Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Man siger, at sandheden er krigens første offer. For os, der arbejder med informationssikkerhed, vil det være mere passende at sige, at tilliden er det første offer.
Cyber er blevet en helt integreret del af moderne krigsførelse. Det viser den aktuelle og frygtelige krig i Ukraine meget tydeligt. Og det stiller helt nye krav til CISO’er og andre, der varetager virksomheders virtuelle sikkerhed.
For cyber-krigsførelse adskiller sig fundamentalt fra konventionel krigsførelse ved at være fuldstændig grænseløs og uforudsigelig. Og ved at vi alle, uforvarende og uden varsel, kan blive ofre.
Det stiller krav til, hvordan vi tilrettelægger vores arbejde med informationssikkerhed, og nøgleordene er mindre tillid og mere struktur.
En ny form for krig, der rammer bredere
Krigen i Ukraine har alvorlige konsekvenser for den ukrainske befolkning, men den indvarsler også en ny æra for alle os, der arbejder med at beskytte informationer.
Cyber har udviklet sig til at være et meget vigtigt element i moderne krigsførelse. Og det er dårlige nyheder for informationssikkerheden.
For hvor konventionel krigsførelse bliver mere og mere målrettet med laserstyrede missiler og droneangreb, så ligger det i selve naturen for cyberangreb, at de rammer bredt.
Et mål kan for eksempel være at afskrække en nation fra at angribe.
For nogle måneder siden blev Canadas udenrigsministerium ramt, og ransomware-angreb fra Rusland ramte for nylig brændstofforsyningen og infrastruktur i Tyskland, Belgien og Holland.
Det er den gængse opfattelse, at der var Ruslands forsøg på at signalere, at sanktioner ville få store konsekvenser.
Det virkede ikke efter hensigten, men det ramte helt almindelige virksomheder og borgere.
Et andet mål med cyberangreb kan være at forstyrre og demoralisere fjenden.
På selve dagen for invasionen i Ukraine blev satellitkommunikationen forsøgt sat ud af spillet for at gøre livet sværere for Ukraines militær, og der var angreb mod Ukrainske togforbindelser, der utilsigtet også ramte Tyskland og Italien, da de anvender samme teknologi.
Samtidig kører der kontinuerligt misinformation og angreb, der har til formål at forvirre og demoralisere. Igen tiltag, der rammer bredt og kan have konsekvenser for virksomheder og borgere langt væk fra den fysiske slagmark.
Som en af verdens mest digitaliserede nationer er vi særligt udsatte for at ende som offer for ”spill-over” angreb i krige, der foregår langt fra vores breddegrader.
Den risiko bliver ikke mindre af, at truslen kan komme alle steder fra.
Enhver hacker kan fra deres kælder deltage i krigen og forsøge at ramme de mål, de føler for.
Skru ned for tilliden og op for strukturen
En af vores store styrker som nation er den store tillid, vi generelt har til hinanden.
For vores virksomheder betyder det en høj grad af uddelegering af beslutningskompetence, mere involvering og motivation og ikke mindst agilitet, når forandringer kræver, at vi rykker hurtigt.
Tillid er i udgangspunktet en god ting og en konkurrencemæssig fordel – lige på nær når det gælder informationssikkerhed.
Det er ikke tilfældigt, at ’zero trust’ er et begreb i vores branche. Og med det nye trusselsbillede bliver vi desværre nødt til at skrue op for den sunde skepsis – eller mistilliden om man vil …
Som netop beskrevet kan ingen vide sig sikre. For eksempel er det måske ikke længere nok for CISO’en at stole på, at underleverandører og andre samarbejdspartnere har styr på deres del af økosystemets sikkerhed.
Kontrol bør i mange tilfælde erstatte hensigtserklæringer. Og det er måske nødvendigt at udvide overvågningen til ikke kun at fange deciderede ondsindede angreb, men også spotte unormal adfærd, der blot kan være indikation på, at noget ikke er, som det skal være – eller at nogen uforvarende opfører sig uhensigtsmæssigt.
Mens vi skruer ned for tilliden, bør vi samtidig skrue op for strukturen.
Vi skal ikke nødvendigvis gøre sikkerhedsarbejdet tungere og mere besværligt, men der er behov for at skabe mere struktur med eksempelvis regelmæssige patches.
Nogle af de store angreb, der har ramt danske virksomheder på det seneste, kunne formentlig være undgået, hvis de havde patchet regelmæssigt.
Der ligger allerede bagdøre placeret af ondsindede aktører i de fleste virksomheders systemer. De skal systematisk isoleres og fjernes.
Det kan også være nødvendigt at skrue op for strukturen i forhold til det interne beredskab. Eskalationslister skal systematisk og jævnligt holdes opdaterede.
Det samme gælder responsplaner. Det er ikke nok at gøre dette ad hoc. Sikkerhedsarbejdet bør køre lige så struktureret, som den finansielle afrapportering foregår i børsnoterede virksomheder.
Det er desværre CISO’ens tunge lod at være eksponent for både mistillid og strukturer, der måske gør livet mere besværligt for kollegaerne.
Men trusselsbilledet gør det nødvendigt, så resten af virksomheden kan arbejde videre i tryghed.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.