Alt hvad der kan hackes vil blive hacket!

   

Ret opmærksomheden mod dine data. Dit liv ligger online, og det vil blive brugt imod dig!

Konferencen Cyber Security satte cybersikkerhed under lup en mørk dag i november. Her er nogle af de budskaber, oplægsholderne brændte igennem med, så vi alligevel kan se lys forude.

Alt der kan hackes vil blive hacket

Striben af eksempler på, at vores sikkerhed bliver brudt, er lang, hvis man spørger Anders Kjærulff, radiovært på programmet Aflyttet på Radio24syv. Han stod som konferencens keynote for dagens provokerende indslag: Infocalypse now and how to survive it!

– Privacy er noget, der irriterer alle i software business. Det er kun taget til med persondataforordningen, for nu skal vi alle tage det seriøst, og der bliver delt store bøder ud, hvis vi ikke gør det.

Hans pointe er, at vi ikke længere ønsker, at folk er usynlige. Vi skal helst kunne blive filmet, registreret og fulgt 24/7.

– Det er jo ikke engang muligt at købe en billet uden at opgive persondata i en eller anden form, siger Anders Kjærulff.

Han ser to scenarier: Alt er godt, vi bliver rige og glade. Eller: Alt er ødelagt, brugt, kollapser, alt digitalt kan blive manipuleret, og alt der kan hackes, vil blive det.

– Der findes ikke noget, som er absolut sikkert, når det er digitalt. Alt hvad der kan hackes, vil blive det. Hvad gør vi ved det? Ja, se det er op til jer. I kan kode, men der er noget selvmodsigende i absolut sikkert og digitalt, understreger han.

Og hvorfor gør hackerne det…? Svaret lyder: For at vise, at de kan, eller for at få penge ud af data.

– Vi kan blive ved med at finde eksempler på læk af data. Samtidig sætter vi sensorer op overalt. Vores byer skal være smarte, så man kan overvåge trafik osv. Big data er det nye olie, men jeg er bange for, at der er stor risiko for oliespild, når man vil sælge data. IoT er også ved at lave problemer. Så jeg tror, at vi skal droppe IoT, droppe big data og telefonerne, og få folk væk fra skærmene. Det er den eneste måde, vi kan kan knække The Truman Show Delusion.

Dagen bød også på andre mulige løsninger, hvis vi nu alligevel skal leve af og udnytte det, den digitale verden bringer med sig.

Når de onde samarbejder, skal de gode også gøre det

Når de onde samarbejder, burde de gode også gøre det. Sådan lyder det fra Peter B. Lange, der er Executive Software Client Architect ved IBM.

– Danske små og mellemstore virksomheder har ikke altid de kompetencer, det kræver at håndtere truslerne. Og det er heller ikke helt nemt. Fra man overhovedet – hvis muligt – får fat i information om aktuelle trusler, er der lang vej til at implementere de nødvendige tiltag. Det er meget svært at lovgive dig ud af. Samarbejde om sikkerhed – det der kaldes Collaborative Threat Intelligence – kan være en vej at gå, forklarer han.

Peter B. Lange nævner en række udfordringer, der kan stå i vejen for Collaborative Threat Intelligence:

  • Fear of liability: Jeg tror ikke, den trussel har betydning for mig.
  • Corporate policies: Når man finder ud af, hvad der gik galt, er det ikke sikkert, virksomheden vil have det koblet til sit brand.
  • Resources: Bliver der afsat og brugt ressourcer til samarbejde.
  • Trust: Hvem kan jeg stole på i fællesskabet.

IBM har udviklet platformen IBM X-Force Exchange, der understøtter den slags samarbejder. Se mere om platformen her.

Lær af kreditkortbranchen

Kortindustrien er en branche, der har haft succes med at udvikle standarder til at håndtere sikkerhed mellem mange samarbejdspartnere. Payment Card Industry Data Security (PCI) er en god business case, fordi alle parter er interesserede i at opretholde og have fokus på sikkerhed.

