Hvorfor vente på katastrofen når du kan lage den selv?

Klassisk risikohåndtering: Vi bruker sannsynlighetsregning på historiske data, gjør så godt vi kan og håper det beste. Det holder ikke. Også politi og forsvar håper det beste, men tar ingen sjanser. De øver hele tiden. Øver du?

Trolig er svaret nei, og én av årsakene er at cyberforsvar er en umoden disiplin. Trusler håndteres som mulige ulykker – force majeure – i stedet for konstant risiko, en krigslignende tilstand. Derfor minner tiltakene ofte mer om forsikring enn om forsvar. Er det rart vi ofte taper?

Det ene angrepet etter det andre – Hydro, Visma, norske sykehus og fylkesmenn, Equifax, Yahoo! og mange flere – omtales som ulykker. 'Stakkars dem, de har vært uheldige'.

Sannheten er at de har vært uforsiktige, kanskje uprofesjonelle. Det er ikke naturkatastrofer de har vært utsatt for, det er angrep. Kjente mekanismer, kjent metodikk, kjente våpen – i kontinuerlig utvikling. 

Den brutale sannheten mange kjenner, men få sier høyt, er at hele markedet er under konstant angrep. Brukere, servere, klienter, telefoner, tjenester, nettverk, rutere etc. bombarderes kontinuerlig. En gjennomsnittlig server lever i et virtuelt kuleregn – typisk minst 10.000 treff hver eneste dag, en situasjon som krever ganske andre virkemidler enn den klassiske 'forsikring mot ulykker med lav sannsynlighet' modellen.

Dette er krig, ikke tilfeldige naturkatastrofer, og må håndteres deretter. Vi trenger et dynamisk, aktivt forsvar og løpende ‘war games’ – øvelser. Eller enda bedre – en virtuell kommandogruppe a la 'Simian Army' som herjer rundt og 'plager' oss og våre leverandører kontinuerlig. Provoserer, sparker, slår, sniker og lurer – innenfra og utenfra. Avdekker hull, svakheter, forglemmelser og andre 'uakseptabelheter' som ikke tåler krigens ugjestmilde virkelighet.

Det finnes ingen annen måte å skape reell robusthet i krig på enn å trene – kompetansemessig og praktisk - og være på vakt. Kontinuerlig. Profesjonelt. Intenst. Kreativt. Engasjert. Spesialistene kaller det gjerne 'pentesting' eller 'penetration testing', men ikke la deg lure. Pentesting en gang i blant holder kanskje i fredstid, men det var før. Dagens cyberbombardement tar ingen pauser. Derfor en 'Simian Army' etter modell fra Netflix' berømte virtuelle gjeng som kontinuerlig forstyrrer datasentrene på tenkelige og utenkelige måter, og bidrar til legendarisk pålitelighet. En sammenheng vi også var inne på i analysen Brannmurer, tillit og falsk sikkerhet nylig. 

Klart det koster, men valget er enkelt: 1 av 3 virksomheter er blitt hacket de siste årene. Ingen vil ha en Hydro-situasjon, og alle kan unngå å havne der. Ingen kan love immunitet mot krigsskader, men alle kan redusere risikoen dramatisk. Å tegne cyberforsikringer, som Finansavisen nylig meldte at mange gjør, er bortkastede penger. Forsikringer beskytter ingen andre enn aksjonærene - i beste fall. Pengene er mer effektivt anvendt på aktivt forsvar.

Tusenkroners-spørsmålet er hvordan. De færreste har ressurser til 'kontinuerlige militærøvelser'. Faktum er at de færreste har kompetansemessige ressurser til å etablere ansvarlig forsvar også før slike tester startes. Voksende bruk av skytjenester hjelper – annen eksponering, andre ansvarsforhold, store og profesjonelle leverandører som i mange tilfeller definerer det nye aktive cyberforsvaret, og leder utviklingen av nye tiltak (se Zero bevissthet).

Men om utfordringen er annerledes, er den ikke mindre, og ansvaret hviler fortsatt på de samme skuldrene. Derfor trenger praktisk talt alle en MSSP – Managed Security Service Provider – i ryggen. Som har kompetansen, erfaringen, underleverandørene, tjenestene – og kapasitet til å levere. Det ingen kan 'sette bort' er ansvaret innover, og dermed behovet for riktig 'bestillerkompetanse'. Tilstrekkelig innsikt til å forstå utfordringen, behovene, eksponeringen og ansvaret. 

Krigen startet for lenge siden, og alle har litt forsvar, men få har tilstrekkelig. Finn ut av det selv i stedet for å vente på at andre skal gjøre det. Ingen ønsker en 'Hydro'-situasjon. Og alle kan unngå å havne der.