Fra tid til anden opstår informationssikkerhedshændelser.
Nogle af dem sker som følge af cyberangreb. De får mere og mere opmærksomhed, dels fordi de i de seneste år har ramt store danske børsnoterede selskaber, dels fordi det er vigtigt at dele erfaringer om håndtering af hændelser, og hvordan vi undgår dem.
Selv deltager vi i DKCERT i arbejdet med håndtering af cybersikkerhedshændelser, hvis de opstår hos vores brugere – universiteter og andre institutioner på forskningsnettet.
Og endnu mere bidrager vi til forebyggelsen, idet ”DKCERT udsender advarsler og anden information om potentielle risici og begyndende sikkerhedsproblemer”, direkte til de berørte eller efter omstændighederne til offentligheden, som det fremgår af vores mission. Den kan læses på vores hjemmeside.
Men hvem er det egentlig, der opdager hændelserne?
Lad mig komme med en analogi.
Når der sker en hændelse
Fødevaremyndighederne holder på stikprøvebasis øje med, om fødevarer i Danmark overholder de standarder og retningslinjer, der er sat op for den slags.
Det sker blandt andet ved kontrol ved grænser og jævnlige besøg hos fødevareproducenter, slagterier, mejerier, supermarkeder og så videre.
Sker der en hændelse, eksempelvis syge dyr på gård, slår gårdejeren alarm, hidkalder dyrlæge, der diagnosticerer og eventuelt slår alarm til myndighederne.
Andre eksperter inddrages, landbrugskonsulenter hjælper med at analysere årsagen til sygdommen, rengøringsfirmaer rydder op og arbejder for at minimere risikoen for, at hændelsen kan ske igen. Erfaringer drages og deles i miljøet, og sådan lærer man af hinanden.
Er det en smitsom sygdom blandt dyrene, skal der ske en koordinering mellem relevante myndigheder, andre gårdejere og interessenter som for eksempel landbrugsorganisationer, kommuner, lokale landbrugsforeninger og så videre for at håndtere hændelsen, før den udvikler sig og får alvorligere konsekvenser for andre besætninger eller folkesundheden.
Som vi for eksempel har set det med minkfarme, hvis dyr blevet slået ned på grund af coronasmitte. Er der nogle erfaringer med hændelsen og hændelseshåndteringen, som hurtigt skal deles for at sikre, at andre kan lære noget af den og undgå at blive ramt samme type?
Ejeren har ansvaret
Ansvaret for overholdelse af gældende regler, og det at holde øje med sikkerheden, påhviler altid ejeren af den pågældende produktionssted.
Det er det, vi kunne kalde ejeransvaret. Det ansvar tilsiger blandt andet, at ejeren skal sætte kontroller op og have god sikkerhedsstyring, hygiejne og så videre.
Er der fra myndighedernes side krav om efterlevelse af en sikkerhedsstandard, er det ejeren, der skal overholde den (mens myndighederne skal kontrollere, at ejeren overholder den).
En sikkerhedsstandard kan for eksempel stille krav om politik for hændelseshåndtering, beredskab, risikovurdering osv. Har man behov for det, kan man certificeres efter standarden.
På fødevareområdet har myndighederne på den måde sektoransvaret for fødevarer, og det kan de forvalte ved at kræve standarder efterlevet og fx etablere smileyordninger, så også kunderne kan være med til at løfte sikkerhedsniveauet.
Ejeren skal opdage hændelsen
Men hvem var det, der opdagede den syge gris? Var det fødevaremyndighederne? Nej, det var gårdejeren, der observerede unormal adfærd og tilkaldte en ekspert, der kunne stille en diagnose. Hvem var det, der opdagede de syge mink? Det var gårdejeren, der som følge af et påbud fra myndighederne om at teste alle minkbesætninger, iværksatte kontrollen og tilkaldte eksperten, dvs. dyrlægen.
