det vil i så fall være en vurdering i den situasjonen man er i.<br />
<br />
Såvidt jeg vet er det kun Forsvaret som har slike kapabiliteter i Norge. Vi vet at andre nasjoner ikke har slike kapabiliteter, og NATO har først nylig etablert en tilsvarende evne. Men fungerer det? Her er noen av de erfaringene jeg har gjort meg gjennom de siste ti årene:<br />
<br />
<br />
<ul>
<li>De har vært brukt med stor suksess i Forsvarets egne nettverk i både inn og utland</li>
<li>De har vært brukt med stor suksess i sivile aktørers nettverk under øvelser</li>
<li>Konseptet med mobile kapasiteter ble f.eks. brukt under øvelse Locked Shields 2012, hvor cyber defence laget som vant satte inn medbrakt utstyr som satte dem i stand til å håndtere situasjonen. Dette var utstyr som ble satt inn i et nettverk som var ukjent for dem inntil like før øvelsen startet. </li>
<li>Det krever mye øving og trening for å mestre dette, og trolig også for å forstå muligheter, begrensninger og betydningen av å være i stand til å gjøre dette.</li>
</ul>
<div>
I tillegg til slike cyber defence kapabiliteter, har Forsvaret også (selvfølgelig) kapabiliteter for å etablere, forlenge, forsterke og endre "cyberspace" iht. våre operative behov. </div>
<div>
<br /></div>
<br />
NSM har i sin blogg fokusert på begrensningene for slike kapabiliteter, og det synes jeg er synd ettersom de som koordineringsansvarlig for alvorlige cyberangrep burde ha satt seg mer inn i hvilke muligheter Forsvarets kapabiliteter kan gi. Jeg synes også det er litt rart, siden NSM også har vært med Forsvaret på øvelser både nasjonalt og i NATO, og selv observert disse i bruk.<br />
<br />
NSM sitt blogginnlegg er her:<br />
<a href="http://blogg.nsm.stat.no/archives/4529" target="_blank">Lite sannsynlig med cyberkrig og -terror</a><br />
<br />
I forkant av konferansen ble jeg bedt om å svare på noen spørsmål som kunne komme opp i paneldebatten. Disse ble ikke tatt opp spesifikt, men jeg deler dem gjerne her:<br />
<br />
<div class="p1">
<span class="s1"><b>Hva er den største utfordringen i cyberdomenet?</b></span></div>
<div class="p2">
<span class="s1">Håndteringsevnen for alvorlige og sektorovergripende hendelser. Det er uavklarte spørsmål i grensegangen mellom håndtering av samfunnssikkerhet og statssikkerhet. Hvor alvorlig skal en hendelse være for at Forsvaret skal overta håndteringen, eller støtte sivil sektor i håndteringen? Vi mangler en nasjonal strategi som adresserer dette.</span></div>
<div class="p2">
<span class="s1">Sektorprinsippet vs prinsippet om samhandling. Her har vi ikke kommet spesielt langt.</span></div>
<div class="p1">
<span class="s1"><b><br /></b></span></div>
<div class="p1">
<span class="s1"><b>Hvordan kan og bør Forsvaret bistå cybersikkerheten i det sivile samfunnet under kriser? </b></span></div>
<div class="p2">
<span class="s1">Forsvaret har kapabiliteter som kan settes inn for å støtte sivile myndigheter under kriser. Forutsetter da at det er snakk om normal bistand. Dette kan være cyber defence kapabiliteter hvor vi kan deployere personell og utstyr som kan bistå i håndtering av slike hendelser, eller det kan være andre mobile ressurser som kan brukes til å etablere, tilpasse og utvide cyberdomenet i en slik situasjon.</span></div>
<div class="p2">
<span class="s1">For statssikkerhetstruende hendelser, må Forsvaret være i stand til å overta ledelsen av håndteringen av slike cyberkriser.</span></div>
<div class="p1">
<span class="s1"><b><br /></b></span></div>
<div class="p1">
<span class="s1"><b>Kan Norge alene løse kompetansemangelen rundt cybersikkerhet?</b></span></div>
<div class="p2">
<span class="s1">Vi ser en satsning på forskning innen dette feltet, der flere av de store aktørene for eksempel støtter forskningssenteret på Gjøvik. NORSIS har i mange år gjort en god jobb med å heve den generelle forståelsen, og det er flere utdanningsløp spesifikt for informasjonssikkerhet. I Forsvaret har sin Forsvarets ingeniørhøgskole, som utdanner ingeniører og ledere i hele bredden av defensive cyberoperasjoner. Personell som er utdannet ved FIH er svært ettertraktet i sivil sektor, og styrker en rekke leverandører av sikkerhetstjenester og "CERT-funksjoner" i en rekke virksomheter.</span></div>
<br />
<div class="p2">
<span class="s1">En kan nok hevde at vi ikke utdanner tilstrekkelig til å møte behovene, men en kan samtidig spørre om vi er organisert på den mest hensiktsmessige måten. Å etablere en enhet som har evne til å håndtere alvorlige cyberangrep mot virksomheten er svært ressurskrevende. Dersom alle virksomheter skal ha sine egne håndteringsenheter, er vi ikke i nærheten av å utdanne nok personell av denne typen.</span></div>
<div class="p2">
<span class="s1"><br /></span></div>
<div class="p2">
