Vi skal blive endnu bedre til at samarbejde om it-sikkerhed både i Danmark og internationalt. Skurkene samarbejder og videndeler – det skal sikkerhedsbranchen også, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En forbryder i Ukraine hacker sig ind på en dansk pc. Han overfører penge via netbanken til en dansk konto, hvis indehaver hæver pengene og sender nogle af dem til bagmænd i Rusland.
De it-kriminelle er foregangsmænd, når det gælder internationalt samarbejde. Derfor må vi i sikkerhedsbranchen gøre vort bedste for at matche dem, når det gælder samarbejde på tværs af landegrænser.
Konferencen London Conference on Cyberspace, der foregik den 1. og 2. november, handlede blandt andet om international bekæmpelse af it-kriminalitet. Der er en gryende erkendelse af, at sikkerhedsbranchen skal stå tættere sammen. Også i Danmark har vi brug for at blive bedre til at samarbejde. Det gør forbryderne.
Allerede i 2001 blev der vedtaget en international konvention om bekæmpelse af it-kriminalitet, Budapest-konventionen. Siden da har 30 lande underskrevet og ratificeret aftalen, og yderligere 16 har underskrevet, men endnu ikke ratificeret.
Budapest-konventionen harmoniserer lovgivningen i de enkelte lande, så man er enig om, hvad der udgør it-kriminalitet – og så retsvæsenet har de nødvendige værktøjer til at efterforske den.
Endvidere indgår hurtigt og effektivt internationalt samarbejde også i intentionerne bag konventionen.
Men en konvention er ikke nok. Jeg ser også et akut behov for at udnytte de værktøjer, vi allerede har, på en langt mere effektiv måde.
Savner fælles regler
Når vi i DK•CERT bliver opmærksomme på noget, der ligner kriminel aktivitet på en server i for eksempel Kina, kontakter vi den lokale ansvarlige for den pågældende IP-adresse. Herefter kan der overordnet ske et af følgende:
Den ansvarlige svarer os, at de undersøger sagen.
Den ansvarlige svarer os, at de har lukket for IP-adressen.
Den ansvarlige svarer ikke.
Her ville det være nyttigt, om vi havde klare regler og retningslinjer på tværs af landene, så vi altid kunne regne med at få et brugbart svar.
Men jeg vil ikke skyde skylden på de sikkerhedsansvarlige, der måtte sidde hos en internetudbyder i en landsby i Kina. Lad os i stedet kigge indad og stille spørgsmålet: Hvor gode er vi i Danmark til at reagere, når udlandet henvender sig med klager over kriminel aktivitet?
Vi reagerer langsomt
DK•CERT modtager jævnligt henvendelser om phishing-websteder, der er placeret på danske servere. Vi finder ud af, hvem der er ansvarlig for IP-adressen, og kontakter udbyderen, der ofte er et webhotel.
Og så sker der måske ikke noget. Ofte oplever vi, at danske webhoteller ikke reagerer på vores henvendelse. Vi må rykke flere gange, og der kan gå flere uger, før phishing-webstedet er lukket.
Det er ikke godt nok. Især ikke, fordi forskning viser, at de fleste ofre for phishing besøger webstederne kort tid efter, at de er oprettet.
Jeg synes derfor, at vi skal arbejde på to fronter i Danmark: Dels skal vi sikre hurtig kommunikation og handling internt i landet, dels skal vi arbejde for effektivt internationalt samarbejde.
Lad os mødes
Der findes en række forskellige danske fora, hvor it-sikkerhedsfolk mødes. Her diskuterer de aktuelle sager og trusler. Men det er mit indtryk, at disse fora sjældent mødes med hinanden.
Jeg synes, at vi skal etablere et fælles forum i Danmark. Lad os mødes og nå til enighed om, hvilke problemer vi støder på, og hvordan de skal løses.
Et godt eksempel på samarbejde er, at firmaerne i webhotelbranchen er ved at opbygge en brancheforening. Den skal blandt andet udvikle et kvalitetsmærke, som skal højne sikkerheden i branchen. I DK•CERT samarbejder vi med dem og ser det som et vigtigt skridt i den rigtige retning.
På den internationale side sluttede mødet i London med erkendelsen af, at harmoniseret lovgivning ikke er nok. Der skal også arbejdes for mere hurtig og effektiv videndeling på tværs af landene.
Efter London-mødet var nogle medier hurtigt ude med at kalde det en fiasko, fordi der ikke kom en ny international aftale i stand. Her synes jeg, at pressen skal passe på ikke at give et forvrænget billede af virkeligheden.
At opbygge tillid er en lang proces, hvis succes ikke skal måles i, om man vedtager en ny konvention. Vi har allerede Budapest-konventionen, lad os nu arbejde på at udnytte den optimalt!
Jeg deltager selv i det internationale arbejde i organisationer som FIRST (Forum of Incident Response and Security Teams). Og min erfaring herfra er, at det handler om at skabe tillid.
Når man mødes med de samme mennesker flere gange, lærer man dem at kende. Man får en fornemmelse af, hvem man kan have tillid til. Og når behovet opstår, er det naturligt at kontakte dem, som man kender og stoler på.
Derfor slår jeg til lyd for, at de sikkerhedsinteresserede i Danmark udvider samarbejdet. Og derfor skal vi fortsætte og udbygge det internationale samarbejde – også for dem, der ikke er i det politiske hierarki, men som udfører det daglige sikkerhedsarbejde. Som vi skrev i sidste års Trendrapport fra DK•CERT: "Styrk forskellene og dyrk samarbejdet!"
Oprindelig offentliggjort på Computerworld Online den 25. november 2011
LINKS
Formandens opsummering fra London Conference on Cyberspace
Wikipedia om Budapest-konventionen
Fallit-erklæring: Globalt it-politi tabt på de bonede gulve
Denne klumme på Computerworld Online