It-sikkerhed: En stokastisk papegøje er ingen garanti for kvalitet

INTERVIEW:
Henrik Kramselund, du er underviser i cybersikkerhed og ekspert i it-sikkerhed. Hvilke tendenser er særligt vigtige at være opmærksomme på her i 2023?

- Jeg ser desværre fortsat de negative tendenser til, at kriminelle har stor succes med at bryde ind, stjæle data og efterlade kaos og eventuelt krypterede data. Vi ser virksomheder, der betaler løsesum mod egen vilje, men for at undgå at lukke. Samtidig ser vi andre, der ikke evner at betale og derfor går i gang med afvikling af virksomheden, som potentielt er mangeårig og normalt en god forretning.

- I den positive retning ser jeg tiltag fra mange steder, som stiller krav til virksomhederne, organisationerne, og som betyder et øget fokus. Det er blevet helt normalt, at ledelsen i mange virksomheder i Danmark er helt med på, at it-sikkerhed er et vigtigt punkt. Det betyder, at de afsætter ressourcer på egne bestyrelsesmøder til at diskutere, spørger ind til risici, og hvad der strategisk skal gøres.

- Et tiltag som NIS2 vil eksempelvis i min optik også gøre fokus endnu mere skarpt på, hvad der skal gøres, og hvordan organisationerne skal sikres behørigt nu og i fremtiden.
 

Jeg ville ønske. at politikere forstod konsekvenserne af den lovgivning, de indfører. De tror, at it og nu AI er en magisk sovs, de kan hælde udover problemer.

AI er en stor risiko

Det er året, hvor alle for alvor har talt om AI, og hvad det kan betyde for samfundet på godt og ondt. Hvad med sikkerheden?

- AI er kommet på alles læber, og det ophøjes til et nødvendigt værktøj, men det er ikke uden omkostninger. Specielt Large Language Models (LLM) fremhæves som et helt almindeligt værktøj at bruge, og mange mener at have glæde af det. Når jeg siger 'mener', så er det, fordi output ikke altid kan stoles på, hverken tekster eller kode der kommer ud, og samtidig skal man passe på med at dele sine fortrolige data den anden vej.

- Min helt personlige fortolkning og mening er således, at AI er en stor risiko, og jeg frygter, at den opfattede værdi er udregnet med bind for øjnene og manglende skepsis.

- Kald mig bare maskinstormer, men en stokastisk papegøje, der blander tilfældige data og gentager dem i variationer, til det lyder rigtigt, er ikke en garanti for kvalitet.

- Vi har tidligere talt om problemer, når vi bruger modeller lavet af menneskehænder, og disse har været diskuteret politisk og teknisk gennem mange år. Når vi så taler om, at 'computeren' skal behandle 'sager' og foretage beslutninger, så er vi galt afmarcheret. Helt galt afmarcheret og på et vildspor, der kommer til at have menneskelige konsekvenser.

- Jeg ser således frem til at høre flere sager, hvor folk er fyret for at bruge uddata fra AI forkert eller overlade for meget ansvar til disse.

- Det lyder nok en anelse hårdt, men en AI har ikke ansvaret, så lad være med at stole på den. Ansvar kan ikke outsources. I samme boldgade ville jeg ønske, at politikere forstod konsekvenserne af den lovgivning, de indfører. De tror, at it og nu AI er en magisk sovs, de kan hælde ud over problemer.

Alle domæner angribes

Hvordan ser det ud med it-sikkerheden/-trusler, hvis man skal give en status?

- Når man prøver at give en status på it-sikkerheden, må det være, at alle truslerne står på spring, og alle sårbarheder og svagheder vil blive udnyttet. Det er svært at etablere en ny service eller sætte en server online, da alle nye domæner angribes, så snart de bliver registreret.

- En af metoderne er at holde øje med nye certifikater fra eksempelvis Let's Encrypt, og næsten øjeblikkeligt vil en ny server modtage angreb fra servere på internettet* 8Kilde: Internet Storm Center, SANS

isc.sans.edu/diary/Survival+time+for+web+sites/30170/).

En vaskemaskine eller et tv kan sagtens give adgang til et netværk og tillade en angriber at kompromittere det hele.

Vi har gode værktøjer

Hvad er positivt?

- En positiv ting er, at vi rent faktisk har gode værktøjer, i hvert fald på vores almindelige platforme som Windows, Mac OS X og Linux med flere. Der ER indbygget firewalls, anti-malware, buffer overflow protection som ASLR osv. Vi ved også, hvordan vi installerer, konfigurerer og driver det.

- Det burde således være muligt at arbejde struktureret og automatisere mere it-drift og derigennem opnå højere sikkerhed.
 

Kræv, at køleskabet skal opdateres

Hvad er negativt?

- Folk bruger generelt ikke de tilgængelige værktøjer. Der er for få, der har fokus på, at it-sikkerhed inkluderer tilgængelighed. Så vi burde have plakater hængende med CIA-modellen, Confidentiality, Integrity og Availability. På dansk fortrolighed, integritet og tilgængelighed.