<span class="s1">Avslutningsvis vil jeg si at Anders Werp nevnte at regjeringen har som intensjon å styrke justissektoren med tanke på å kunne håndtere alvorlige cyberangrep/kriminalitet. For meg virker det fornuftig, og det er i så fall en videreføring av det som ble påbegynt i den nasjonale strategien for informasjonssikkerhet som vi fikk for et år siden. Les mine kommentarer fra den gang her:</span></div>
<div class="p2">
<span class="s1"><a href="http://norcydef.blogspot.no/2013/03/min-vurdering-av-den-nasjonale.html" target="_blank">Nasjonal strategi for informasjonssikkerhet</a></span></div>
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com5tag:blogger.com,1999:blog-527473145306908371.post-80351707626295610452013-05-14T09:07:00.001+02:002015-06-16T20:22:59.522+02:003 Big Mistakes In Incident ResponseI denne artikkelen presenteres det tre av de største feilene en kan gjøre når man håndterer cyberangrep.<br />
<br />
<a href="http://www.darkreading.com/management/3-big-mistakes-in-incident-response/240154817/" target="_blank">http://www.darkreading.com/management/3-big-mistakes-in-incident-response/240154817/</a><br />
<br />
Synes artikkelen i utgangspunktet er god. Hovedtema er at manglende SA (Situational Awareness) fører til feil beslutning. Det er imidlertid ikke alt jeg er enig i:<br />
<br />
<b style="background-color: rgba(255, 255, 255, 0);">1. ASSuming It's An APT.</b><br />
Budskapet er at selv om "it walks like a duck, its not a duck". Det er jo åpenbart mulig at "vanlige kriminelle" etterligner TTP'ene til etterretningsorganisasjoner og andre offensive cyberkapabiliteter, men er det grunn god nok til å la være å undersøke om en hendelse kan være utført av sistnevnte aktører?<br />
Selvfølgelig ikke. Jeg mener at det tradisjonelle måten å tenke eskalering, ikke fungerer i en Cyber Defence organisasjon. Hendelseshåndtering som skjer i driftsorganisasjoner kan være organisert slik at den som trenger hjelp først kommer i kontakt med helpdesk. Denne kan være bemannet med personell som har mindre utdanning og erfaring enn det som kreves for å løse mer komplekse problemer. Hvorfor? Jo fordi at de aller fleste hendelsene kan løses med en "mekanisk" tilnærming til problemløsning. Det er derfor de utstyrt med flytskjema for problemløsning, og det er derfor du må snakke med noen andre hvis flytskjema ikke løser problemet. Eskalering funker for disse problemene.<br />
<br />
For en Cyber Defence analytiker derimot, er det behov for at eksperten er i fremste rekke. Det krever mye kunnskap og mye erfaring for å kunne avgjøre om et stykke data/informasjon er relevant eller ikke. Jeg er blitt fortalt at akuttmottaket på sykehuset fungerer på samme måte. Det er eksperten som undersøker deg først. Det er vesentlig å finne ut om du bare har brukket armen i den bilulykken, eller om du også har en langt mer alvorlig hodeskade som skal behandles først.<br />
<br />
Derfor skal Cyber Defence analytikeren undersøke saken først, og hver sak må behandles som om det er en avansert motstander en står over for.<br />
<br />
<b style="background-color: rgba(255, 255, 255, 0);">2. Not Monitoring Traffic.</b><br />
<span style="background-color: rgba(255, 255, 255, 0);">Sikkerhetsovervåking bygger SA. Det er ingen vei utenom. Vil du vite hva som skjer i nettverkene dine, så må du overvåke dem. Uten overvåking har du ingen evne til å håndtere hendelser. Er forøvrig helt enig i hva artikkelen skriver om Netflow analyse. Om jeg måtte velge kun ett verktøy for overvåking, ville det vært Netflow-analyse.</span><br />
<span style="background-color: rgba(255, 255, 255, 0);"><br /></span>
<b style="background-color: rgba(255, 255, 255, 0);">3. Focusing Only On The Malware. </b><br />
<span style="background-color: rgba(255, 255, 255, 0);">Selv om jeg er enig i at en ikke bør fokusere på malware alene, synes jeg artikkelen bommer med begrunnelsen. Malware-analyse kan være et viktig bidrag til å avdekke motstanders intensjon, kapabilitet og kapasitet. Det kan bidra til å avdekke hvilken informasjon som er kompromittert eller ødelagt, og hvilken som ikke er det. Å si at malware-analyse ikke kan gi deg "root cause" er direkte feil.</span><br />
<span style="background-color: rgba(255, 255, 255, 0);"><br /></span>
Til slutt en påstand fra artikkelen som jeg ikke kan la passere:<br />
<br />
<blockquote class="tr_bq">
<span style="background-color: rgba(255, 255, 255, 0);"><i>But identifying the attacker is not straightforward in cyberattacks, and incident response isn't about ID'ing the individual attackers, anyway, Cylance's Shook says.</i></span></blockquote>
Dette utsagnet plasserer "incident response" nærmere tradisjonell informasjonssystemsikkerhet, enn slik jeg tenker rundt cyber defence. For sistnevnte handler det åpenbart om å forsøke å identifisere hvem motstanderen er, hva han vil, hvilke kapabiliteter og kapasiteter han har. Det er blant annet her at Cyber Defence skiller seg ut fra informasjonssystemsikkerhet.<br />
