Det värsta hände inte

2018-12-28

Dags att summera året och blicka fram mot ett nytt. Självklart stod dataskyddsförordningen (GDPR), som började gälla fullt ut den 25 maj 2018, för huvudnumret. Sannolikt den händelse som enskilt har haft störst påverkan på informations- och IT-säkerhetsarbetet, hittills.

Förutsatt att det hanterades just som en hävstång för att förbättra informations- och IT-säkerhetsarbetet i verksamheten. Det fanns ju dessvärre allt för många exempel på parallella projekt som dessvärre inte visade ge de effekter som lagstiftaren strävade efter.

Året kan också summeras med horder av kritiska sårbarheter i princip i alla de mjukvaror vi använder dagligdags. I sig inget nytt, men samtidigt börjar allt fler sårbarheter vara av karaktären att det inte bara enkelt kan patchas bort och det blir allt fler hårdvarurelaterade sårbarheter. I början av januari 2018 fick det stora flertalet bekanta sig med sårbarheterna Meltdown (CVE-2017-5754) och Spectre (CVE-2017-5753 CVE-2017-5715) i flertalet av dagens vanligaste processorer. Allvarliga sårbarheter som också är exempel på hårdvarunära sårbarheter som heller inte enkelt går att patcha bort.

Spåren av ROCA (CVE-2017-15361) från sent 2017 är ett annat exempel som färgade 2018. I praktiken innebar det bland annat att 300.000 slovakiska, 800.000 estländska och 60 miljoner spanska e-legitimationer behövde bytas ut och att uppskattningsvis 25% av alla TPM-chip på marknaden är sårbara.

Till detta kan läggas alla hundratals miljoner konton som har läckt från diverse olika källor under året. Det känns som att vi helt har tappat räkningen här och vi har nog slutat att förvåna oss. En naturlig del av vardagen?

Gemensamt för alla händelser är att de trots allt har varit oväntade när de väl ha inträffat. Däremot är det inte förvånande att det händer. En mycket viktig del i informations- och IT-säkerhetsarbetet är att ha förmågan att hantera incidenter och att lära sig av egna och andras misstag. Vi kan vara helt säkra på att det värsta ännu inte har inträffat. Vi kan också konstatera att vi aldrig varit mer beroende av IT än vad vi är idag. Kombinationen gör att effekterna av incidenterna över tid kommer att eskalera. Incidentförmågan är helt avgörande.

I slutet av min förra nyårskrönika önskade jag att 2018 skulle bli året då alla dåliga samveten skulle bli till goda minnen när vi närmade oss nyår. Jag vill påstå att de som har förstått att ett över tid fungerande informations- och IT-säkerhetsarbete är receptet för ett lyckat arbete med att möta kraven som följer av dataskyddsförordningen kan skatta sig lyckliga.

De som berörs av nya regulatoriska krav, såsom NIS eller nya säkerhetsskyddslagstiftningen, behöver inte få panik utan receptet är fortsatt detsamma, dvs ett över tid strukturerat informations- och IT-säkerhetsarbete. Skillnaden är snarast att just den lagstiftningen träffar verksamhet som är av vikt för samhällets och för Sveriges säkerhet vilket såklart leder till tekniska och organisatoriska skyddsåtgärder som ligger klart i överkant för fleras förmåga. Därutöver att förstå om skyddsåtgärderna är effektiva över tid är ytterligare en utmaning. Till skillnad från annan verksamhet blir konsekvenserna här katastrofala.

Vad väntar under 2019? Utöver fler efterlängtade regulatoriska krav med bäring på ett förbättrat informations och IT-säkerhetsarbete kommer vi garanterat att se minst samma takt av sårbarheter, fortsatt vardagligt slarv som leder till fortsatt läckage av skyddsvärd information och en eller annan utmaning som vi inte trodde skulle ske. Diskussionen om var skyddsvärd information bäst bor kommer också att prägla 2019. I skuggan av dataskyddsförordningen har nu äntligen offentlighets- och sekretesslagstiftningen (OSL) klivit fram ur skuggan. Sannolikt klarnar det under 2019 på mer än molnfri höjd.

Vad vi vet, men kanske ännu inte agerar på, är att asymmetriska algoritmer som exempelvis RSA har en bortre horisont. Vi börjar nu se tecken på detta faktum. I standarden ETSI TS 119 312 så rekommenderas inte signatursviterna sha256-with-rsa och sha512-with-rsa bortom år 2025. Betänkt att i princip all tillit idag vilar på asymmetriska algoritmer. Sårbarheten ROCA (ovan) ger en föraning. Även nya företeelser som blockkedjor vilar på exakt samma vittrande grund. Hur ska vi se på elektroniska underskrifter som ska bevaras över lång tid som även de vilar på samma vittrande grund?

Det finns klara utmaningar och en styrka är att inse dem redan nu. I ett strukturerat informations- och IT-säkerhetsarbete är detta en del av vardagen. Insikten och strukturen ger oss tid att agera på vad som komma ska istället för att händelsestyrt i sista sekunden agera i panik. Det är långt ifrån önskvärt och hör inte år 2019 till.

Jag tar tillfället i akt och tillönskar ett riktigt riktigt Gott Nytt År och ser med längtan fram mot 2019.