Henrik Larsen, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle spørgsmål om informationssikkerhed.
Endelig. Efter næsten 1½ år med begrænsninger i vores bevægelsesfrihed er vi langt om længe kommet ud i det fri. En skærende kontrast til pressemødet den 11. marts 2020, hvor de fleste af os for første gang siden den kolde krig oplevede, at vores sikkerhed var truet. Pandemien var kommet til Danmark.
Mission: Beskyt samfundskontrakten
Den gang på pressemødet fortalte statsministeren os, at vi måtte forhindre virus i at sprede sig. Vi måtte blive hjemme, der blev indført restriktioner og nødlove. Alternativet til restriktioner var ikke mulige, bl.a. pga. verdensmangel på mundbund og sprit. Hospitalerne kunne ikke håndtere en krise som den forestående, og vacciner fandtes ikke. Potentielt mange døde danskere var ikke acceptabelt.
Samfundskontrakten - ’hypotetisk aftale indgået mellem frie og rationelle individer mhp. opnåelse af bl.a. social orden’, som det hedder i https://denstoredanske.lex.dk/samfundskontrakt - skulle beskyttes ved at begrænse vores frihed. Dette i en fælles forståelse om, at det kun var for en periode.
I praksis var det samfundssystemets brugervenlighed, der blev begrænset. Dette for at højne sikkerheden. Det gik ud over effektiviteten og var en stor økonomisk byrde for samfundet.
Danmark i sikkerhedsmæssig ubalance
Disse tre elementer – brugervenlighed, sikkerhed og økonomi – er centrale begreber i en informationssikkerhedsmæssig kontekst. Forstået på den måde, at du kan opnå højere sikkerhed ved at betale for det, og/eller ved at begrænse brugervenligheden. NemID er et eksempel på et system, der har begrænsninger i sin brugervenlighed af hensyn til sikkerheden. Du skal bruge to-faktorautentifikation for at identificere dig. Det er lidt besværligt, men sikkert. Det koster også noget at drive. Mange ville sikkert mene, at der var mere brugervenligt, hvis man kunne nøjes med at logge ind med fx brugernavn og password. Men det er ikke spor sikkert og ville helt sikkert koste mere, hvis staten, banker og andre skulle håndtere erstatningssager bagefter, identitetstyveri osv. For ikke at tale om prisen for tabt tillid.
Som jeg tidligere på denne plads har givet udtryk for, så er NemID efter min opfattelse et udtryk for en fin balance mellem brugervenlighed, sikkerhed og økonomi. Der er helt sikkert nogen, der mener noget andet.
Det danske samfundssystem er almindeligvis også i en form for balance mellem brugervenlighed, sikkerhed og økonomi. Nogen vil godt nok have mere frihed og brugervenlighed, andre mere sikkerhed. Begge har nogle økonomiske implikationer, som man også kan diskutere.
Men det kan næppe diskuteres, at vi kom i stærk ubalance, da pandemien ramte.
Sikkerheden daler
Jeg har tegnet et diagram for at vise, hvordan Corona har påvirket balancen i det sidste 1½ år. (Værdierne på grafen skal ikke ses som absolutte, det er blot en illustration af forholdet mellem de tre elementer).
Før Corona i januar 2020 var Danmark nogenlunde i balance. Vi havde høj grad af bevægelsesfrihed (samfundet var brugervenligt og effektivt) og en høj sikkerhed. Økonomien gik nogenlunde i nul med lidt udsving fra år til år, men i det store hele gik det økonomiske regnskab op. At det kan lade sig gøre, vil nogen sikkert mene handler om vores tillid til hinanden, vores høje uddannelsesniveau, digitaliseringen, og at vi vil hinanden det godt.
I marts 2020 kommer Corona for alvor til Danmark. Sikkerheden for danskerne er pludselig blevet lav, sundheden er under pres fra virus, og i kraft af det, beslutter regeringen at lukke landet ned. Samfundets brugervenlighed sænkes, så vi i praksis ikke kan bevæge os frit. Det koster: Virksomheder tjener ingen penge, statskassen betaler milliarder og går glip af milliarder. På grund af lavere effektivitet.
