Ærede forsamling, Jau det skal eg sei deg no Då han i hallen min stod Fant han seg ei glo Satte i eit brøl Og starta for seg sjøl

Transkript

1 Ærede forsamling, Foredraget har tittelen Informasjonssikkerhet en organisatorisk utfordring. Jeg ønsker å sette fokus på den ikke-tekniske siden ved informasjonssikkerhet. Dette fordi jeg mener at for å oppnå effekt av informasjonssikkerhetstiltak inkludert tekniske så kreves det en helhet som også involverer menneskene i organisasjonen. Målet med foredraget er å gi dere økt innsikt i to forhold: 1) trusselen fra og mot menneskene i organisasjonen og varselsignaler 2) hvordan ansatte og kollegaer kan bli et middel for å oppnå større effekt av arbeidet med informasjonssikkerhet Informasjonssikkerhet handler om å beskytte bedriftssensitiv informasjon, som i hendene på ikke-autoriserte personer kan skade bedriftens renommé og ha negative økonomiske konsekvenser. La meg påpeke at mens organisasjoner flest i følge 2006 E-Crime Watch Survey 1 fokuserer på trusselen frå utsiden, og undervurderer trusselen frå innsiden, så er de mer alvorlige de hendelsene som kommer fra innsiden. Sikkerhetssystemer er grunnlagt på tillit, men når de personene som inngår i kjedene av tillit svikter, da er man ille ute. Slike utro personer har spesiell tilgang til informasjon og kunnskap, og de kjenner sårbare punkter som kan utnyttes. Slike personer er for eksempel egne kollegaer, innleid personell, eksperter m.fl. Slik rett etter lunsj vil det passe med et lite eksempel på hva en utro tjener kan gjøre. I dette tilfellet kom han uten i fra og skapte stor bestyrtelse da han kom inn. Her er det: De kjenner vel sunnmøringar flest Dei likar i mangt å være best Dei startar bedrifter i kjellar og lade Og pengar i banken ja det gjer dei glade Men ingen på denne jord evig bor So ein dag han Hans han for Ikkje dit sunnmøringar flest Men dit dei alle frykta mest Han hadde vel noko gale gjort Så St.Peter hadde stengt sin port. Men Satan måtte til Peter ringe: Du Peter, han Hans eg vil deg bringe! Peter undra seg fælt og sa: Eg trudde du vart glad for kvar sjel du fekk? Kvifor vil du sende denne karen vekk? Jau det skal eg sei deg no Då han i hallen min stod Fant han seg ei glo Satte i eit brøl Og starta for seg sjøl E-Crime Watch survey from CSO Magazine Reveals Insider Threats are on the Rise 1

2 Forfatter er ukjent, diktet fant jeg i lokalavisen hjemme på Vestlandet for mange år siden. Ikke visste jeg da at det skulle komme til nytte i dag. Diktet illustrerer uansett godt noen forhold vedrørende trusselen fra innsiden og det har klare paralleller til det menneskelige aspektet innen informasjonssikkerhet. Hør her: Studier viser at en ondsinna utro tjener har ofte kriminell bakgrunn (har drevet med hacking el) eller eit eller anna psykologisk avvik (som gjenkjennes som unormalt behov for kontroll, samarbeidsproblemer, vanskeligheter med å ta kritikk, styre sinne ol) 2. Også Hans hadde gjort noko gale, så han kom ikke dit de fleste kom. Motivet til den utro tjeneren kan være grådighet, hevn, behov for oppmerksomhet mm. Hans ville være best og pengar gjorde han glad. Han var grådig. En utro tjener har også spesiell tilgang til ressurser som er arbeidsgivers: Han Hans fant gloa og hemmeligheten bak brølet. Den utro tjeneren utnytter ressursene gjerne for vinnings formål: Han Hans starta for seg sjøl, han. Og det er akkurat slik i følge studier mange insidere eller utro tjenere gjør det, de utnytter arbeidsgivers ressurser, som de ikke skulle hatt tilgang til, og så i neste omgang rammer de arbeidsgiver økonomisk. Hendelsen ble også her oppdaget ved en uregelmessighet: Merk