Hackerne skal kun vinde én gang for at have vundet

Infrastruktur

13/03/2014 14:45

Freja Eriksen

Lektor Christian Damsgaard Jensen, leder af DTU Computes nye uddannelsesforløb i cybersikkerhed er ikke i tvivl. Med digitaliseringen af al kommunikation er behovet for eksperter i IT-sikkerhed kun stigende. Læs første indlæg i blogstafetten om IT-sikkerhed.

Digitalisering i den offentlige sektor

Det danske samfund bliver i stigende grad afhængigt af IT. Der indsamles store mængder data om danske borgere, fra Skats centrale registrering af finansielle forhold, til borgernære services som udbetaling af sociale ydelser. Selvbetjening over internettet bliver i stigende grad brugt som en nem og bekvem måde for borgerne at interagere med de offentlige myndigheder. Disse centrale databaser indeholder data af stor værdi, både for IT-kriminelle og almindelige virksomheder. De IT-kriminelle kan benytte disse data til at udføre kriminelle handlinger som f.eks. identitetstyveri, mens virksomheder kan benytte disse data til at udvikle profiler, der kan bruges til målrettet reklame eller til at differentiere prisen på en vare, således at kunder, der sandsynligvis kan og vil betale mere for en vare, får tilbudt denne til en højere pris end typiske discount-kunder. Man kan danne sig et billede af værdien af målrettet reklame ved at se på Google, som lever af at levere ”gratis” ydelser mod at kunne profilere ”kunderne” og levere målrettede reklamer. Aktieværdien af Google ligger omkring 400 milliarder US Dollars, hvortil man kan lægge Googles driftsomkostninger for at få et billede af værdien af de informationer, som ”kunderne” gratis har givet til Google (dette illustrerer at ”hvis man ikke betaler for varen, så er man ikke kunde men varen”). Forskere ved Universitat Politecnica de Catalunya og Telefonica Research i Spanien har for nylig undersøgt prisvariationer på flere e-handelssteder og vist, at priser kan variere med 10%-30% afhængigt af kundens browserhistorik og systemkonfiguration. Det er altså ikke underligt, at der er en stor interesse i at få adgang til detaljerede data om den enkelte borger, og at truslen fra IT-kriminelle er stigende (se også Efterretningsmæssig risikovurdering 2013 fra Forsvarets Efterretningstjeneste). Det danske samfund bliver i stigende grad sårbart over for truslen om IT-kriminalitet, det være sig almindelige kriminelle eller fremmede magter (der er hidtil intet der tyder på, at almindelige private virksomheder prøver at få uretmæssig adgang til offentlige data, men tilfælde af industrispionage mod virksomheders lovpligtige indberetninger kan ikke udelukkes).

Læs også: Ny blogstafet om IT-sikkerhed i Danmark

Myndighedernes forvaltning af borgernes data og tillid

Danmark fremstår år efter år som et af de mindst korrupte lande i verden, og vi har berettiget tillid til vore politikere og embedsmænd. Når offentlige myndigheder beder om informationer, giver vi normalt disse informationer i forvisning om, at de behandles fortroligt og opbevares på en betryggende måde.

Der har i løbet af det sidste par år været flere opsigtsvækkende tilfælde af brud på datasikkerheden i offentlige myndigheder eller (måske især) de kommercielle partnere, der i stigende grad driver offentlige IT-systemer. Mest synlig har nok været sagen om indbruddet hos CSC, hvor en hacker kom i besiddelse af politiets registre over udstedte kørekort (med tilhørende CPR-nummer) og efterlyste under Schengen-samarbejdet, samt fik adgang til e-mails for omkring 10.000 tjenestemænd, men tilgængelighedsangrebet (DDoS – Distributed Denial of Service) mod NemID i marts og april 2013 har også fået bred omtale. Senest har Edward Snowdens afsløringer af den amerikanske efterretningstjeneste NSAs massive overvågning af både tele- og internetkommunikation sat fokus på de oplysninger, der registreres om os.