<br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-88446552537526561502013-05-02T21:25:00.000+02:002015-06-16T20:25:10.696+02:00Komplekse adaptive systemerDenne artikkelen diskuterer noen av problemene med komplekse adaptive systemer.<br />
<br />
<a href="http://www.sciencedaily.com/releases/2013/05/130501131943.htm" target="_blank">http://www.sciencedaily.com/releases/2013/05/130501131943.htm</a><br />
<br />
Et av karakteristikaene ved slike systemer (skalarfrie nettverk) er at de en motstandsdyktige mot tilfeldige angrep, men sårbare mot målrettede angrep. Det globale internettet er et slike system.<br />
<br />
I artikkelen foreslås det noen tiltak, blant annet å redusere størrelsen og konnektiviteten i slike nettverk. Det har jeg liten tro på, for det er jo nettopp "emergent properties" i slike netverk som gir effekt. Da er både størrelsen og effektiviteten vesentlige faktorer.Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-31195660460757020172013-05-02T14:24:00.001+02:002015-06-17T08:50:50.734+02:00Adaptive defence?Dennne artikkelen introduserer (?) begrepet adaptive defence.<br />
<br />
<a href="http://securityblog.verizonbusiness.com/2013/05/01/adaptive-defense/" target="_blank">http://securityblog.verizonbusiness.com/2013/05/01/adaptive-defense/</a><br />
<br />
Nå er jo ikke begrepene "active defence" eller "active response" nye. Det er heller ikke diskusjonene som følger når dette diskuteres. Fra et IKT-sikkerhetsperspektiv, har man gjerne sett på dette som en ren teknisk respons, altså når en IDS dropper pakker eller lager brannmurregler for det den måtte oppdage. Fra et cyber defence perspektiv, handler det oftere om grensene mellom det defensive (CND) og det offensive (CNA og CNE).<br />
<br />
Artikkelen beskriver en tilnærming som ligger mye nærmere slik vi forstår active defence i en militær kontekst, altså både det som handler om å møte en konkret trussel med de riktige forsvarsmekanismene, men også det som handler om å påvirke trusselaktøren, dog med defensive midler (villedning, redirigering, utarming av ressurser osv).<br />
<br />
Jeg synes det er positivt at denne type konsepter blir mer vanlig, også i sivil sektor. At stadig flere tilbyr "cyberetterretinger" vil gjøre denne tilnærmingen enda mer effektiv.Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-55536121836204874842013-04-23T08:44:00.001+02:002013-04-24T08:52:12.831+02:00No "One size fits all"Verizons rapport har flere interessante funn. Her er en oppsummering fra Darkreading:<br />
<br />
<a href="http://www.darkreading.com/attacks-breaches/no-one-size-fits-all-in-data-breaches-ne/240153379" target="_blank">http://www.darkreading.com/attacks-breaches/no-one-size-fits-all-in-data-breaches-ne/240153379</a><br />
<br />
Det virker kanskje logisk at en "One size fits all" tankegang ikke vil fungere i praksis. Det er naturligvis forskjell på Statoil og en liten virksomhet med fem ansatte. Men hvordan står det egentlig til i realiteten? Selv om mange (større) virksomheter har solide strategier for sitt sikkerhetsarbeide og egne responsteams, er det langt flere som ikke har det. Hvem er det som ivaretar deres sikkerhetsbehov? Jeg antar at dette i stor grad blir overlatt til leverandøren av IT-tjenestene. Kan de tilby en skreddersydd pakke til hver kunde? Neppe. "One size fits all".<br />
<br />
Det er også interessant at hele 60% av alle angrep rammer små virksomheter. I Norge har vi ca 500.000 små og mellomstore bedrifter. 400.000 har mindre enn 10 ansatte. Under Cyberkonferansen hørte vi Beitland i Næringslivets sikkerhetsorganisasjon fortelle om utfordringene denne delen av norsk næringsliv står over for. Kjetil Nilsen i NSM innrømmet at de ikke har klart å finne samarbeidsformer som ivaretar disse virksomhetene, og Tore Orderløkken i NorSIS fortalte at trusselaktørene nå rammer større virksomheter gjennom nettopp disse små virksomhetene. Hvorfor? Fordi de ikke evner å håndtere egen risiko, og ingen andre gjør det for dem heller.<br />
<br />
Verizon sine funn viser også at 92% av angrepene kom fra utsiden. Dette er faktisk høyere enn det de rapporterte i 2010 (hvor ca 80% kom fra utsiden). Det er på tide av myten om at de fleste angrep kommer fra innsiden blir avlivet!<br />
<br />
Rapporten sier videre at det tar lang tid før cyberangrep blir oppdaget, og at en stor andel faktisk ikke finner dette ut selv, men får det rapportert fra andre. Dette er kanskje ikke så overraskende, for tradisjonell forebyggende sikkerhet (og compliance-basert sikkerhet) har lite forkus på overvåking, deteksjon og analyse. For å redusere tiden det tar fra angrep til deteksjon, må det bygges opp solide team som har dette som primæroppgave.<br />
<br />
Med tanke på at BYOD har blitt forklart som det neste store risikoelementet, var det kanskje overraskende at rapporten ikke har funnet at mobile enheter har spilt en vesentlig rolle. Det er jo noe å tenke på.<br />
<br />
Rapporten finner du her:<br />
<br />
<a href="http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf" target="_blank">http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2013_en_xg.pdf</a><br />
<br />
2012 rapporten:<br />
<a href="http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf" target="_blank">http://www.verizonenterprise.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf</a><br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-71553729467538905012013-04-21T10:00:00.002+02:002015-06-18T22:10:24.352+02:00Cyberkonferansen 201318 april arrangerte Cyberforsvaret, i samarbeid med Atlanterhavskomiteen, Cyberkonferansen 2013 i Gamle Logen i Oslo. Det var annonsert en spennende agenda, med gode foredragsholdere fra USA, UK og Norge. Det var ca 250 tilhørere i salen.<br />
<br />
<br />
<table align="center" cellpadding="0" cellspacing="0" class="tr-caption-container" style="margin-left: auto; margin-right: auto; text-align: center;"><tbody>
<tr><td style="text-align: center;"><a href="http://4.bp.blogspot.com/-j6jKTXH13bM/UXPlCGitLhI/AAAAAAAAAXE/OOy6gQsHk9s/s1600/Intro1.jpg" imageanchor="1" style="margin-left: auto; margin-right: auto;"><img border="0" height="240" src="http://4.bp.blogspot.com/-j6jKTXH13bM/UXPlCGitLhI/AAAAAAAAAXE/OOy6gQsHk9s/s1600/Intro1.jpg" width="320" /></a></td></tr>
<tr><td class="tr-caption" style="text-align: center;">Generalmajor Roar Sundseth og statssekretær Eirik Thorshaug</td></tr>
</tbody></table>
<br />
Ved konferansens start, ble det annonsert at Richard Clark ikke kunne stille, pga bombeepisoden i Boston og giftbrevene som var sendt til myndighetspersoner i USA. Som erstatning for Clark, fikk vi et foredrag av Tangen Nilsen i Telenor.<br />
<br />
Her er en kort beskrivelse av foredragene.<br />
<br />
<b>Åpning av Eirik Thorshaug, FD.</b><br />
<a href="http://www.regjeringen.no/nb/dep/fd/aktuelt/taler_artikler/politisk_ledelse/taler-og-artikler-av-statssekretar-eirik/2013/opening-remarks-cyber-conference-2013.html?id=723124" target="_blank">http://www.regjeringen.no/nb/dep/fd/aktuelt/taler_artikler/politisk_ledelse/taler-og-artikler-av-statssekretar-eirik/2013/opening-remarks-cyber-conference-2013.html?id=723124</a><br />
<br />
Thorshaug holdt et godt innlegg der han blant annet presiserte at vi må bli bedre til å beskytte oss mot, oppdage og forsvare oss mot en økende cybertrussel. Forsvaret må kunne støtte sivile myndigheter dersom det er behov for det. Han presiserte også at det norske synet er at vi ikke trenger særlover for cyberdomenet.<br />
<blockquote class="tr_bq">
<i>Folkeretten gjelder også i cyberspace</i>.</blockquote>
<br />
<b>How will the developments in cyberspace shape the nature of future defense operations - Mr David Ferbrache, MOD UK.</b><br />
<div>
Ferbrache ga oss et godt innblikk i hvordan UK tenker rundt en helhetlig tilnærming til utfordringene i cyberdomenet. Han gjorde det klart at cyberangrep nå er en del av samtlige sikkerhetspolitiske kriser og konflikter, og brukte konfilkten i Georgia som et eksempel på dette. Ferbrache fortalte at en stadig større del av en nasjons økonomiske vekst og velstand, kommer som en direkte følge av cyberdomenet. Av det følger det at cyberdomenet blir en stadig viktigere nasjonal interesse, og at disse må beskyttes. Stadig flere nasjoner er åpne om sine offensive cyberkapabiliteter, og en ser på cybermakt på lik linje med all annen maktbruk.</div>
<div>
Han viste til at de observerer en økning i cyberangrep mot energisektoren, og at dette er bekymringsfullt fordi det trolig ikke er vanlige kriminelle grupper som står bak.</div>
<div>
<br /></div>
<b>Cyber operations - a gamechanger or supporting activity? - Tidligere forsvarssjef General Sverre Diesen</b><br />
<div>
<div>
<a href="https://www.dropbox.com/s/zofzurrqg8akco1/Sverre%20Diesen.pptx" target="_blank">https://www.dropbox.com/s/zofzurrqg8akco1/Sverre%20Diesen.pptx</a></div>
<div>
<b><br /></b></div>
<div>
Diesen er nå en del av et forskerteam som arbeider med en studie i cybermakt, et arbeide som er bestillt av Cyberforsvaret. Foredraget til Diesen var basert på blant annet dette arbeidet. Han redegjorde for noen av likhetene og forskjellene mellom cyberdomenet og de øvrige domenene (land, sjø, luft). Vi fikk et innblikk i noen av dilemmaene som kan oppstå når militærteori møter cyberspace. Feks, hva med ikke-stridende som deltar med cyberangrep i en konflikt? Vil en nasjon alltid ønske å skjule sine spor? </div>
<div>
Diesen konkluderer med at cybermakt har sin plass sammen med tradisjonelle militære maktmidler, men trolig ikke som et virkemiddel som brukes alene.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-dPgmSU9Qlt0/UXPlKRZRNII/AAAAAAAAAXQ/4Fbt1vnHo2s/s1600/Diesen1.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="180" src="http://2.bp.blogspot.com/-dPgmSU9Qlt0/UXPlKRZRNII/AAAAAAAAAXQ/4Fbt1vnHo2s/s1600/Diesen1.jpg" width="320" /></a></div>
<br />
<div class="separator" style="clear: both; text-align: center;">
</div>
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-zjL-dDO6Hpg/UXPlKdefW8I/AAAAAAAAAXM/MfLnKbGi1qw/s1600/Diesen3.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="260" src="http://2.bp.blogspot.com/-zjL-dDO6Hpg/UXPlKdefW8I/AAAAAAAAAXM/MfLnKbGi1qw/s1600/Diesen3.jpg" width="320" /></a></div>
<br />
<div>
<b><br /></b></div>
</div>
</div>
<div>
<b>Kan cybermakt brukes til å påvirke andre stater? - Hans-Inge Langø, NUPI</b></div>
<div>
<a href="https://www.dropbox.com/s/yzyyg7yp9ivekul/Lang%C3%B5%20.ppt" target="_blank">https://www.dropbox.com/s/yzyyg7yp9ivekul/Lang%C3%B5%20.ppt</a></div>
<div>
<br /></div>
<div>
Langø presenterte en ny måte å se på hvordan en kan dele inn "grupperingene" innen cybermakt-feltet. Traditionalists, Revolutionists og Environmentalists. </div>
<blockquote class="tr_bq">
<i>Revolutionists argue the potential of cyber power… Traditionalists demand proof.</i></blockquote>
Personlig synes jeg at Langø sitt innlegg var det som presenterte nye idéer og ny innsikt. Etter å ha hørt foredraget, innså jeg for eksempel at Ferbrache trolig er en Environmentalist, mens Diesen trolig er en Traditionalist.<br />
<div>
Langø delte Diesens syn om at cybermakt alene har et begrenset potensiale.</div>
<div>
<br /></div>
<b>Obligation to share …when the spies hit us - Hanne Tangen Nilsen, CSO Telenor</b><br />
<div>
<a href="https://www.dropbox.com/s/q301pfzjplxsd97/Telenor.pdf" target="_blank">https://www.dropbox.com/s/q301pfzjplxsd97/Telenor.pdf</a></div>
<div>
<b><br /></b></div>
<div>
Tangen Nilsen presenterte både utfordringer og hendelser som Telenor har vært utsatt for. Naturlig nok fikk spionasjehendelsen en del oppmerksomhet, ikke minst fordi den har ført til noe diskusjon i ettertid. Tangen Nilsen argumenterte for at informasjonsdeling er den eneste måten vi kan møte utfordringene i cyberspace sammen, og at NorCERT som vårt nasjonale senter, må bli mye bedre til dette. Hun mente videre at Norge har behov for en nasjonal cyberstrategi, og at den nasjonale strategien for informasjonssikkerhet ikke er tilstrekkelig. (Merk: den gjelder ikke for private selskaper. De militære cyberkapasitetene er heller ikke omtalt)</div>
<div>
<br /></div>
<b>Nasjonal IKT-sikkerhet, fra mandat til gjennomføring - Kjetil Nilsen, Nasjonal Sikkerhetsmyndighet.</b><br />
<a href="https://www.dropbox.com/s/woh721fviqxil19/Kjetil%20Nilsen%20DNAK%2018%20april.pptx" target="_blank">https://www.dropbox.com/s/woh721fviqxil19/Kjetil%20Nilsen%20DNAK%2018%20april.pptx</a><br />
<div>
<span style="background-color: whitesmoke; color: #333333; font-family: 'Helvetica Neue', Arial, sans-serif; font-size: 14px; line-height: 18px; white-space: pre-wrap;"><br /></span></div>
Nilsen presenterte NSMs tilnærming til utfordringene i cyberspace. Fokus på både forebygging og til å håndtere IKT-hendelser. Ønsker sterkere responsmiljøer i sektorene, men mener at det er for mye fokus på trusselaktørene. Viste også til at det er utfordrende å finne gode samarbeidsformer med de 500.000 små og mellomstore bedriftene.<br />
<div>
<br /></div>
<div>
<div>
<b>Utfordringer for næringslivet - behovet for samarbeid mellom offentlige og private aktører - Kristine Beitland, Direktør Næringslivets Sikkerhetsråd</b></div>
</div>
<div>
<a href="https://www.dropbox.com/s/9gg41f4l520u5hb/Beitland.pptx" target="_blank">https://www.dropbox.com/s/9gg41f4l520u5hb/Beitland.pptx</a></div>
<div>
<br /></div>
<div>
Beitland holdt et godt innlegg der hun blant annet presiserte at nasjonal strategi for informasjonssikkerhet er ikke dekkende nok, og burde ha mer fokus på det operative. I praksis vet man ikke hvem man skal forholde seg til når en blir utsatt for cyberangrep, og dette er ikke holdbart.</div>
<div>
<br /></div>
<b>Status og løsninger - fra et uavhengig ståsted - Tore Larsen Orderløkken, NorSIS</b><br />
<div>
<a href="https://www.dropbox.com/s/0o5gm3qubn1kw4i/Orderl%C3%B5kken.pptx" target="_blank">https://www.dropbox.com/s/0o5gm3qubn1kw4i/Orderl%C3%B5kken.pptx</a><br />
<div>
<br /></div>
</div>
<div>
Oerderløkken presenterte en status, sett fra NorSIS. Vi fikk et innblikk i kompleksiteten i det nasjonale apparatet som kan bli involvert når cyberangrep skjer. </div>
<div>
<br /></div>
<div>
<div>
<b>Cyberdomenet – i et helhetlig perspektiv - Sigurd Heier, tidligere avdelingssjef i Cyberforsvaret</b></div>
</div>
<div>
<a href="https://www.dropbox.com/s/di0n6ql2gzag38o/Heier.pptx" target="_blank">https://www.dropbox.com/s/di0n6ql2gzag38o/Heier.pptx</a></div>
