Når staten hackes...

Hacking er blitt som trafikkulykker — uønsket, alminnelig og uunngåelig, en del av hverdagen. Kun unntaksvis reagerer vi – løfter et øyenbryn og leser mer enn overskriften. Og kun hvis målet er stort nok, kjent nok eller nær nok. Er vi blitt sløve?

For mange havner amerikanske SEC, som tilsvarer vårt eget Finanstilsyn, i denne kategorien – kjent nok og stort nok, men langt unna. Og rett skal være rett: SEC ble ikke hacket, men ‘spoofet’. Stor forskjell i teknisk forstand, men ikke med hensyn til konsekvenser.

E-poster – dyktig forfalskede og tilsynelatende fra SEC – med link til effektiv malware (‘DNS Messenger’) ble nylig distribuert til tusenvis av offentlig ansatte i USA, med høy treffprosent. Selve malwaren er interessant i seg selv, en fersk kategori med betegnelsen ‘fileless’. Men vårt poeng er et annet: Hvor lett hendelsen – som koster tusenvis av timer, millioner av dollar og kompromitterte data – kunne vært unngått.

I 2017 er e-post spoofing noe system- og sikkerhets-ansvarlige velger å tillate. Noen enkle grep, og spoofing er praktisk talt umulig. Vi har diskutert både hvordan og hvorfor tidligere (se lenker nedenfor, nøkkelordet er DMARC), og er stadig like overrasket over sikkerhets-ansvarliges negligens. Ikke bare SEC, som får berettiget på pukkelen i disse dager, men like mye her hjemme (se Politisk cybernaivitet).

For egen del mottar vi falske e-poster fra Politiets Sikkerhetstjeneste og andre norske sikkerhetsmyndigheter hver eneste dag. De havner i SPAM-boksen fordi avsenderne er amatører. Den dagen noen – i Russland, Nord Korea, Kina, USA eller andre steder – bestemmer seg for å gå seriøst til verks, er det våre institusjoner som må på teppet og forklare seg. Det burde de unngå.

Vi kjenner ingen argumenter for å ignorere mekanismer som beviselig fungerer, koster minimalt og har lav terskel. SANS-eksperten John Pescadore sier det slik i en kommentar til SEC-‘skandalen’:

A FTC report earlier this year showed about 33% in reject mode. The success stories around deploying DMARC in monitor mode and quickly moving to reject vastly out-number the horror stories. Use this SEC example as “click bait” to gain support for driving the messaging group to move to technologies like DMARC.

Hva venter vi på?


Se også …

Legg igjen kommentar

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.