Artikel top billede

Nu må krypteringens storhedstid komme

Klumme: Eksperter som Bruce Schneier mener, at efterretningsvæsenernes overvågning endelig kan få brugerne til at kryptere deres data - men det bliver ikke let.

Kryptering er vejen frem.

Det var den konklusion, jeg tog med mig hjem efter en spændende dag i selskab med to internationale sikkerheds-ikoner i sidste måned.

Krypteringseksperten Bruce Schneier og F-Secures Mikko Hyppönen var inviteret til Danmark i forbindelse med et arrangement i København.

Kryptering er uomgængeligt

Budskabet fra de to var klart: Efter afsløringen af NSA's og andre sikkerhedstjenesters omfattende dataopsamling, er kryptering uomgængelig.

Som gammel krypteringsmand glædede det mig.

Før jeg kom til DKCERT, tilbragte jeg nemlig adskillige år i krypteringsbranchen.

Dengang som nu tror jeg på, at kryptering er en fantastisk effektiv teknologi til at holde noget hemmeligt.

Alligevel fik jeg under seancen med de to koryfæer en tanke: Er vi egentlig kommet videre? Står vi ikke samme sted, hvor vi stod for 20 år siden?

Jeg var fristet til at spørge Bruce Schneier om det, da jeg efter foredraget fik lejlighed til at hilse på ham.

Men jeg endte med at gå derfra uden at spørge - måske fordi jeg allerede kendte svaret på spørgsmålet.

Utopien der udeblev

Han har nemlig selv givet svaret i sine bøger.

I sin mest kendte bog, "Applied Cryptography" fra 1994, beskriver han en matematisk utopi, hvor kryptering løser alle problemer med fortrolighed og sikkerhed.

Men i indledningen til "Secrets & Lies" fra år 2000 skriver han, at denne bog til dels er skrevet for at rette en fejl i forgængeren: Kryptering er ikke løsningen på alle sikkerhedsproblemer.

Årsagen er, at kryptering ikke eksisterer i et vakuum. Det er en teknologi, der indgår som et delelement, når vi forsøger at sikre vores kommunikation og data.

Da jeg selv forsøgte at udbrede krypteringsløsninger, var det frustrerende at se, hvor mange problemer de kunne have løst - men hvor kryptering ikke blev anvendt.

Mange tilfælde af mistede fortrolige data kunne være undgået, hvis dataene havde været beskyttet med kryptering.

Ja, Danmark har fået først den digitale signatur og siden NemID - nationalt udbredte løsninger baseret på kryptering. Men derudover: hvor meget indgår kryptering så i virksomhedernes daglige it-drift?

Ud over den obligatoriske SSL-sikring af websider er det næppe megen kommunikation, der er krypteret. Hvornår har du sidst modtaget en krypteret e-mail - eller sendt en?

Her er de store udfordringer

Kryptering i et samspil

Måske kan afsløringen af den omfattende overvågning være med til at sætte gang i brugen af kryptering.

Det gav talerne udtryk for.

Jeg tror, bevidstheden om overvågning kan være et skub i den rigtige retning.

Men vi må stadig erkende sandheden i Schneiers ord om, at kryptering ikke eksisterer i et vakuum.

Sikkerhed opstår i et samspil mellem teknologi, processer og mennesker.

Kryptering udgør kun teknologi-siden. Og den er den nemmeste at få på plads i forhold til processerne og menneskene.

For eksempel er det teknisk set nemt nok at indføre kryptering af data, virksomheden lagrer.

Men hvilke data skal krypteres? Hvem skal have adgang til dem? Hvordan gør man? Hvad med data på smartphones og laptops? Og hvordan håndterer man de nøgler, der er afgørende for kodning og afkodning?

Ledelsen skal fastlægge procedurerne. Medarbejderne skal undervises.

Fik du min krypterede mail?

Endnu større bliver udfordringen, når vi skal beskytte vores datakommunikation.

Her skal vi blive enige med vores samtalepartnere om, hvordan vi krypterer. I princippet er kryptering af e-mails en simpel opgave.

Men i praksis kender jeg meget få uden for sikkerhedsverdenen, der gør det.

Det er simpelthen for besværligt at skulle finde frem til modtagerens offentlige nøgle, før man kan sende en mail. Og bruger de nu PGP eller S/MIME?

Standarder hjælper

Derfor er vi ikke kommet så meget længere de sidste 20 år.

Vi har teknologien på plads, men processer og mennesker halter bagud.

Hvad kan vi så gøre ved det?

Der findes flere udmærkede værktøjer til at få styr på processerne. Selv anbefaler jeg ISO 27001. Det er en international standard for et system til styring af sikkerheden.

Læg mærke til det: Det er ikke en sikkerhedsstandard, men en standard for, hvordan man styrer sikkerhedsarbejdet.

Dermed handler den ikke om, hvorvidt man skal bruge symmetrisk eller asymmetrisk kryptering, men om processerne og de mennesker, der skal udføre dem.

Måske var det ISO 27001, jeg skulle have spurgt Bruce Schneier om, da jeg havde lejligheden. Mener han, at den slags standarder kan få os til at bruge kryptering mere effektivt i sikkerhedsprocesserne?

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere