Sannolikt är frasen “Vad är det värsta som kan hända” den absolut enklaste hot-, risk- och sårbarhetsanalysen som kan genomföras. När frågan ställs spontant så mynnar den vanligtvis ut i ett par-tre scenarios där, trots spontaniteten, svaret innehåller någorlunda prioriterade scenarios. Dessutom är risker för vilka vi inte är sårbara oftast bortgallrade. Kan det bli bättre och enklare mot bakgrund av den ringa insatsen?
Tillsammans med någon kollega brukar frasen också användas för att slå ihjäl tid, inte sällan på en resa till eller från en kund och oftast i större globalt samhällsperspektiv. Samhällsperspektivet har allt starkare band till IT. Vem har inte drabbats av samhällsstörningar som visat sig vara IT-relaterade?
Men, vad är det värsta som kan hända samhället ur ett IT-perspektiv? Det finns inte ett svar och det finns heller inget rätt svar utan beror på vem man frågar, vems perspektivet är och vad var och en lägger i begreppet “värsta”. Jag skall återspegla tre scenarios som kan vara tänkbara kandidater.
Asymmetrisk kryptering – Hur många har inte reflekterat över att asymmetrisk kryptering är den absolut vanligaste metoden för att lösa frågor som autentisering, tillit, sekretess, riktighet med flera. Helt enkelt en grundbult som är av allra största vikt. Algoritmen som återfinns här heter RSA och den är uppkallad efter namnen på upphovsmännen Ron Rivest, Adi Shamir och Len Adleman som beskrev algoritmen 1977. Idag är det allmänt känt att nyckel med en längd av 768 bitar kan beräknas och 1024 bitar ligger inom räckhåll. Vi löser detta med längre nycklar, säg 2048 bitar eller kanske 4096 bitar. Nyckellängder är bara en del i problematiken. Nyckelhantering är inte sällan ett förbättringsområde. Algoritmen i sig kan inte antas vara vattentät för all evig framtid. Flera studier visar på ett ökat antal attackvektorer. Konsekvenserna om denna grundbult brister är katastrofala! Än värre är att vi har inget självklart alternativ…
Windows update – En våt dröm för många illasinnade är att ta över en infrastruktur likt Windows update. Betänk själva vilket enormt kraftfullt verktyg och vilken makt den som förfogar över infrastrukturen har. Dagens större botnet är i storleksordningen 50 miljoner kapade datorer vilka bleknar rejält i jämförelse. Enligt flera samstämmiga uppgifter finns Windows på över 80% av alla klientdatorer. Givetvis kör inte alla Windows update men det ger i alla fall en vägledning över infrastrukturens storhet. Windows update är omgärdade med mekanismer, såväl tekniska som administrativa, som skall förhindra det som inte får hända. Med vetskap om att det redan händer, men hittills inte i någon större skala, så kan var och en räkna ut att infrastrukturen redan är föremål för kapningsförsök. Konsekvenserna om infrastrukturer likt dessa hamnar i orätta händer står helt i relation till hur bra en kapning lyckas och hur väl motåtgärderna lyckas. Den kan vara allt från en katastrof till något som går obemärkt förbi. Det senare har redan hänt.
Elförsörjning – Om beroendet av IT kan inte sägas annat än att det är enormt. Att IT är beroende av el är knappast en hemlighet. Däremot kanske det inte är lika känt att elförsörjningen har allt starkare beroenden till IT. Hittills har elförsörjningens starkaste fiender varit väder och vind. Även den kartan ritas om. En illasinnad som önskar störa elförsörjningen kan med små insatser åstadkomma enorm skada med hjälp av IT som vapen. För att minska sårbarheterna behövs insatser på såväl elförsörjningssidan som IT-sidan. Den ömsesidiga samverkan som krävs är en utmaning i sig vilket ger detta scenario ännu högre grad av komplexitet i ett scenario som redan har en hög komplexitetsgrad. Konsekvenserna behöver knappast beskrivas.
Vilka är dina kandidater och vilka åtgärder är du beredd att vidta? Oavsett om det är realistiska och sannolika scenarios eller ej så är det av största vikt att tänka utanför de sedvanliga banorna för att minska uppenbara sårbarheter och effekterna av densamma.
Thomas Nilsson