Som del af Rigsrevisionens arbejde, har de i foråret 2013 kigget på IT-sikkerheden hos Statens IT, der driver IT-systemer for en række statslige virksomheder, som f.eks. Digitaliseringsstyrelsen, Klima-, Energi-, og Bygningsministeriets departement samt Energistyrelsen, der alle medvirkede i Rigsrevisionens undersøgelse. Resultatet af denne undersøgelse viste, at ingen af virksomhederne systematisk følger god praksis indenfor to ud af de tre sikringstiltag, Rigsrevisionen havde identificeret som de vigtigste til forebyggelse af hackerangreb, og at kun halvdelen af virksomhederne systematisk følger god praksis inden for det sidste sikringstiltag. Som følge af denne evaluering har Rigsrevisionen i oktober 2013 fremsendt en ”Beretning til Statsrevisorerne om forebyggelse af hackerangreb”, der redegør for situationen. Det skal til retfærdighed siges, at Statens IT, som den første statslige styrelse, er blevet certificeret efter den internationale sikkerhedsstandard ISO 27001 i marts 2014. Ikke desto mindre rejser disse sager en række spørgsmål omkring myndighedernes forvaltning af borgernes data og deres kontrol af de private virksomheder, de i nogle tilfælde sætter til at drive IT-systemerne for sig. Nogle data afgives frivilligt, men der er en stigende tendens til, at borgere tvinges over på digitale platforme for at kunne henvende sig til offentlige myndigheder, hvilket forøger myndighedernes moralske ansvar for at behandle data fortroligt og opbevare dem på en sikker måde. 

En IT-sikkerhedsstrategi består normalt af tre elementer: Forebyggelse, detektion og retablering. Forebyggelse går i denne sammenhæng ud på at udvikle sikre IT-systemer og installere og drive dem på en sikker måde. Detektion går ud på at opdage, når noget går galt, således at man kan stoppe angrebet eller minimere dets konsekvenser, og pågribe gerningsmanden, hvis det er muligt. Endelig går retablering ud på at finde ud af, hvordan IT-systemet er blevet kompromitteret, fjerne usikkerheden og eventuelle bagdøre, hackeren måtte have installeret, samt genetablere systemet i en sikker tilstand.

Danmark har med oprettelsen af Center for Cybersikkerhed (CfCS) under Forsvarets Efterretningstjeneste og oprettelse af et nyt nationalt Cyber Crime Center under Rigspolitiet oprustet kraftigt på området ”detektion”, men dette virker kun forebyggende, efter at tjenesterne har demonstreret deres evne til at fange og retsforfølge IT-kriminelle. Problemerne med at implementere gode strategier indenfor forebyggelse og retablering bliver ikke mindre af, at der er en endelig mængde af kvalificerede medarbejdere at trække på. Ponemon Institute har netop udgivet en rapport om IT-sikkerhedsafdelinger sponseret af HP Enterprise Security, som viser, at 58% af alle lederjob, der slås op indenfor IT-sikkerhed, ikke bliver besat, og at det samme gælder for omkring 40% af alle ledige jobs i IT-sikkerhedsafdelinger. Der er således et stort og voksende behov for kvalificerede medarbejdere indenfor IT-sikkerhed.

IT-sikkerhedsuddannelser på DTU

I slutningen af 2012 henvendte en række virksomheder, interesseorganisationer og myndigheder sig til DTU Compute, som har det mest omfattende udbud af kurser indenfor IT-sikkerhed i Danmark, for at bede os om at hjælpe dem med at få kvalificerede medarbejdere inden for området. DTU arbejdede allerede på at definere en ny studielinje indenfor ”Computer Security” på kandidatuddannelsen i Informationsteknologi, men som resultat af denne henvendelse, blev det besluttet at oprette et særligt uddannelsesforløb inden for cybersikkerhed i nært samarbejde med disse eksterne partnere. Virksomheder, interesseorganisationer og myndigheder er med til at definere behov og underviser desuden de mest praksisnære elementer af uddannelsesforløbet. 

Den etablerede studielinje i ”Computer Security” har til formål at uddanne systemudviklere, der kan bygge sikre IT-systemer eller værktøjer til at undersøge sikkerheden af eksisterende programmer og protokoller, dvs. at den i høj grad retter sig mod forebyggelse af hackerangreb.

Kampen mod hackerangreb er desværre meget asymmetrisk, idet hackerne kun skal vinde én gang for at have vundet, mens sikkerhedsfolkene skal vinde hver gang. Der er derfor også et stort behov for IT-sikkerhedsspecialister, der kan hjælpe med at opdage hackerangreb og retablere systemerne, når skaden er sket. Det er her, at det nye undervisningsforløb, der foregår inden for rammerne af den etablerede studielinje har sit fokus, og det er også her, at de praksisnære kompetencer, der besiddes af eksperter i industrien kommer DTU Computes studerende til gode.  

Mest Læste

Annonce