[KRØNIKE] Det med at fejre Halloween er ikke lige mig, dels fordi jeg er en stereotyp bleg brite, dels fordi jeg ikke er vild med at kaste sukkerbomber i grams.
Men samtidig med at jeg beredte mig på at barrikadere mig i mit hus, trække persiennerne for og lade, som om jeg ikke var hjemme, gik det op for mig, at denne her rædselsfulde tradition med “slik eller ballade” faktisk kan lære os ét og andet om cybersikkerhed.
Som mine kolleger i USA beskriver det, er idéen med slik eller ballade, at børnene kommer og banker på og truer med at skræmme dig, hvorefter du har valget mellem enten at slå til og tage konsekvenserne eller lukke munden på de små banditter med en håndfuld masseproduceret lykke i sukkerform, alternativt en portion hjemmebagte quinoachips, hvis du bor i et særligt hipt kvartér.
Det gik op for mig, at alle vælger “slik”, men faktisk trænger vi til at blive skræmt af og til. Hvis vi ikke lader os forskrække en gang imellem, så er det som person eller organisation nemt at falde til ro i én af to tilstande: ligegyldighed eller panik.
Her fik jeg en åbenbaring. Alle vælger “slik”-alternativet. Men faktum er, at vi har brug for “ballade” – vi trænger til at blive skræmt nu og da. Ellers havner man som organisation nemt i én af to tilstande: ligegyldighed eller panik.
I ligegyldighedstilstanden er man fuldt bevidst om, at der findes trusler derude, men man er nået til den erkendelse, at man antagelig kommer til at klare sig med de sikkerhedsforanstaltninger, der allerede findes på plads. Så længe man patcher det, der skal patches, i løbet af otte-tolv uger, hvad er så det værste, der kan ske? Svaret er, hvis vi skal være helt ærlige, at hvis organisationen bliver ramt af et angreb eller en indtrængning, så kan de daglige aktiviteter standse helt, ens rygte kan få nogle alvorlige ridser, og udredninger i henhold til Persondataforordningen (GDPR) kan komme til at fylde kalenderen op i lang tid fremover. Selv får du en bestemt opfordring fra ledelsen om at søge efter et nyt job et andet sted (og nej, de har ikke lyst til at stå som reference i din ansøgning).
I paniktilstanden er vi omvendt tilbøjelige til at forestille os det værste, vi er ængstelige og frygter, at hvert eneste netværksproblem indebærer et DDoS-angreb. Vi patcher, før vi har haft tid til at analysere mulige effekter på produktionssystemet og afholder udviklerne fra at idriftsætte den seneste applikation, fordi de ikke har gennemført samtlige 64 trin i de sikkerhedsprotokoller, du implementerede i en sen nattetime for fem år siden, da din chef spurgte til organisationens secure development lifecycle-proces. Det værste, der kan ske i den tilstand? At hele organisationen bliver handlingslammet, at relationerne mellem IT og drift bliver præget af mistro, og når det viser sig, at organisationen ikke er i stand til at holde trit med konkurrenterne, udvikler situationen sig til en konkurrence om, hvem der er bedst til at skyde skylden fra sig. Og præcis ligesom i ligegyldighedstilstanden får du en bestemt opfordring fra ledelsen om at se dig om efter et nyt job.
Naturligvis findes der en gylden middelvej. Vi skal være parate til hurtigt at iværksætte modforanstaltninger, når det er nødvendigt, men også til at tillade gradvis forandring. For at finde frem til denne tilstand og undgå både panik og ligegyldighed skal vi ganske enkelt udsætte os selv for en smule gru – vi skal skræmmes lidt en gang imellem. Vi mennesker har en tendens til at lære ting, når vi bliver udsat for noget nyt, og det, vi lærer, plejer at sidde endnu bedre fast på grund af adrenalinkicket.
Jeg taler ikke for at lade alle systemer være sårbare som en udfordring til hackere og lade disse angreb skabe kaos i din virksomhed – det ville svare til at begive sig alene ned i kælderen iført nattøj med et stearinlys i hånden, efter at halvdelen af ens venner er forsvundet på mystisk vis. Hvad du derimod skal gøre, er at tage kontrol over tilstanden på forhånd og – vigtigere endnu – sørge for at være forberedt.
Det første, du bør overveje, er at gennemføre en risikoanalyse. Hvilke data, hvilke systemer, hvilke medarbejdere og hvilke processer ville påvirke din virksomhed mest, hvis de blev kompromitteret, gik tabt eller ophørte med at fungere? Når du véd det, kan du bestemme, hvor i sikkerhedssystemet du bør investere den største indsats og de fleste ressourcer. Du kan også overveje, hvilke typer angreb der er mest sandsynlige, men lad være med at bruge for meget tid på det, for det uventede kommer til at overraske dig – hver gang. For på bedst mulig vis at tage højde for det mest uventede på forhånd er der nogle ting, du kan gøre: Du kan hente en ekstern ekspert ind til red-team-øvelser og penetrationstest eller begynde med en ekstern brainstorm om risiciene. Men hvis du gør det, så sørg for at inddrage folk fra alle dele af virksomheden: HR, jurister, sælgere og administrativt personale for at dække alle mulige forskellige perspektiver.
Det kan virke bagvendt, men ikke alle dine forberedelser behøver være proaktive – det kan i stedet handle om at hjælpe andre med at være reaktive, når det faktisk går galt. Det handler ikke længere om “såfremt ifald” man skulle komme ud for et angreb, men derimod “når” det sker – og det er først, når man indser det og får styr på, hvad der faktisk skal gøres, når det uventede sker, at man kan begynde at tage det roligt. Du skal forklare alle – lige fra den administrerende direktør til receptionisten – hvad de skal være opmærksomme på, og hvordan de skal reagere. For det meste handler det om blot at rapportere til en specifik mailadresse eller telefonnummer, men hvis der ikke er implementeret en proces, har folk ikke en chance for at vide, hvad de skal gøre. Og hvis de ikke véd, hvad de skal gøre, så bliver de enten handlingslammede eller går i panik, og det kommer til at give dig problemer.
Det allervigtigste? At automatisere. Der findes en grænse for, hvor meget man kan analysere selv, og man kan ikke gøre det i løbet af nul komma fem. Maskiner kan ikke træffe intelligente beslutninger – selvom udviklingen inden for maskinlæring og kunstig intelligens gør, at det nærmer sig – men maskiner kan handle konsekvent og hurtigt. Men selvom de kan handle hurtigt, er det op til dig at bestemme, hvad de skal foretage sig – er det f.eks. vigtigere at holde salgssystemet oppe end at imødegå et muligt malwareangreb? Det er en del af din risikoanalyse. Maskinerne kan også være dårlige til at forudse det uventede – du bliver nødt til at beslutte, hvad de skal være på udkig efter. De kommer aldrig til at se alt – nyhedsrapporter om et nyt ransomwareangreb, en besøgende, der sætter et USB-stik i en ikke-autoriseret maskine – du kan roligt forsikre alle medarbejdere om, at der altid vil være behov for menneskelig tilstedeværelse i beslutningsprocessen. Eller naturligvis zombier, varulve eller vampyrer. Hvad du end foretrækker.
Mike Bursell, chief security architect i Red Hat