Anfall är bästa försvar, eller?

2020-09-25
Det finns en skärpning i tonen när det kommer till att skydda våra tillgångar där information utgör en allt viktigare del. Det har mestadels handlat om försvar och ett ganska passivt sådant.

I tonläget går att skönja att positionerna är på väg att flyttas fram. Det gäller inte bara i relation med länder utan också i mer vardagliga sammanhang. Det är en förväntad rörelse, men frågan är om den är hälsosam?

I flera andra sammanhang ser vi hur våldet trappas upp och det talas om en våldsspiral. Det är inte alls samma tendenser inom informations- och it-säkerhet, men när ordet cyberförsvar nämns så ger det i sig en annan känsla än när vi säger att vi ska skydda våra informationstillgångar. Även om ordet i sig inte innehåller något som borde få oss att resa raggen. Oavsett ordvalen så sker en upprustning även här.

Upprustningen är rimlig på alla sätt. De mest sannolika hotbilderna, oavsett om det är riktade mot vår nation eller mot enskild organisation, är inte ett väpnat angrepp i klassiska termer. Tvärtom är angreppet bara några knapptryckningar bort som leder till att samhällsviktig verksamhet kan påverkas i större grad än vid ett väpnat angrepp. Detta är inte någon ny hotbild utan vi har levt med den i decennier. Även sårbarheterna har varit kända under lång tid och vi har över tid sett smakprov på olika angrepp mot dem. Det är fullt rimligt att öka försvaret här, inte minst med vetskap om våra blottade sårbarheter.

Försvaret av informationstillgångarna är av sin natur tämligen passiva skydd. Inte sällan helt reaktiva. Det är först vid upptäckten av att information förstörts, gjorts otillgänglig eller hamnat i orätta händer som åtgärder vidtas. Väldigt sällan är det någon åtgärd som har någon större påverkan på det inträffade, utan åtgärderna bidrar oftast till att minska risken för att något liknande ska hända igen. Något som faktiskt kan vara del i en sund incidenthanteringsförmåga, dvs att lära av egna, men inte minst av andras tillkortakommanden.

Trots att företeelser som ransomware varit kända under lång tid, är det ändå förvånande hur sårbara många organisationer fortfarande är. Det känns föga angenämt att där och då konstatera att det inte finns några säkerhetskopior. Blotta tanken om hur illa det är ställt på sina håll gör mig verkligen orolig.

Jag tror att det är den oron som infinner sig när det börjar talas om att vi måste höja tonläget. Jag motsätter mig verkligen inte att kryptera hårddisken för den illvillige och destruera dekrypteringsnycklarna enligt gängse rutiner för att bidra med samhällsnytta. Men hur är det med träffsäkerheten?

Det går inte att tänka bort tanken att de som är illa rustade för vardagliga angrepp ånyo försöker hitta en väg fram som är enkel, snabb och lättinvesterad. Jag ser framför mig en eskalering som är allt annat än önskvärd. Att här tala om termer att det strukturerade informationssäkerhetsarbetet måste förbättras är inte speciellt insäljande för den verksamhet som inte ens har säkerhetskopior på sina informationstillgångar. Här krävs något robust och slagkraftigt som minsann avskräcker den illvillige och för att återfå förtroendet för sin verksamhet.

Jag motsätter mig på inget sätt att höja tonen, men det ska ses som ett led i det strukturerade arbetet och det ska ske med en precision som ger förväntade effekter. Att skjuta från höften framför att arbeta strukturerat har vare sig då eller nu varit en långsiktigt hållbar väg fram.

Det krävs en samlad insats för att minska samhällets sårbarheter. Mot bakgrund av att samlade insatser inom informations- och it-säkerhet hittills inte visat andra avtryck än hur illa organiserat arbetet är krävs rejäla krafttag för att nå resultat. De krafttagen är inte att skjuta från höften!