<div>
<br /></div>
<div>
Heier ledet arbeidet med å lage cyberretningslinjer for Forsvarssektoren, inntil han sluttet i Forsvaret sommeren 2012. Han ga oss et innblikk i dette arbeidet, og brukte en modell der han forklarte dette i ulike dimensjoner. </div>
<div>
<br /></div>
<div>
Konferansen ble avsluttet av <b>utenriksminister Espen Barth Eide</b>. Dette var et svært underholdende og interessant innlegg.<br />
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="http://2.bp.blogspot.com/-Bega_CLSMl4/UXO5TvKSbuI/AAAAAAAAAWw/c1GoyCGRojo/s1600/BarthEide.JPG" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" height="239" src="http://2.bp.blogspot.com/-Bega_CLSMl4/UXO5TvKSbuI/AAAAAAAAAWw/c1GoyCGRojo/s1600/BarthEide.JPG" width="320" /></a></div>
<br />
<br />
Noen av momentene jeg noterte meg:</div>
<ul>
<li>At cyberdomenet finnes, er grunn i seg selv til at vi skal hevde våre interesser der</li>
<li>Potensiale for å forårsake skade (angep) er mye større enn potensialet for å forsvare seg</li>
<li>En stat har en mye større potensiale for å skape ødeleggelse, enn det en kan fra gutterommet</li>
<li>Folkeretten gjelder i cyberspace, men det kreves tolkning. Feks, når er et cyberangrep et væpnet angrep?</li>
<li>Menneskerettene gjelder selvfølgelig også i det digitale rom</li>
</ul>
<div>
<b>Sjef Cyberforsvaret, Generalmajor Roar Sundseth,</b> avsluttet med å si at hensikten med konferansen var å skape et felles situasjonsforståelse, og et felles grunnlag for det videre arbeidet. Den umiddelbare oppfatningen var at det hadde man lykkes med, og at denne konferansen vil bli arrangert årlig.</div>
<div>
<br /></div>
<div>
<br /></div>
<div>
<br /></div>
<a class="twitter-timeline" data-dnt="true" data-widget-id="325507652849369089" href="https://twitter.com/search?q=%23Cyberkonf">Tweets about "#Cyberkonf"</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+"://platform.twitter.com/widgets.js";fjs.parentNode.insertBefore(js,fjs);}}(document,"script","twitter-wjs");</script>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-49843647680610953982013-04-17T16:53:00.000+02:002015-06-17T08:52:34.411+02:00Three simple steps to determine risk toleranceDenne artikkelen gir oss tre steg for å bestemme hvilken toleranse for risiko vi skal ha.<br />
<br />
<a href="http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-" target="_blank">http://www.csoonline.com/article/731833/three-simple-steps-to-determine-risk-tolerance-</a><br />
<br />
Ved første øyekast synes dette å være ganske tilforlatelig, selv om jeg må innrømme at jeg etterhvert har blitt immun mot alle de nye mote-ordene (Risk tolerance? Var vi lei av Risk Acceptance og Recidual Risk allerede?)<br />
<br />
Det er en veldig grei og rett-frem tilnærming denne artikkelen gir oss:<br />
<ol>
<li>Bestem hvor mye risiko du kan tåle</li>
<li>Finn ut hvilken motivasjon du har for sikkerhetsarbeidet</li>
<li>Bestem hvem som kan bestemme hvilken risiko du kan tåle</li>
</ol>
<div>
Jeg tror at mange vil kjenne seg igjen i følgende situasjon:</div>
<div>
Den som er ansvarlig for det utøvende sikkerhetsarbeidet (CISO og ned) vet at omfanget og kompleksiteten i jobben deres er formidabel. En kan ikke forhindre sikkerhetsbrudd, fordi det ikke er forutsigbart. En kan ikke forsvare seg mot alt, fordi ressursene ikke strekker til. Med andre ord, ressursene må prioriteres. Prioritering betyr beslutning (ledelse) og er i seg selv en risiko. Hva om jeg har prioritert feil? </div>
<div>
<br />
Slik kan man i følge artikkelen ikke ha det, så en skal da ha et <i>Enterprise Risk Management</i> (ERM) system hvor risiko skal kvantifiseres (forferdelig dårlig idé). I praksis er min erfaring at slike systemer handler om én ting. Å øverføre ansvaret for beslutningene fra CISO til Styret, CEO, Adm Dir eller hvem det nå er som avnikker et slikt dokument. Nå er vi tilbake til <i>ROS-analyser</i>, <i>rest-risiko</i> og <i>akseptansnivåer for risiko</i>. CISO ønsker ikke at risiko-toleransen endrer seg hele tiden, for det gjør jo hverdagen uforutsigbar og stressende. Når ledelsen har besluttet hva de vil akseptere, så har CISO or sikkerhetsorganisasjonen fått sin høyre og venstre begrensing. Når det går galt, og CISO har levert innenfor sitt oppdrag, ja da er det vel noen andre som får ta støyten da.</div>
<div>
<br /></div>
<div>
Hvilken motivasjon en har til sikkerhetsarbeidet er sikkert greit å ha et forhold til, og jeg er enig i det artikkenel konkluderer med: Du vil ha en mix av alle typer motivasjon. Skal vi revideres i neste uke, sier du? Da er det KUN compliance som er viktig. Personvern synes å være svært viktig etter at man har hatt en større hendelse som rammer akkurat det området. Ellers tenker jeg at det er det virksomhetskritiske og operasjonelle som har størst fokus. For Forsvaret sin del, handler dette om liv og død. Informasjonssikkerhet, både det som gir reell sikkerhet og det som dessverre ødelegger for den, har betydning for menneskers liv i operasjonene. </div>
