Ukens myte: Vi trenger ikke sikkerhet

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn.

Spesielt når vi snakker om personvern, men også når det dreier som om sikkerhet generelt, er det mange som inntar holdningen: “Jeg har ingenting å skjule, så hvorfor skal jeg bry meg om personvern?” For generell sikkerhet kan vi oversette dette til “Hvem ville være interessert i å stjele min informasjon?”, med varianter i retning av: “Våre systemer er så spesialiserte at ingen utenforstående har den nødvendige kunnskapen for å trenge inn i dem.” Dette er alle vrangforestillinger med rot i utilstrekkelig kunnskap, og i mange av våre prosjekter i olje- og gassindustrien har i praksis endt opp i en rolle som pedagoger og sikkerhetsbevissthetsevangelister.

På den annen side ser vi at mange sluttbrukere påstår at de er opptatt av personvern, men ved første korsvei hvor de er tvunget til å velge mellom funksjonalitet og personvern, så velger de funksjonalitet. Dette er nok grunnen til at så mange bruker tjenester som Facebook and LinkedIn, til tross for disses noe tvilsomme personvernretningslinjer, og hvorfor personvernfremmende teknologier (Privacy Enhancing Technologies – PETs) har hatt så store vanskeligheter med å slå gjennom i markedet.

En annen fallgrube som virksomheter kan falle i, er å anta at et lavt antall hendelser er synonymt med å ha en god sikkerhetsprofil. I dialoger med representanter for oljeindustrien diktet vi for mange år siden opp potensielle scenarioer som da ble ansett som urealistiske, men som kun får år senere viste seg å bli en realitet. Enhver sektor som involverer så mye penger som energisektoren må forvente å bli et mål for fremtidige angrep.

Spesielt når det kommer til programvaresikkerhet er det slik at sikkerhet er nødvendig også for komponenter som i seg selv ikke later til å være sikkerhetsrelaterte. Det klassiske eksempelet her er sårbarheten i Adobes Acrobat Reader, hvor et spesialkonstruert PDF-dokument kunne gi en angriper fjerntilgang til offerets datamaskin. Ingenting kan vel være mer uskyldig enn et program som ikke gjør annet enn å vise PDF-dokumenter, men når man mottar en PDF-fil i en epost (eller forsåvidt laster den ned fra Internett) vet man ikke hvor den kommer fra, og filen representerer således en mulighet for en angriper å lure ondartet kode inn under radaren.

Jeg er fristet til å konkludere at i de fleste tilfellene hvor noen hevder at de ikke har behov for sikkerhet, så skyldes det snarere en manglefull risikovurdering enn noe annet.

Denne teksten er basert på min Dr.Philos.-avhandling Security in Critical Information Infrastructures

Illustrasjon ved Flickr-bruker Insomnia Cured Here, CC BY-SA 2.0
Fra filmen “The Treasure of the Sierra Madre”