Hermed har myndigheden levet op til sit ansvar og lovgivningen og iværksat en kontrol. Minkfarmeren har levet op til krav fra myndigheden og undersøgt sin besætning ved hjælp af en ekspert.
Men det er stadig ejeren, der har ansvaret.
Det er trods alt også ejerens besætning og ham/hende, der har hele sin produktion på spil. Det kan aldrig være myndigheden, landbrugskonsulenten eller andre, der påtager sig ansvaret for sikkerheden i det enkelte produktionssted.
Hvis det var, kunne myndighederne ikke lave andet hele tiden, dag ud og dag ind, 24 timer i døgnet end at holde øje med alle fødevareproduktionssteder. Hver eneste liter mælk, hver eneste slagtesvin, hver eneste kylling skulle kontrolleres for at se, om der var hændelser under opsejling.
Det er hverken realistisk eller fornuftigt.
Det har ikke kun noget med ressourcer at gøre.
Det har noget at gøre med, at ejeren har det bedste kendskab til eget produktionssted og dermed også den, der kan opdage og håndtere hændelser bedst.
Det gør ejeren bedst ud fra principperne i risikobaseret ledelse. Så får ejeren det sikkerhedsniveau, han/hun ønsker, som passer til virksomheden, trusselsbilledet og risikovilligheden.
Kan man sammenligne data med svin?
Nogle vil mene, at data er lige så uregerlige som svin og mink. De er i al fald svære at inddæmme.
Er der en sprække i en indhegning, vil de finde ud. Ligesom data, der ikke er godt nok beskyttet, altid vil komme ud. Enten ved hjælp af cyberkriminelle, eller fordi der sker utilsigtende hændelser. En medarbejder, der for eksempel mister en rapport eller sender den til en forkert modtager.
Og så kommer vi til beskyttelsesniveauet. Ligesom det er gård- eller dataejerens ansvar at opdage hændelser, er det også gård- eller dataejerens ansvar at have det beskyttelsesniveau og monitorere på den måde, der passer til hans/hendes forretning.
Er der risiko for coronasmitte blandt mink, så beskytter man sine mink ekstra godt, laver ekstra monitorering for en periode.
Er medarbejdere på et universitet ved at udvikle en coronavaccine, så er de forhåbentligt klar over, at de har informationer, der er særligt eftertragtede, og at disse data skal beskyttes ekstra godt. Nok bedre end oplysninger om antallet af kyllingesandwich, som kantinen har solgt.
Om end cyberkriminelles adgang til data om vaccineforskeres spisevaner godt kan bruges til at lave spearphishingangreb. Men det er en anden sag.
Heller ikke en myndighed kan se alt
I realiteten har de kun de få indviede, for eksempel systemadministratorer og Security Operations Centre, mulighed for at opdage hændelser.
Dette sker på baggrund af ejerens ønske om at monitorere for forskellige typer af databevægelser, der kan indikere cyberangreb.
Alle andre har lige så lille mulighed for at vide, hvilke data medarbejdere ved et universitet modtager og udveksler, som fødevaremyndighederne har at se, hvad der gemmer sig i borgernes køleskabe.
For det er borgerne langt bedre til end alle mulige andre, ligesom gårdejeren er langt bedre til det end fødevaremyndighederne, og dataejeren er langt bedre til det end de relevante myndigheder og andre aktører på informationssikkerhedsområdet.
På samme måde som borgerne har ejerskabet over deres eget køleskab og tager ansvar for risikoen ved at spise indhold, hvis ”bedst før”-dato er overskredet, har dataejeren også selv ejerskabet over egne data og tager ansvaret for selv at tjekke holdbarhedsdatoen.
For at kunne løfte det ansvar, har dataejeren brug for løbende opdateret viden om relevante trusler og sårbarheder, så hun eller han kan beregne den risiko, virksomheden eller institutionen skal beskytte sig imod.
Det er den – både generelle og specifikke – viden, DKCERT skal bidrage med.