IT-säkerhet som gör skillnad, att hjälpa och inte stjälpa

När man arbetar på den defensiva sidan av säkerhet upptäcker man att det inte bara är sårbarheterna som räknas. Faktum är att sårbarheterna spelar en ganska liten roll, så länge sannolikheten att de utnyttjas är låg och konsekvenserna också är små, behöver vi helt enkelt inte bry oss. Vad man behöver tänka på handlar alltså om risk, som ska balanseras mot verksamhetsnytta och kostnad att åtgärda risken.

Som säkerhetsgranskare kan risktänket vara lätt att glömma bort. Med en stark detaljorientering ser man sårbarheterna och vad det skulle kunna leda till om bara någon som var i samma position som man själv skulle vilja göra något. Det är ett önskvärt synsätt för att hitta sårbarheter - och utan det har risksynen inte något vettigt att fatta beslut på - men när det sedan ska komma något som verkligen har påverkan gör man gott i att omedelbart gå över till risksynen.

För att illustrera vad jag menar tänker jag använda mig av myndigheten för samhällsskydd och beredskap (MSB) och deras vägledning för smarta telefoner och surfplattor. Det är i skrivande stund ett dokument de önskar synpunkter på, så ha lite kul, läs igenom, och om du håller med om vad jag skriver härnäst: låt MSB få höra samma sak från dig!

Att jag väljer det dokumentet är inte ur det blå. För lite mindre än ett år sedan kom nämligen ENISA ut med en rapport om top 10 risker för smartphones. ENISA hade bedömt risken för olika sårbarheter, och då också tagit hänsyn till att risken är olika stor beroende på vilken angripare du kan tänkas ha. HMMM! Låter rätt förnuftigt skulle jag säga. Må hända kan det ha kommit med inspiration från OWASP Top 10 2010 som mycket tydligt visar att det handlar om en topp 10 lista för störst risk, inte värst konsekvens.

MSB har däremot kört in på ett helt annat spår. Deras vägledning blandar högt och lågt och det är minst sagt oklart vilken målgrupp de riktar sig till.

Här är några av de rekommendationer som ges för användarna av privata enheter anslutna till företagsnätet:

• Lösenordskydda enheterna så att de är låsta när skärmsläckaren är aktiv.
  Använd starka lösenord.
  
• Undvik att använda telefonen för att surfa på osäkra Internetsidor.

Här blandas verkligen högt och lågt. Det självklara som vem som helst förstår, blandas med att användaren ska kunna avgöra om en sida är "osäker". Say what? Hur ska Bert 37 år kunna avgöra om en sida är osäker? Jag är inte ens övertygad om att lösenordet behöver vara "starkt", så länge det inte är uppenbart är det OK i min bok. För vem skyddar man sig mot och i vilka scenarion? Vidare till nästa exempel...

• Stäng av de tjänster du inte behöver för stunden, t.ex. WLAN, Bluetooth, GPS, Datatrafik etc. Detta minskar telefonen och surfplattas exponering och sparar dessutom batteri.

Återigen, vem riktar man sig till och har man över huvud taget funderat över risken? Visst, stänga av funktioner minskar angreppsytan, men hur många angrepp per år händer på det här sättet i HELA VÄRLDEN?? Är det verkligen värt att be om uppmärksamhet för så små risker när det finns gapande hål på annat håll? För ett litet, litet antal personer är det här rådet förmodligen värt något, men för en förkrossande majoritet av MSB:s målgrupp är det bara obskyrt. Vidare till nästa exempel...

• Installera inga applikationer (appar) som det inte finns något behov av.
  Stäm av med IT-avdelningen vilka applikationer som är godkända att
  använda. Ladda endast ned applikationer från kända och välrenommerade
  bibliotek. Undvik reklamfinansierade applikationer och var medveten om
  vilken information applikationer kräver tillgång till.

Slösa IT-avdelningens resurser på att gå igenom vilka appar som är ok för någon användare att ha installerat på sin privata telefon? Tror inte MSB har stämt av detta med NÅGON IT-avdelning, inte ens deras egna.

• Koppla inte upp enheten mot okända oskyddade trådlösa nätverk.

Mitt förslag: Koppla bara upp enheten mot kända trådlösa nätverk som har WPA2-skydd.


... och så vidare. Enligt min mening har MSB helt missat målet. Säkerhetsråd skall finnas till för att hjälpa människor göra säkra och förnuftiga beslut. Har man dyra, krångliga åtgärder så kommer de med rätta avvisa det med minskat förtroende för källan som konsekvens. Min rekommendation till MSB är att ta ett steg bakåt, ta några djupa andetag och fundera igenom vilka realiserbara råd som ska ges till vem och varför. Ett dåligt dokument gör mer skada än vad saknaden av ett dokument gör. Ett par hjälpsamma frågor som ett dokument skall kunna svara på:

• Vilka 5 risker bör bemötas först?
• Var finns brytpunkten där åtgärderna börjar bli "dyra" i förhållande till deras riskreducering?
  
• Vad baserar sig sannolikhetsbedömningen på? Finns det verkliga siffror? Är det uppskattningar? Är det kopplat till svenskt territorium?
  
• Vad baserar sig konsekvensbedömningen på? Uppskattat worst-case scenario? Verkliga angrepp? Vad som är enkelt att automatisera och profitera på?
  

Ser mycket gärna att dessa frågor även besvaras för det andra dokumentet MSB nu har ute som de önskar synpunkter på, vägledning för USB minnen. Det finns ett stort behov av vägledning på dessa områden, så jag hoppas att MSB kan göra något bra för det.