at det skjedde en endring i konkurransesituasjonen: Fra et duopol mellom den gode og den onde, til oligopol mellom den gode og den onde og en sunnmøring! En siste parallell: Menn er i følge Insider Threat Study klart overrepresentert blant angrep fra innsiden (utgjør 96%) og 86% var ansatt i en teknisk stilling: Hans var også et hankjønn. Så var det sagt. Og hvordan løser bedriftsledelsen så dette når gjerningsmannen er oppdaget? Han får sparken! Selvfølgelig. Jeg vil påstå at en del av de investeringer vi gjør i sikkerhetstiltak som sikkerhetsteknologi og rutiner, ikke gir full effekt. Den viktigste grunnen til dette er at det menneskelige aspektet er på en måte fraværende eller lite til stede i mange tilfeller. Bedrifter fokuserer på sikkerhetsteknologi og prosedyrer/rutiner som det er praktisk og relativt raskt å implementere dette viser empirien fra Mørketallsundersøkelsen , men glemmer ofte opplæringen. Da vil jeg hevde at effekten blir skadelidende. Selv om intranettet innholder opplysninger om sikkerhet, så er det ikke sikkert at de ansatte frekvent besøker disse sidene, for ikke å nevne, forstår det som står der, eller har tid i en hektisk hverdag til å tenke særlig på sikkerhet. Jeg skal i de nest minuttene si litt om mennesket og den risiko som er forbundet med mennesket i forhold til informasjonssikkerhet. Jeg skal gi noen eksempler fra reelle historier, fortelle hva forskningen gir av råd mht god praksis og relatere dette opp mot det jeg vet er norsk praksis ut i fra studier jeg har deltatt i. 2 Appendix G : Band, Steven R, m.fl, Comparing Insider IT sabotage and Esponage. A model based analysis. Software Engineering Institute, Carnegie Mellon University, USA. 3 Mørketallsundersøkelsen 2006 Full rapport 2

3 Sikkerhetseksperten Bruce Schneier 4 har påpekt at mennesket er det svakeste leddet. Etter mitt syn kan mennesket ha fire roller som det svakeste ledd: For det første den uvitende som handlet i god tro. Mennesket kan utføre ubevisste handlinger som truer sikkerheten eller bryter med sikkerhetspolicyen 56. Tidspress kan gjøre at man omgår sikkerhetsmekanismer hvis det er mulig. I alle fall er det gjort studier som viser at ansatte kan oppfatte sikkerhetstiltak som plunder og heft i en stresset hverdag. En annen årsak til at en ubevisst kan begå sikkerhetsbrudd, er at en ikke forstår eller mangler kunnskap om informasjonssikkerhet og de IT systemene eller sikkerhetssystemene som man bruker. En artikkel jeg las engang om sikkerhetssertifikat og hvordan personer oppfattet feilmeldinger, illustrerer denne svakheten. Til sist har vi uklarhet i forhold til ansvar og hva som er lov og ikke lov. Det kan for eksempel være uklart hva som er lov å laste ned/bruke bedriften sitt nettverk til. Det kan være en gjengs holdning at man gjør som alle andre eller har en GSG holdning (går det så går det). For det andre så har vi den situasjon at man blir offer for sosial manipulasjon 7. Dette er også en ubevisst handling sett fra de ansattes side. Vi mennesker er i utgangspunktet tillitsfulle vesener, særlig hvis vi møter andre mennesker med samme kunnskap som oss om f.eks. systemer som vi kjenner frå før. Gjennom sosial manipulering kan vi bli lurt til å gi fra oss informasjon slik at en angriper ikke trenger å hacke seg inn frå utsida for å få tak i forretningshemmeligheter. En angriper plassert i bedriften, med relasjoner til de ansatte, vil kunne utnytte denne tilliten og loppe ansatte for kritisk informasjon, uten at noen merker noe før etter en tid. Det er vel flere enn meg som har hørt Willy Røre på P4 på morgenen og som har skrattet godt av lureriene/spøkene som der ble gjort