- PCI er ikke en juridisk ramme men en frivillig aftale om en industrispecifik sikkerhedsstandard, der skal gøre det nemmere for alle aktører omkring kreditkort, forklarer Erik Sørup Andersen fra F-Secure. PCI opstod, fordi der var et behov i markedet, og fordi kreditkortindustrien havde brug for et mere effektivt samarbejde om sikkerhed. Samtidig var der behov for at støtte skiftet fra kontant- til kortbetaling og dermed øge folks tillid, især efterhånden som markedet flyttede sig fra fysisk butik til e-handel – også kaldet from place to space. Standarden gælder ikke kun for internettet men også øget brug af kreditkort rigtig mange andre steder, herunder også på device-niveau.

- Førhen havde hver bank vidt forskellige regler per kreditkorttype, og hvis flere banker samtidig brugte de enkelte kreditkorttyper, var det svært for kreditkortbranchen at håndtere denne skalering. Samarbejdet drives derfor af markedets behov, dynamikker og efterspørgsel, forklarer han.

Ifølge Erik Sørup Andersen er PCI mere agilt end ISO27001-standarden, der er langsommere at udskifte og tilpasse. Det kan andre industrier lære af, hvis bare de har den rette business case. Det kræver klart definerede felter (syntakser), så det kan være oplagt for områder som f.eks. forsikring eller sundhedsområdet.

Data security compliance management handler om at dokumentere og formidle, at data er beskyttet på en bestemt måde hele tiden, hele vejen, uanset hvor data er eller har været.

Nøgleordene er risk management, kommunikation og tillid. Og efterhånden som vi deler mere og mere data, er der behov for skalering, hvor vi ikke skal håndtere en masse forskellige standarder.

Find hjælp og inspiration på PCI Security Standards Council.

 

EU’s persondataforordning skaber en illusion om sikkerhed

Omkostningerne ved EU’s kommende persondataforordning er for store og er endnu et skridt i den forkerte retning, hvis man spørger Martin von Haller Grønbæk, partner i advokatfirmaet Bird & Bird. EU’s måde at beskytte persondata på tager udgangspunkt i, at vi skal give samtykke, hvis vores persondata skal bruges i nye sammenhænge eller overføres til tredjemand. Den nye forordning vil kræve, at man giver dynamisk samtykke hele tiden.

– Så skal du ikke bare klikke én gang, når du går ind på en side. Du skal måske klikke hver gang, fordi der er sket ændringer siden sidst, som gør, at du igen skal give dit samtykke. Det er helt forfejlet. Det eneste vi opnår, er, at vi tror, vi er beskyttet. Men det er vi i virkeligheden ikke, mener han. Kun store virksomheder, der har råd til at ansætte advokater og programmører, vil kunne overholde disse ekstremt komplekse regler, mens små virksomheder, der ellers skulle være innovative og måske kunne udvikle helt nye metoder til beskyttelse af privatliv, ikke har råd til at komme ind på markedet.

– Vi kommer til at stå i den situation, at meget af innovationen tabes på dette væsentlige område i samfundet: at dele data, som alle jo er enige om er grundlaget for vækst. Med forordningen kommer der dog et væsentligt nyt princip, nemlig et krav om data-portability, der betyder, at du relativt ubesværet skal kunne flytte dine persondata fra én tjeneste til en anden tjeneste. Hvis det bliver aktuelt, bliver det måske en måde, hvorpå jeg kan beskytte mine data.

Der findes værktøjer, der kan beskytte folks privatliv

– EU’s kommende persondataforordning betyder, at alle virksomheder skal til at have styr på de data, de har om folk. Men der findes it-værktøjer til at udvinde data, samtidig med at man beskytter folks privatliv og overholder persondataforordningen.