<div>
<br /></div>
<div>
Derfor blir jeg litt oppgitt når dette pakkes inn i "systemer" og verktøy som bare tilfører ekstra avstand til den reelle risikoen. Det eneste som blir bedre er følelsen av å ha håndtert risiko.</div>
<div>
<br /></div>
<div>
Det siste punktet, hvem som kan bestemme, er jo åpenbart. Delegering av myndighet er jo noe en gjør i alle deler av en organisasjons virksomhet.</div>
<div>
<br /></div>
<div>
For meg handler dette mest om å lede og om a ta ansvar. Å lage intrikate systemer for måling av risko, og å binde nivået over deg til å ta på seg ansvaret for noe de uansett ikke kan forutsette fullt ut, er ikke å lede eller å ta ansvar. Å delta aktivt, og likeverdig, i de operative ledelsesprosessene er noe helt annet. </div>
<div>
<br /></div>
<div>
Det er derfor at CISO'er skal sitte ved sjefens bord. Felles situasjonsforståelse og en dynamisk tilnærming til hvordan en skal forholde seg til risiko bør være målet.</div>
<div>
<br /></div>
<div>
<br /></div>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-57147697067900856232013-04-14T19:42:00.000+02:002015-06-17T08:53:18.381+02:00Er attribution og hack-back umulig?Jeg har diskutert maktutøvelse i cyberspace ved en rekke forskjellige anledninger, og én ting er sikkert. Det er like mange meninger om attribusjon og "hack-back" som det er personer som interesserer seg for tema. Med fare for å være litt for kategorisk, så deler attribusjonsmeningene seg i to leire: <i>Ingeniørene,</i> som vet alt om hvor lett det er å skjule sine tekniske spor, og <i>analytikerne</i> som leter etter informasjon i alle domener, også utenfor det rent tekniske. <i>Ingeniørene</i> mener som regel at attribusjon er umulig, eller i alle fall så vanskelig og usikkert at det ikke lar seg gjøre i praksis. <i>Analytikerne</i> tar dette som en utfordring.<br />
<br />
Spørsmålet om attribusjon er viktig, for en eventuell motreaksjon må jo ikke ramme en uskyldig part.<br />
<br />
Spørsmålet om motreaksjon er en annen rød klut. I tillegg til at en i utgangspunktet må være sikker på at en har funnet riktig mål (attribusjon) så må en tenke seg at det er mulig å møte cyberangrep med cyberangrep. For at det skal være mulig, må det både være teknisk gjennomførbart, og en må kunne levere en eller annen form for effekt. At dette er vanskelig er det ingen tvil om, men er det umulig? Kan cyberangrep kun brukes i form av first-strike operasjoner der en har planlagt alt i detalj over lang tid?<br />
<br />
Ikke i følge denne artikkelen:<br />
<a href="http://www.skatingonstilts.com/skating-on-stilts/2013/04/stewart-baker-cybersecurity-itrust-consulting-report-on-apt-1-pla-unit-61398.html" target="_blank">http://www.skatingonstilts.com/skating-on-stilts/2013/04/stewart-baker-cybersecurity-itrust-consulting-report-on-apt-1-pla-unit-61398.html</a><br />
<br />
Gitt at det som blir gjengitt i artikkelen har funnet sted, så viser den for det første at attribusjon er mer enn å kun vurdere de tekniske atributtene ved angrepet. Attribusjon er også å vurdere motstanders TTP, Taktikk, Teknikk og Prosedyre. TTP springer gjerne ut fra motstanders utdanning, doktrine, kultur og andre ting som ikke endrer seg så ofte. Dette er vi bevisst på. Det er en grunn til at vi forsøker å bygge inn uforutsigbarhet i TTP'ene.<br />
Videre ser vi at en dynamisk enhet kan utnytte et mulighetsrom som åpner seg. Vi får demonstrert at cyberangrep ikke bare må være first-strike operasjoner som er planlagt i lang tid.<br />
<br />
Dette er selvfølgelig ikke enten-eller. Det handler om å gjøre verktøykassen større, om å skape et nytt handligsrom for seg selv.<br />
<br />
Bør alle drive med hack-back? Selvfølgelig ikke. Dette skal reguleres gjennom Rules Of Engagements, som all annen maktbruk.<br />
<br />
Andre eksempler på hack-back:<br />
<a href="http://techcrunch.com/2009/05/05/researchers-take-over-botnet-grab-56000-passwords-an-hour/" target="_blank">http://techcrunch.com/2009/05/05/researchers-take-over-botnet-grab-56000-passwords-an-hour/</a><br />
<a href="http://www.darkreading.com/security/news/217201422/researchers-take-over-dangerous-botnet.html" target="_blank">http://www.darkreading.com/security/news/217201422/researchers-take-over-dangerous-botnet.html</a><br />
<a href="https://www.google.no/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=https%3A%2F%2Fwww.usenix.org%2Fsystem%2Ffiles%2Fconference%2Fleet12%2Fleet12-final23.pdf&ei=2-lqUaq6I4aD4ATV9IGYAg&usg=AFQjCNE32z4HsJNOi33my7na8NOYk5d-CQ&sig2=9xGgBWfQ1EtZTtwRRDhAug&bvm=bv.45175338,d.bGE" target="_blank">https://www.google.no/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CDAQFjAA&url=https%3A%2F%2Fwww.usenix.org%2Fsystem%2Ffiles%2Fconference%2Fleet12%2Fleet12-final23.pdf&ei=2-lqUaq6I4aD4ATV9IGYAg&usg=AFQjCNE32z4HsJNOi33my7na8NOYk5d-CQ&sig2=9xGgBWfQ1EtZTtwRRDhAug&bvm=bv.45175338,d.bGE</a><br />
