Håndtering av IKT-sikkerhetsbrudd – inntrykk fra en konferanse

FC Nürnberg
FC Nürnberg

12.-14. mars deltok Inger Anne og Maria på en konferanse i Nürnberg, Tyskland: 7th International conference on IT security incident management and IT forensics. Blant høydepunktene var foredrag som tok for seg kostnadene ved cyberkriminalitet, samarbeid mellom responsteam, og praktiske innblikk i hvordan drive etterforskning digitalt. Vi bidrog med presentasjon av indikatorer for måling av informasjonssikkerhet, og resultater fra en intervjustudie i kraftbransjen.

Inger Anne presenterte artikkelen Forewarned is Forearmed: Indicators for Evaluating Information Security Incident Management. Resilience har blitt beskrevet tidligere på denne bloggen, og er et begrep som er nyttig også i arbeidet med informasjonssikkerhet. I denne artikkelen tas det utgangspunkt i et rammeverk for måling av resilience (REWI), utarbeidet for bruk i oljesektoren. Rammeverket tilpasses så til informasjonssikkerhet, og det foreslås et sett av indikatorer som virksomheter kan velge fra.

Maria presenterte sitt arbeid med intervjustudien blant store norske nettselskap. Denne er  beskrevet i artikkelen A Case Study: Preparing for the Smart Grids – Identifying Current Practice for Information Security Incident Management in the Power Industry.

Konferansen bød på mange praktisk orienterte foredrag og hadde overraskende høy andel deltakere fra industrien. Fra Carnegie Mellon University og James Madison University ble det presentert et arbeid rundt kommunikasjon og hvordan utvikle felles mentale modeller blant medlemmer i et CSIRT (Computer Security Incident Response Team). De hadde gjort en studie av hvilken informasjon ulike team syntes det var viktig å dele med andre team i en krisesituasjon, og fant at det var veldig stor variasjon i hva de ulike deltakerne mente om dette.

Måling av informasjonssikkerhet ble dessuten grundig diskutert i første keynote-foredrag av Rainer Böhme fra Westfälische Wilhelms-Universität Münster. Han presenterte resultatene fra deres arbeid med å komme frem til et mål på hvor mye cyberkriminaltet koster. Arbeidet deres er på mange måter en reaksjon på skremselsbildet som blir presentert fra deler av sikkerhetsindustrien, der estimatene for kostnader er svært høye. Deres konklusjon er at tradisjonell kriminalitet som nå har blitt flyttet til nett (eksempler er skatte- og trygdesvindel) medfører mye høyere kostnader enn de nye typene av kriminalitet som har kommet med Internett. Basert på deres beregninger vil det også være mer fornuftig å bruke mindre penger på å oppdage og hindre kriminalitet (antivirus, brannmur, osv.) og mer på reaksjoner i etterkant – slik som å fakke de ansvarlige og stille de til ansvar. De fant at kostnaden av cyberkriminalitet for samfunnet er mye mye større enn det kriminelle tjener på det selv. De store kostnadene kommer som indirekte kostnader på grunn av mindre tillit til online tjenester, og som kostnader for å beskytte seg.

Det var også flere praktiske innlegg, blant annet et fra SIEMENS om hvordan de gikk frem da Stuxnet ble oppdaget. Det var også innlegg om hvordan man kan samle og sikre bevis på mobile enheter.

De fleste presentasjonene fra konferansen er fritt tilgjengelige på nett.