I etterkant av et sikkerhetsbrudd, pekes det ofte på at brukerne av IT-systemene har gjort noe galt. Men er det alltid så enkelt?
Svært mange av dataangrepene som rammer norske bedrifter har epost-systemet som angrepsvektor. Det kan være kriminelle som sender ondsinnet kode som vedlegg til epost, eller de forfalsker eposter slik at de ser ut til å være selskapets direktør som ber om en ekstraordinær utbetaling.
Ofte rettes søkelyset på han eller hun som åpnet vedlegget eller trykket på lenken. Hvordan kunne dette skje? Var bevisstheten om IKT-trusler for lav? Hadde han ikke nok kunnskap om hva som er godt nettvett? Nå som problemet er identifisert, foreskrives medisinen: De ansatte kan for lite, og har for lite bevissthet om IKT-sikkerhet. Bedriften kjører nye ”Bevissthetskampanjer” og opplæring for de ansatte.
Hvorfor er det egentlig slik at mennesket blir betraktet som det svakeste leddet i sikkerhetskjedet? Er det virkelig slik at dersom en ansatt gjør en feil, så er det fordi sikkerhetsbevisstheten er for lav?
Ira Winkler presenterte det han omtaler som ”The Human Exploitation Kill-Chain” på RSA Conference i februar 2017. Hovedargumentet er at handlingen til den ansatte er en del av en lengre kjede av hendelser, og at det derfor ikke automatisk er slik at en kan skylde på den ansatte når noe går galt.
Dersom det å åpne et vedlegg, eller å stikke en USB-enhet i maskinen, får hele IKT-systemet til å knele, ja da er det systemet det er noe galt med. Det er ikke designet, konstruert, implementert eller driftet på en måte som gjør det robust nok mot slike angrep. Å skylde det hele på den ansatte er derfor feil, mener han.
Winkler argumenterer for at måten vi ser på brukerens ansvar er helt feil. Bedrifter investerer svært store summer på sikkerhet, men mange har en tendens til å se på teknisk sikkerhet nærmest som et motstykke til sikkerheten menneskene får ansvaret for. Når noe går galt, er det mye vanskeligere å tilgi de menneskelige handlingene, mener han. Vi sier sjelden at ”USB-porten har skylden”, men vi gir gjerne den ansattes dårlige sikkerhetsbevissthet skylden for sikkerhetsbruddet. Realiteten er at et sikkerhetsbrudd er en systematisk svikt, ikke utelukkende en menneskelig feil.
Begrepet ”Kill-Chain” er et militær-begrep som brukes til å beskrive hvordan et angrep gjennomføres. For de som skal forsvare seg mot angrep, er det nyttig å bruke slike begrepet fordi det gjør det lettere å forstå hvordan et angrep er bygget opp, og hvordan en kan beskytte seg best i de ulike fasene av angrepet. Det har blitt mer og mer vanlig å bruke kill-chain beskrivelser innen IKT-sikkerhet fordi de også beskriver hvor du skal sette inn mottiltakene.
Når Winkler analyserte vanlige phishing-angrep, avslørte han at en phishing kill-chain består av 10 steg. 8 av dem innebar en teknologiske feil, og kun to av dem innebar feil begått av mennesker.
Dersom en analyserer hele kjeden av hendelser som har inntruffet når noe har gått galt, kan det gi oss en bedre forståelse og en større ”verktøykasse” når vi skal forhindre at slike hendelser skal skje i fremtiden. Neste gang en ansatt åpner et vedlegg og alle filene på serveren krypteres med løsepengevirus, er det ikke sikkert at det er opplæring og bevisstgjøringskampanjer som er svaret. Det kan like gjerne være at epost-systemet må konfigureres på en annen måte, at rettighetene på klienten skal endres, eller at back-up systemet må implementeres annerledes.
Det vil kanskje virke bedre også?