mot mennesker. Willy Røre utnytter noe som offeret gjenkjenner som kjent. Det kan være en situasjon, navn på bekjente mm. Dette spinner han videre på det for å narre offeret. De fleste lar seg lure, men mange blir mistenksomme under veis. Spøken blir da avslørt til slutt. Når målet derimot er å få tak i bedriftssensitiv informasjon, så viser studier at en angriper benytter ulike teknikker for å overtale offeret til å gi fra seg informasjon: overtalelse, etterligninger, utakknemlighet, godkjennelser og/eller vennlighet. Humor kan være effektivt hvis man blir oppdaget for å ufarliggjøre situasjonen. En annen strategi for kyndige angripere er å ødelegge noe i forkant, eller skape en situasjon der offeret selv ber om hjelp, og derigjennom oppgir sensitiv informasjon. Begge strategiene krever litt feltarbeid i forkant, ref Willy Røre, for å skape den nødvendige felles kunnskapsplattformen. For det tredje: Bevisst handling der angriper er plassert av f.eks en kriminell organiosasjon eller en konkurrent, jfr industrispionasje. Et eksempel på dette kan også være vaktselskaper der kriminelle har plassert kontakter blant de ansatte. Disse kan skaffe innsikt i rutiner mm og bidra til å planlegge effektive ran 8. 4 Bruce Schneier, Secrets and lies. Digital Security in a Networked World. With new information about post 9/11 security, Wiley Publishing, Inc, 2004, Second edition, pp Vivien K G Lim, Thompson S H Theo, Geok Leng Loo, Cyberloafing in an Asian Context. How do I loaf here? Let me count the ways, january 2002, vol 45, No I, Communications of the ACM. 6 Dong Zhang, Lih-Bin Oh, Hock.Hai theo, An Experimental Study of the Factors Influencing Non- Work Related Use of IT Resources at Work Place, Proceedings of the 39 th Hawaii International Conference on System Science Se ex Shane W. Robinson, Corporate Espionage, SANS Institute 2003 for en introduksjon

4 For det fjerde: Bevisst handling der en misfornøyd ansatt eller lignende står bak. Dette er gjerne interne sabotører som ønsker hevn, oppmerksomhet, dekke over tidligere skadeverk eller oppnå egen vinning. Det er hevdet at det fins minst en illojal ansatt i omstillinger og omorganiseringsprosesser 9, og det er jo noe norske bedrifter støtt og stadig er igjennom. Hevnaksjoner kan for eksempel forekomme som følge av degradering etter omstilling. Dette opplevde Omega Engineering Coorporation i Tim Lloyd var en betrodd ansatt som hadde vært ansatt i selskapet in 11 år. Han hadde jobbet seg opp fra en maskiniststilling til å få ansvaret for hele datanettverket, men ble degradert da selskapet ble globalt. Hans hevn var at han slettet programvare og koder, sentraliserte datalagringen og ødela all backup. Dette pågikk litt over tid etter at han ble degradert. Han hadde bygd opp nettverket og kjente det i detalj og hadde også full tilgang, men ingen kontrollerte ham. Han ble sagt opp pga dårlig oppførsel. Handlingen fikk enorme økonomiske konsekvenser og han ble senere dømt til fengselstraff. Grådighet og egen vinning er et annet motiv. Aftenposten hadde for et år siden følgende overskrift: Folkpartiet brøt seg inn allerede i Artikkelen forteller deretter om at det var avdekket datasnoking til politisk formål, igjen. Et annet eksempel er en norsk bank som opplevde i 2006 at en ITsikkerhetsarkitekt kopierte og sendte usikret til sin private PC en stor mengde materiale inklusive kildekode som kunne gjøre det mulig å utføre uvennlige handlinger mot banken i ettertid. Han klarte imidlertid ikke å la være å snakke og fortalte en kollega om sine fremtidsplaner. Han ble stilt for retten og dømt (fra lovdata). Eksempelet illustrerer en kopling mellom økonomisk kriminalitet og datakriminalitet. Økonomisk kriminalitet forekommer også ganske hyppig skal vi tro Global Economic Crime Survey 2005 Norge, PWC 12. Surveyen viser at 42% av virksomhetene i Norge rammes av økonomisk kriminalitet og der har vært en økning når det gjelder produktkopiering, dokumentforfalskning og industrispionasje. Økonomisk kriminalitet begås av alle kategorier ansatte: toppledelse (28%), mellomledelse (24%) og andre ansatte (48%). Årsaker er blant annet manglende forståelse/fornektelse av konsekvenser, kostbar livsstil, samarbeid med eksterne, og utilstrekkelig intern kontroll. Ønske om oppmerksomhet kan også illustreres gjennom et eksempel fra et norsk kraftselskap, der politiske ambisjoner overgikk hensynet til sikkerhet. Direktøren gjekk ut til pressen med informasjon som i følgje ITsikkerhetslederen aldri burde vært publisert offentlig. Problemet med slike angrep fra innsiden er at de tradisjonelle sikkerhetsteknologiene ikke fanger opp alle slike unormale handlingsmønster. Muligens kan IDSer bidra til en viss grad, men blir andelen feilmeldinger for høy, er risikoen at man til slutt ikke tror på ropene om ulv. IDSer vil uansett ikke fange opp informasjon som leveres muntlig. IDSer er også i relativt liten utstrekning i bruk blant norske bedrifter, særlig små bedrifter (med referanse til Mørketalssundersøkelsen 06). For å fange opp disse truslene, må menneskene i organisasjonen på banen. 9 Halibozek, Edward P. and Kovacich, Gerald L, 2005: Mergers and Acquisitions Security, Elsevier Butterworth-Heinemann, Burlington, USA, pp

5 Først må vi imidlertid bli i stand til å kjenne igjen trusselbildet og ha rutiner og praksis på plass for å håndtere dette. Her finnes det flere studier som gir mer informasjon. Deretter kan man starte opplæring av ansatte. Hvilke kjennetegn kan man se etter? Jeg fokuserer her på den bevisste handlingen. The Insider Threat Study (2005) 1314 viser at når det gjelder inside angrep så er det ofte negative arbeidsopplevelser som trigger hendelsen; hevn, ønske om respekt, man har noe å klage på eller er uenig i sikkerhetskulturen. De fleste insidere/illojale ansatte opptrer merkelig på arbeidsplassen, og dette ble observert av kollegaer. Hendelsen var planlagt på forhånd. 57% av tilfellene ble gjenkjent som illojale medarbeidere. Andre enn den misfornøyde ansatte hadde informasjon om planer og intensjoner fordi de fleste misfornøyde avslørte sine negative holdninger til andre. De fleste insidere hadde system eller privilegerte tilganger på en eller annen måte da angrepet fant sted, og 45% av dem som var ansatt da angrepet fant sted hadde allerede akseptert en ny stilling. De var med andre ord på vei ut av bedriften. De fleste (60%) bruker lite avanserte metoder som brukerkommandoer, informasjonsutveksling og utnytting av fysiske sårbarheter. De andre 40% brukte mer avanserte verktøy (script, programmer ol). Hvordan ble så det hele oppdaget? Jo slike angrep ble oppdaget ved en uregelmessighet i systemet eller ved at systemet ble utilgjengelig. De fleste tilfellene ble oppdaget av ikke teknisk personell og 75% av tilfellene gjennom manuelle prosedyrer. Identifikasjon av gjerningsmann skjedde dog gjennom logger. Dette illustrerer at manuelle prosedyrer kan ha en effekt i denne sammenheng. Hva er god praksis og kva gjør norske bedrifter 15? For det første: sikkerhetspolicyen er sentral. Det å ha en sikkerhetspolicy/klare retningslinjer er viktig for å ha et bevisst forhold til sikkerhet og hva som er tillatt og ikke tillatt. Flere forskere har forsøkt å finne effekten av sikkerhetspolicyen og påvise at den reduserer antall hendelser. Men slike effekter har man ikke kunnet påvise. Derimot er det vist at sikkerhetspolicyen kan bidra til at hendelser blir oppdaget, og det er like viktig. Hvis en potensiell angriper vet at sannsynligheten for å bli rapportert er høy nok og konsekvensene er store nok, så vil det i henhold til generell avskrekkingsteori fra kriminologien bidra til å avskrekke fremtidige angrep. Skjeler man til HMS, så er også en erfaring at rapportering bidrar til økt fokus på sikkerhet og færre alvorlige ulykker på sikt. Også norske bedrifter har i stor grad en sikkerhetspolicy eller nedskrevne retningslinjer for IT-bruk (Mørketallsundersøkelsen 2006). En analyse av data fra Mørketallsundersøkelsen viser også at organisatoriske 13 Keeney, Michelle, J.D, et al, Insider Threat Survey. Computer System Sabotage in critical Infrastructure Sectors, May Hagen, Sivertsen og Rong, Information security threats and access control practices in Norwegian businesses, SSNDS 07. 5

6 tiltak som kan avledes fra sikkerhetspolicyen og som ikke direkte forhindrer angrep, bidrar til rapportering av misbruk 16. Man bør sjekke ut ansattes bakgrunn: 30% av insiderene i Insider Threat Report hadde en kriminell fortid fra for eksempel fra hacking og andre sikkerhetsbrudd. Psykologer har gått igjennom flere case og funnet at de som gjorde angrep led av mentale forstyrrelser som ga utslag i eksempelvis samarbeidsproblemer, vanskeligheter med å ta i mot kritikk, aggresjon mfl. Å sjekke ut de ansattes kriminelle fortid vet jeg har vært ønsket av private virksomheter innenfor kritisk infrastruktur, men det er bare noen utenom de som er underlagt sikkerhetsloven som kan kreve politiattest av jobbkandidater (eks barnehager). De fleste norske virksomheter må stole på referansene som oppgis av søkeren, og kan risikere å ansette folk med et kriminelt rulleblad. Opplæring, kontinuerlig og gjentatt ganger. Ved riktig opplæring kan bevisstheten økes, man kan bli bedre i stand til å fange opp varselssignaler ved utro tjenere (klager, uregelmesigheter i systemet mm). Opplæring bør også inkludere hva en gjør i tilfelle en hendelse oppstår. Hvem rapporterer en til? Hva skjer i etterkant? Hvilke sanksjoner finnes? Ved opplæring kan ansatte også bli bevisst egen adferd. Hva er tillatt og ikke tillatt iht retningslinjene? Det er helt grunnleggende for å få effekt av prosedyrer og krav. Sovende prosedyrer og krav som ingen vet om eller vagt har kjennskap til har ingen effekt. Forskerne Thomson and von Solms 17 snakker om å gjøre sikkerhet til taus kunnskap. Det må sitte i ryggmargen. En kan sammenligne det med å lære å sykle eller å spille klarinett. Du kan ikke lese deg til det fra en instruks, du må prøve det i praksis og praktisere gjentatte ganger før det sitter i ryggmargen. Og det må vedlikeholdes. En survey blant IT-ledere og ledere som jeg gjorde sammen med Eirik Albrigsten og Jan Hovden i Trondheim 18 viser at opplæring og oppmerksomhetskampanjer er vurdert som mer effektive enn prosedyrer og rutiner, til tross for at prosedyrene og rutinene er mer utbredt i bruk. Datagrunnlaget forteller også at mens bedriftene i surveyen var relativt flinke til å lære opp nyansatte, så var det mer variabelt hvor vidt fast ansatte fikk noen opplæring i informasjonssikkerhet. Det kan derfor synes som om mange gir en startpakke, og så håper man at resten går av seg selv. Resultater fra Mørketallsundersøkelsen 06 viser også at øvelser er lite utbredt blant norske bedrifter sammenlignet med bruk av mer formelle tiltak som taushetserklæringer og retningslinjer. Jeg vet imidlertid at selv enkle tabletop-øvelser har hatt stor læringseffekt innenfor sivilt beredskap. Beslutningsapparatet har øvd på lite sannsynlige, men alvorlige krisesituasjoner som terror og naturkatastrofer. Disse øvelsene har også avdekket svakheter i systemet, uklarheter i roller og ansvar, hvilke systemer og ressurser man har til rådighet og kompleksiteten man må forholde seg til i den grad en hendelse oppstår. Jeg tror det kan være en overføringsverdi til norske 16 Hagen og Spilling, The Contribution of Security Measures to Detect and Deter Abuse of IT Systems, utkast til paper. 