Hva tok de egentlig med seg?
Noen har vært på kontoret ditt – fysisk eller digitalt. Hva tok de med seg? Spørsmålet treffer mange flere enn IT-avdelingen i den amerikanske kongressen etter kaoset i januar. Og burde stå på din liste over mulige 'trusselbilder'. Det vi ikke vet, har vi vondt av.
Hvis ikke, er det verdt en ettertanke. For om sjansen for at en 'mobb' skulle innta lokalene (eller hjemmekontorene for den del) er liten, er besøk fra uvedkommende en annen historie. Og der starter 'ettertanken' – hvem er 'uvedkommende'? Svaret er foruroligende enkelt: Alle unntatt brukeren selv. Da blir resten av risikovurderingen tilsvarende enkel. Ektefelle, barn, kolleger, sjef, vaskehjelp, vaktmester, innbruddstyver og mobb - alle er uvedkommende i forhold til tilgang til den digitale arbeidsflaten.
Dessuten – scenariet fra den amerikanske kongressen er ikke så fjernt som vi liker å tro. Kjent fra filmer og TV-serier: 'Noen' trigger brannalarmen, alle styrter ut, uvedkommende forsyner seg med – og/eller setter inn – det de ønsker, digitalt eller fysisk, og forsvinner.
Uansett hvor pedantisk eller fjernt det høres ut, dette er virkeligheten. Det er en slik innfallsvinkel som gir riktig analyse. Den sikreste dingsen vi omgir oss med, er i mange tilfeller telefonen. Ikke bare har den god – ofte top-notch – autentisering, den er alltid med. Selv ved brannalarm eller mobb-angrep, griper vi etter telefonen som en refleks, før vi styrter avgårde. I seg selv en underutnyttet ressurs i sikkerhetsøyemed: Hvis telefonen beveger seg bort fra arbeidsplassen, bør skjerm låses og bruk blokkeres. Men det er en annen diskusjon.
Tilbake til scenariet: Alle andre enn eier/bruker er for uvedkommende å regne, og noen har vært her – i eller nær utstyret. Hvordan vet vi med akseptabel pålitelighet om noe er åpnet, endret, kopiert, fotografert, fjernet, lagt til, etc. Er det mulig å vite? 'Må vi vite' er det naturlige spørsmålet fra vanlige brukere, og svaret er 'ja'. God sikkerhet betyr å vite. Detaljeringsgraden er avhengig av sikkerhetsnivået – behov og budsjett. En amerikansk regjerings-etat som for ca. 10 år siden hadde fysisk innbrudd, men manglet mulighet til å spore hva som hadde skjedd, gikk til det drastiske skritt å destruere alt – fra nettverkskabler til lysarmaturer, for sikkerhets skyld. Prosjektet stoppet av seg selv da pengesekken gikk tom, og øvelsen ble stående som et eksempel på hvordan det ikke skal gjøres. En desperat mer enn rasjonell reaksjon.
Poenget er at dit må vi aldri komme. Vi må vite – og nøkkelen er sporing. Sporing leverer kunnskap, destruksjon ødelegger den. Vi trenger det ingen liker å si høyt – detaljert overvåking på mange nivåer både teknisk og fysisk.
Men er det tillatt å overvåke så detaljert? En interessant og ofte misforstått diskusjon. Misforstått i den forstand at rekkefølgen ofte blir feil: Vi starter ikke med hva som er tillatt, men hva som trengs. Deretter gjør vi tilpasninger om det skulle vise seg nødvendig. Og like gjerne tilpasninger av lover og regler som av praksis og mekanismer (se Datatilsynet skremmer …). Dessuten – det er ikke mennesker som skal overvåkes, det er fysiske installasjoner og digitale datastrømmer. At det finnes gråsoner, følger med på kjøpet og skal ikke hindre tilfredsstillende sporing spesielt eller god cybersikkerhet generelt.
'Spør først, grav siden' gjelder fortsatt. Hvis vi - etter et tenkt scenario – spør 'hva tok de egentlig med seg', og ikke har et tilfredsstillende svar, har vi en jobb å gjøre.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.