<br />
<br />Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-27247812325544260392013-04-11T13:49:00.000+02:002013-04-11T13:49:05.458+02:00Positivt om Finanstilsynets ROS rapportJeg har tidligere vært kritisk til den "tradisjonelle" ROS-metoden for risikofastsettelse. Årsaken er at metodene alt for ofte bruker ulike kvantitative metoder for risikoangivelsen. Se tidligere blogposter for utdyping. 1)<div>
<br /></div>
<div>
ROS-rapporten fra Finanstilsynet har imidlertid unngått dette på en god måte. Rapporten er på et overordnet nivå, og det er jo nettopp her en ROS-metode kan brukes. (Så lenge en holder seg unna risikokalkulatorene)</div>
<div>
<br /></div>
<div>
Anbefaler å lese rapporten.</div>
<div>
<br /></div>
<div>
<a href="http://www.finanstilsynet.no/Global/Venstremeny/Rapport/2013/ROS_analyse_2012.pdf?epslanguage=no" target="_blank">http://www.finanstilsynet.no/Global/Venstremeny/Rapport/2013/ROS_analyse_2012.pdf?epslanguage=no</a></div>
<div>
<br /></div>
<div>
<br /></div>
<div>
1)</div>
<div>
<a href="http://norcydef.blogspot.no/2013/03/frste-gang-publisert-pa-g-i-oktober.html" target="_blank">http://norcydef.blogspot.no/2013/03/frste-gang-publisert-pa-g-i-oktober.html</a></div>
<div>
<a href="http://norcydef.blogspot.no/2013/03/tidligere-publisert-pa-g-i-september.html" target="_blank">http://norcydef.blogspot.no/2013/03/tidligere-publisert-pa-g-i-september.html</a></div>
Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-34921079031387997872013-04-09T17:08:00.002+02:002013-04-09T17:10:32.750+02:00CISPA tilbake i KongressenThreatpost skrev følgende:<br />
<br />
<a href="http://threatpost.com/en_us/blogs/controversial-cispa-back-congress-040813" target="_blank">The Controversial CISPA Is Back in Congress</a><br />
<br />
Dette er et lovforslag jeg virkelig håper de klarer å få gjennom, selvfølgelig med nødvendige tilpasninger i forhold til personvernet. Egentlig er jeg litt overrasket over at dette med overvåking og deling av nettverkstrafikk er nødvendig å få inn i en slik lov, for det som er mye mer viktig er at myndighetene skal pålegges å dele etterretninger med privat sektor slik at de kan beskytte seg selv:<br />
<br />
<blockquote class="tr_bq">
<span style="background-color: white; font-family: sans-serif; font-size: 13px; line-height: 19.1875px;">CISPA requires the Director of National Intelligence to establish procedures to allow intelligence community elements to share cyber threat intelligence with private-sector entities and encourage the sharing of such intelligence 1)</span></blockquote>
Selv om stadig flere private aktører nå tilbyr "teknisk informasjon om trusselaktører", så er det vel fremdeles slik at det kun er myndighetene som har kapasitet til å lage etterretninger. Slike er selvfølgelig mye mer verdifullt når en skal beskytte seg mot avanserte cyberangrep.<br />
<br />
Obligation to share!<br />
<br />
<br />
1) <a href="http://en.wikipedia.org/wiki/Cyber_Intelligence_Sharing_and_Protection_Act" target="_blank">http://en.wikipedia.org/wiki/Cyber_Intelligence_Sharing_and_Protection_Act</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-43860749263028825482013-04-08T19:23:00.001+02:002015-06-16T20:24:28.785+02:00Finsk cybersikkerhetsstrategiHer er den finske cyberstrategien (på engelsk).<br />
<br />
<a href="http://www.yhteiskunnanturvallisuus.fi/en/materials/doc_download/38-finlandas-cyber-security-strategy" target="_blank">Finlands cybersikkerhetsstrategi</a><br />
<br />
Mulig jeg ser nærmere på denne etterhvert, men her er noen foreløpige tanker.<br />
<br />
Strategien fremstår som solid og helhetlig.<br />
I motsetning til vår nasjonale strategi for informasjonssikkerhet, omfatter den finske strategien både privat sektor og den militære organisasjonen. En får heller ikke inntrykk av at den finske organiseringen er like rotete som vår.<br />
<br />
Anbefalt lesning!Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0tag:blogger.com,1999:blog-527473145306908371.post-35659627755647748092013-04-08T10:25:00.001+02:002015-06-19T07:55:16.644+02:00Supply chain security vs IndustripolitikkHer ser vi et godt eksempel på hvordan supply chain security, eventuelt industripolitikk, fører til negative konsekvenser. Når anskaffelse av ny teknologi går tregere, får det konsekvenser for både effekt og for sikkerheten.<br />
<br />
<a href="http://www.bankinfosecurity.com/blogs/hidden-law-could-hamper-govt-infosec-p-1446" target="_blank">http://www.bankinfosecurity.com/blogs/hidden-law-could-hamper-govt-infosec-p-1446</a>Anonymoushttp://www.blogger.com/profile/09508666855851500731noreply@blogger.com0