17 Thomson, K-L. and von Solms R. (2006) Towards an Information Security Competence Maturity Model, Computer Fraud & Security, Vol 2006 No 5, pp Hagen, Albrigsten og Hovden, Implementation and effectiveness of information security measures, artikkelutkast innsendt til Journal of Information Management and Computer Security. 6

7 virksomheter når det gjelder denne måten å jobbe på for å bli mer forberedt på å håndtere krisene som kan komme ved et eventuelt brudd på informasjonssikkerheten. Mens norske virksomheter er flinke på å ta i bruk modne forebyggende sikkerhetsteknologier, så har de i mindre grad innført tiltak for å håndtere hendelser hvis og når de oppstår. Bak forsvarsmuren er det altså mer fritt fram. Ser man dette opp mot skadepotensialet fra ondsinnede insidere, så ser man fort hvor sårbare virksomhetene er dersom de tror at informasjonssikkerhet kan løses kun med teknologi og noen rutiner. Jeg har nevnt at insidere ofte har utført angrep i etterkant av ansettelsesforholdet. Da er det viktig at tilgang slettes med en gang den ansatte slutter. Et anna viktig prinsipp er fordeling av plikter, dvs. at en person har begrenset mulighet til å utføre handlinger som kan ha store konsekvenser. En bør også ha spesiell kontroll med folk som har stor tilgang/rettigheter (IT og ledelse). Et godt passordregime er også viktig; lange nok passord, sammensetning av tegn, mulig å huske og ikke minst hemmelige passord. Jeg er kjent med fra tidligere arbeid med beskyttelse av samfunnet og forskning på kritisk infrastruktur at det tidligere var vanlig at passord hang på gule lapper for å lette vaktskiftet. Vi vet fra tidligere studier at misfornøyde ansatte kan være en sikkerhetsrisiko. Ledelsen bør sørge for at bedriften har systemer og en praksis for å fange opp negative synspunkter i organisasjonen og etablere rutiner og praksis som gjør at misfornøyde ansatte blir hørt og fulgt opp. Særlig er dette viktig, men kanskje også ekstra utfordrende i omstillingsfaser. Avslutningsvis så vil jeg si at mennesket er en sikkerhetsrisiko som fortjener å bli tatt på alvor i arbeidet med informasjonssikkerhet. Dette er spesielt viktig i dagens informasjonssamfunn der informasjon og kunnskap utgjør store verdier i norske virksomheter. Man skal ikke glemme at kunnskapen fremdeles sitter mellom ørene på folk. Selv om mye er digitalisert, er ikke alt digitalisert og improvisasjonsevnen er fremdeles en del av det biologiske systemet. Menneskene i organisasjonen må involveres i forhold til arbeidet med informasjonssikkerhet. Ved å bli bevisst trusler og varselssignaler, tror jeg at mennesker kan fungere som innbruddsdetekteringssystemer som bidrar til at for eksempel insider trusler oppdages. Dette krever imidlertid kontinuerlig opplæring slik at man vet faresignalene. For at slike hendelser skal rapporteres, må bedriften også ha en bedriftskultur som legger til rette for hendelseshåndtering. Med overføringsverdi fra avskrekkingsteorien og HMS er det forventet at økt rapportering vil både kunne ha en avskrekkende effekt og en effekt der antall alvorlige hendelser reduseres på sikt. Takk for oppmerksomheten. 7