Artikel top billede

Nu må krypteringens storhedstid komme

Klumme: Eksperter som Bruce Schneier mener, at efterretningsvæsenernes overvågning endelig kan få brugerne til at kryptere deres data - men det bliver ikke let.

Kryptering er vejen frem.

Det var den konklusion, jeg tog med mig hjem efter en spændende dag i selskab med to internationale sikkerheds-ikoner i sidste måned.

Krypteringseksperten Bruce Schneier og F-Secures Mikko Hyppönen var inviteret til Danmark i forbindelse med et arrangement i København.

Kryptering er uomgængeligt

Budskabet fra de to var klart: Efter afsløringen af NSA's og andre sikkerhedstjenesters omfattende dataopsamling, er kryptering uomgængelig.

Som gammel krypteringsmand glædede det mig.

Før jeg kom til DKCERT, tilbragte jeg nemlig adskillige år i krypteringsbranchen.

Dengang som nu tror jeg på, at kryptering er en fantastisk effektiv teknologi til at holde noget hemmeligt.

Alligevel fik jeg under seancen med de to koryfæer en tanke: Er vi egentlig kommet videre? Står vi ikke samme sted, hvor vi stod for 20 år siden?

Jeg var fristet til at spørge Bruce Schneier om det, da jeg efter foredraget fik lejlighed til at hilse på ham.

Men jeg endte med at gå derfra uden at spørge - måske fordi jeg allerede kendte svaret på spørgsmålet.

Utopien der udeblev

Han har nemlig selv givet svaret i sine bøger.

I sin mest kendte bog, "Applied Cryptography" fra 1994, beskriver han en matematisk utopi, hvor kryptering løser alle problemer med fortrolighed og sikkerhed.

Men i indledningen til "Secrets & Lies" fra år 2000 skriver han, at denne bog til dels er skrevet for at rette en fejl i forgængeren: Kryptering er ikke løsningen på alle sikkerhedsproblemer.

Årsagen er, at kryptering ikke eksisterer i et vakuum. Det er en teknologi, der indgår som et delelement, når vi forsøger at sikre vores kommunikation og data.

Da jeg selv forsøgte at udbrede krypteringsløsninger, var det frustrerende at se, hvor mange problemer de kunne have løst - men hvor kryptering ikke blev anvendt.

Mange tilfælde af mistede fortrolige data kunne være undgået, hvis dataene havde været beskyttet med kryptering.

Ja, Danmark har fået først den digitale signatur og siden NemID - nationalt udbredte løsninger baseret på kryptering. Men derudover: hvor meget indgår kryptering så i virksomhedernes daglige it-drift?

Ud over den obligatoriske SSL-sikring af websider er det næppe megen kommunikation, der er krypteret. Hvornår har du sidst modtaget en krypteret e-mail - eller sendt en?

Her er de store udfordringer

Kryptering i et samspil

Måske kan afsløringen af den omfattende overvågning være med til at sætte gang i brugen af kryptering.

Det gav talerne udtryk for.

Jeg tror, bevidstheden om overvågning kan være et skub i den rigtige retning.

Men vi må stadig erkende sandheden i Schneiers ord om, at kryptering ikke eksisterer i et vakuum.

Sikkerhed opstår i et samspil mellem teknologi, processer og mennesker.

Kryptering udgør kun teknologi-siden. Og den er den nemmeste at få på plads i forhold til processerne og menneskene.

For eksempel er det teknisk set nemt nok at indføre kryptering af data, virksomheden lagrer.

Men hvilke data skal krypteres? Hvem skal have adgang til dem? Hvordan gør man? Hvad med data på smartphones og laptops? Og hvordan håndterer man de nøgler, der er afgørende for kodning og afkodning?

Ledelsen skal fastlægge procedurerne. Medarbejderne skal undervises.

Fik du min krypterede mail?

Endnu større bliver udfordringen, når vi skal beskytte vores datakommunikation.

Her skal vi blive enige med vores samtalepartnere om, hvordan vi krypterer. I princippet er kryptering af e-mails en simpel opgave.

Men i praksis kender jeg meget få uden for sikkerhedsverdenen, der gør det.

Det er simpelthen for besværligt at skulle finde frem til modtagerens offentlige nøgle, før man kan sende en mail. Og bruger de nu PGP eller S/MIME?

Standarder hjælper

Derfor er vi ikke kommet så meget længere de sidste 20 år.

Vi har teknologien på plads, men processer og mennesker halter bagud.

Hvad kan vi så gøre ved det?

Der findes flere udmærkede værktøjer til at få styr på processerne. Selv anbefaler jeg ISO 27001. Det er en international standard for et system til styring af sikkerheden.

Læg mærke til det: Det er ikke en sikkerhedsstandard, men en standard for, hvordan man styrer sikkerhedsarbejdet.

Dermed handler den ikke om, hvorvidt man skal bruge symmetrisk eller asymmetrisk kryptering, men om processerne og de mennesker, der skal udføre dem.

Måske var det ISO 27001, jeg skulle have spurgt Bruce Schneier om, da jeg havde lejligheden. Mener han, at den slags standarder kan få os til at bruge kryptering mere effektivt i sikkerhedsprocesserne?

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere