Det er mange som hevder at angrep er det beste forsvar, så også når det gjelder informasjonssikkerhet. Penetrasjonstesting har etterhvert blitt en anerkjent og mye brukt praksis for å teste sikkerhetsnivået i datasystemer. Bedrifter leier inn ekspertise fra sikkerhetsfirmaer som får tillatelse til å hamre løs på bedriftsnettverkene med mer og mindre sofistikerte verktøy i håp om å finne sikkerhetshull og systemsvakheter – forhåpentligvis før de svarthattede, ondsinnede trenger seg inn. I denne prosessen lurer jeg imidlertid på hvor langt man kan gå. Når brytes grensen for hva som er etisk forsvarlig sikkerhetstesting?
Metasploit er et eksempel på eksisterende penetrasjonstestrammeverk, en verktøykasse for sikkerhetstesting, angivelig beregnet på IT- og sikkerhetseksperter. I tillegg til at rammeverket inkluderer angrepsverktøy rettet mot tekniske systemer, har de nå nylig også lansert verktøy som forenkler prosessen med å gjennomføre phishing-angrep både via e-post og web. Mine etiske varsellamper begynner å lyse når man legger godt til rette for angrep rettet mot individer og ikke bare systemer.
En penetrasjonstest som også tar i bruk de nye phising-modulene kan komme opp med følgende resultater:
- ”web-server X inneholder sårbarhet Y, og den kan vi bruke til å hente ut
sensitiv bedriftsinformasjon, SensINFO”, og - ”Nils Nilsen og Kari Karisen ble utsatt for phishing-angrep, og begge ble lurt til å oppgi sine brukernavn og passord. Dette kan vi bruke til fjernpålogging mot web-server X for å hente ut SensINFO”
I begge eksemplene er resultatet at en angriper vil kunne få tilgang til bedriftens sensitive informasjon. Jeg er helt enig i argumenter om at menneskelige faktorer er vel så viktig som tekniske tiltak i sikkerhetsarbeidet, hvilket eksempelet også viser. Allikevel er det noe som skurrer. Som bedriftseier ville jeg ønsket å avdekke alle sårbarheter slik at sikkerhetstiltak kan skreddersys og iverksettes for å hindre lekkasje av skjermingsverdig informasjon. Som ansatt i selskapet tror jeg imidlertid jeg ville følt meg svært ukomfortabel med at noen til enhver tid kan legge feller for meg for å se om jeg snubler. Jeg ville følt meg uglesett. Man bør tenke seg om før man som etisk sikkerhetstester og bedriftseier retter angrepsskytset mot de ansatte og enkeltindivider.
Det er viktig å bygge god sikkerhetskultur for å øke bedrifters sikkerhetsnivå, også hva gjelder sårbarheter knyttet til sosial manipulering. Gode sikkerhetsholdninger bør imidlertid baseres på ansattes kompetanse og ønske om å verne om bedriftens aktiva, framfor frykt for å bli avslørt som synder i en sikkerhetstest.