Det forklarer Berit Skjernaa, Senior Security Architect i Alexandra Instituttets Security Lab. En af de teknologier man kan bruge er anonymisering, hvor man f.eks. fjerner navn, cpr-nr. eller adresse. Det er rigtig vigtigt, at man anvender teknologien korrekt, da vi har set flere eksempler på, at det er gået galt. Men gør man det korrekt, kan man skabe meget værdi med data, uden at det går ud over folks privatliv, forklarer hun. Andre teknologier er pseudonymisering og randomisering, hvor man enten tilføjer noget støj eller erstatter data. Og endelig er der Secure Multiparty Computation (SMC), som anvendes i forskningsprojekter i store virksomheder. Med SMC kan man populært sagt regne på krypteret data, uden at man skal dekryptere først.

– Det er meget teknisk, men vi kan se at SMC vinder mere og mere udbredelse. Vi regner med, at teknologien på sigt vil blive endnu mere udbredt, og bl.a. er Danmarks Statistik meget interesseret i mulighederne for at lave statistik på krypteret data, forklarer Berit Skjernaa.

Social engineering: It-sikkerhed handler også om mennesker

Ivano Somaini agerede skuespiller og kom på konferencen med bud på, hvordan man med simple midler skaffer sig adgang til fortrolige dokumenter i virksomheder, hvor man ikke hører til. It-sikkerhed handler i dag ikke kun om at hacke sig adgang til it-systemer. Det handler også om mennesker og om, hvordan man kan plante falske historier i hovedet på folk og på den måde skaffe sig adgang til virksomheders sikkerhedssystemer – også kaldet social engineering. Værktøjerne er usb-sticks, forklædninger, falske telefonopkald og falske mails, som virker så ægte at de ikke opdages.

Det senest tilkomne værktøj er smishing, der er falske SMS’er, som er nutidens helt store problem.

– Hvor mange i dag er opmærksomme på falske mails, stoler de fleste på en sms. Social engineering kræver konstant fokus på at træne medarbejderne, så de ved, hvad de skal være opmærksomme på af aktuelle sikkerhedstrusler. Vi ser eksempelvis smishing, som en af de nye store udfordringer, forklarer Ivano Somaini.

Han er klassisk uddannet datalog fra ETH i Schweiz og i dag ansat i sikkerhedsfirmaet Compass Security, der har specialiseret sig i at ’angribe’ systemer i banker, energiselskaber eller andre virksomheder og dermed teste, hvordan man kan udnytte huller til at skaffe sig adgang. Ifølge Ivano Somaini er mennesker er ikke dumme, men vi er mennesker og derfor manipulerbare. Han kom med eksempler på en række angrebsscenarier baseret på social engineering, hvor vi typisk ryger i. En af dem er, at man holder døren og ’faker', at man har et adgangskort til en virksomhed, eller man lader som om, man er midt i et telefonopkald for at skabe en illusion om, at man er ansat i virksomheden eller hører til der.


Om konferencen

Cybersecurity 4.0 satte fokus på trends, betingelser, udviklingspotentiale og forretningsmuligheder inden for cyber-sikkerhed. Konferencen blev afholdt af Alexandra Instituttet, InfinIT, Inno-Pro, Innovationsnetværk for Finans IT og it-forum. Se programmet her.

   

Slides

Click on the in icon in the slide window to see a screen version.


Ivano Somaini: The devil is in the details


Anders Kjærulff: Infocalypse now


Christian W. Probst: Critical infrastructure in the age of IoT


Peter B. Lange: Collaborative threat intelligence and actionable integration


Erik Sørup Andersen: Data security compliance management


Michael Appelby: Why the protection of information is critical for our society


Lars Kierkegaard: Mission-critical ICT infrastructure


Dennis Hansen: Social engineering


 

 

 

 

Tilmeld dig arrangementet:

Ny persondataforordning træder i kraft i 2018

InfinIT er finansieret af en bevilling fra Styrelsen for Forskning og Uddannelse og drives af et konsortium bestående af:
Alexandra Instituttet . BrainsBusiness . CISS . Datalogisk Institut, Københavns Universitet . DELTA . DTU Compute, Danmarks Tekniske Universitet . Institut for Datalogi, Aarhus Universitet . IT-Universitetet . Knowledge Lab, Syddansk Universitet . Væksthus Hovedstadsregionen . Aalborg Universitet