I slutningen af april 2020 har begrænsningen i vores bevægelsesfrihed haft en effekt på sikkerheden. Den første bølge har toppet, der er færre smittede og efterhånden færre indlagte. Men det er stadig rigtigt dyrt for statskassen.
I juli 2020 går det så godt med sikkerheden, at der er blevet lempet på restriktionerne. Brugervenligheden er steget, men det går ud over sikkerheden, så anden bølge rammer i november/december. Der må lukkes ned igen i januar. Vi er stort set slået tilbage til start, men nu er vaccinerne begyndt at blive rullet ud, og i maj åbnes der ud fra en kalkuleret risiko lidt mere op.
I dag i slutningen af juni står vi så i den situation, at restriktionerne er stort set væk. Smittetallene er lave, og fordi vaccinerne har gjort deres, har vores genvundne sociale frihed ikke længere konsekvenser for sikkerheden. Vi skal fortsat teste, vaccinerne koster og bliver ved med at gøre det, men den pris vil vi vel gerne betale for at undgå, at vi bliver nødt til at skære ned på brugervenligheden. Som jo også koster.
Risikostyring på et makroniveau
Disse overvejelser om brugervenlighed, sikkerhed og økonomi, understøttet af adfærdsmålinger, smittegrafer, økonomiske nøgletal osv. har regeringens krisestyringsorganisation helt sikkert gjort sig igennem deres risikostyring i de sidste 1½ år. Måske uden at vide, at man også kan bruge det til at forklare informationssikkerhed, hvad ved jeg.
Siden januar 2020 er der nemlig ud fra en trusselsvurdering (truslen fra Corona er MEGET HØJ) lavet en risikovurdering med udgangspunkt i sandsynligheden for og konsekvensen ved smittespredning i samfundet.
En risiko er som bekendt en mulig hændelse, der, hvis den opstår, vil have indvirkning på opfyldelsen af målene i projektet. Corona truede, hændelsen var potentielt mange døde, målene var varetagelse af danskernes sikkerhed (= samfundskontrakten), projektet sammenhængskraften.
Krisestyringsorganisationen havde ansvaret for at sikre, at alle risici var afdækket og derudfra beslutte tiltag.
Risikostyring på et mikroniveau
Nøjagtig samme overvejelser, som blev gjort dér, bør styregruppeformænd, ledere, virksomhedsejere, direktører osv gøre i dagens cybersikkerhedsmæssige trusselsbillede, blot på et mikroniveau.
Vi ved jo, at der er stor sandsynlighed for at blive ramt af cyberkriminalitet, cyberspionage osv. Det har CFCS netop fortalt os i sin seneste trusselsvurdering.
Gør vi intet, og vi bliver ramt, koster det. At forebygge koster også, men i de fleste tilfælde vil det være bedre at forebygge end at rydde op efter en hændelse. Se blot på Colonial Pipeline og alle de andre, der har været udsat for ransomwareangreb.
Hvis forebyggelsen handler om at opstille kontroller, beskyttelsesmekanismer og restriktioner, som pr. definition er tidskrævende og mindre brugervenlige, så må vi være villige til at betale den pris i form af lavere effektivitet.
Men disse overvejelser kræver, at vi ved, hvilke værdier vi skal beskytte og vigtigheden af dem. Når vi ved det, og vi kender trusselsbilledet, så kan vi også lave vores risikovurdering. Med den i hånden kan vi beslutte, hvad vi vil acceptere af risici, og om vi skal betale os fra det med brugervenligheden eller cool cash, så vi kan komme i balance.
Der var ingen tvivl om, hvad regeringen og dens krisestyringsorganisation prioriterede og handlede ud fra.
Spørgsmålet er, hvordan det ser ud med din balance? Ved du hvad du prioriterer, og betaler du up front med brugervenligheden eller økonomien for at få den sikkerhed, du gerne vil have?
Eller vil du hellere betale på bagkant i en periode med MEGET HØJ trussel fra cyberkriminalitet og cyberspionage?