- En anden negativ trend er, at vi accepterer, at elektronik, forbrugerelektronik specielt, skal være 'smart', men at samme enheder enten ikke kan opdateres eller ikke bliver opdateret. En hvidevare-enhed som en vaskemaskine eller et tv kan sagtens give adgang til et netværk og tillade en angriber at kompromittere det hele. Vi bør kræve som minimum, at enheder KAN opdateres, og at leverandører enten SKAL opdatere eller frigive information om, hvordan man selv kan overtage styringen med enheder, man har købt.

-  Hvis det drejer sig om automatisering ude i verden og internetopkoblede systemer, bliver det endnu værre, da vi gentagne gange over dekader har set, hvordan systemer bliver fundet og udnyttet.

-  Et besøg på Shodan.io, en søgemaskine til internetopkoblede enheder, viser, at både firmaer og privatpersoner i mange tilfælde kobler filservere direkte på internettet og således har en stor risiko for at miste data eller værre.
 

Køb en ny lille computer, og find ud af alt, du kan, om den. Jeg har selv købt nogle små Pine64 ROCKPro64 single board-computere, og det er
en fryd at lege med dem.

Detektivarbejdet tiltrækker

Hvad er særligt spændende ved at beskæftige sig med it-sikkerhed?

- Jeg kan godt lide at nørkle med ting, finde ud af, hvordan de virker. Skille dem ad og se nedenunder. Det er noget, der passer godt med it-sikkerhed, først finder man ud af, hvordan det virker, hvordan man knækker sikkerheden, og til slut hvordan man så kan forhindre det – altså sikre det. Det er som logiske hovedbrud, og det er dig, der er detektiven.
 

Find den større sammenhæng

Hvis du skal give gode råd til andre it-professionelle, hvad vil så være vigtigt?

- Vær nysgerrig, lær nye ting, men sørg for at finde en større sammenhæng. De fleste af vores it- og datalogiske emner falder i allerede eksisterende kasser og kategorier. Der er langt mellem det ægte nye, og det er ikke for at forklejne innovation og nyskabelser, men det er ofte gammel vin på nye flasker. Hvis man kan genkende mønstre, patterns, kan man i min optik spare sig selv for megen undren og blive mere effektiv.

- Vi kender patterns inden for softwareudvikling, som blev populære med Design Patterns-bogen, men inden for specielt it-sikkerhed er der også mange patterns – hvor vi kender løsningerne.**
 

Køb en lille computer

Det mest 'nørdede' råd, du kan give?

- Køb en ny lille computer, og find ud af alt, du kan, om den. Jeg har selv købt nogle små Pine64 ROCKPro64 single board-computere, og det er en fryd at lege med dem. De er langt mere overskuelige end en ældre pc-arkitektur-computer, og der er mindre legacy med i bagagen.

- Samtidig finder man ud af, at en lille, passivt kølet computer måske kan løse flere opgaver i hjemmet og er en bedre hjemmeserver med et lavt strømforbrug.

- Mulighederne er mange, se bare på hackerboards.com, eller brug den Raspberry Pi, du allerede har liggende.

Hold øje med virksomhederne

Hvis vi kigger frem mod 2024 og måske endda længere, hvad vil du så holde ekstra øje med i forhold til udviklingen?

- Det er altid svært at spå om fremtiden, men jeg vil holde øje med de virksomheder, der bliver hacket. Hvis de lærer af fejltagelserne og bliver bedre, vil jeg fortsat være kunde. Til gengæld vil jeg straks skifte, hvis de prøver at affeje problemerne eller skjule dem.

- Alle bliver udsat for angreb, og nogle angreb vil over tid være succesfulde, desværre.

Tjek værktøjerne

Du underviser studerende på KEA, hvor du tilmed har været nomineret til årets underviser i år. Når du introducerer studerende for it-sikkerhed, hvad lægger du så særligt vægt på?

- Jeg lægger en del vægt på at fortælle om de mange kilder til information, så ud over den bog, vi læser, og indholdet på et specifikt kursus skal de holde øje med:
- Hvem er forfatterne, har de lavet andet?
- Hvilke værktøjer findes der?
- Er der organisationer, der arbejder specifikt inden for dette emne, kommercielle og nonprofit?
- Henviser de til andre kilder, personer, organisationer?
- Hvilke steder finder man informationer som websites, Github Awesome Lists og konferencer inden for emnet?-
Hvilke formater skal vi kunne læse, fra ASCII-kilder som RFC'er og hacker-dokumenter til farvestrålende lækre dokumenter som TLS fra NCSC.nl?
- Årsagen er, at man inden for it-sikkerhed kontinuerligt skal holde sig opdateret, og det er mere effektivt, hvis man genkender navne på kilder, som man skal lytte til.

Stigende fokus på it-sikkerhed

Hvordan er interessen/beredskabet generelt i forhold til it-sikkerhed og cybertrusler?

- Jeg ser et stigende beredskab, men kunne altid ønske mig mere. Selv bruger jeg Internet.nl til at teste mange sites og bruger det som en pegepind, om organisationerne bagved er sikkerhedsbevidste.

- Eksempelvis får www.prosa.dk på denne test 81 procent og er altså ikke helt med på de nye teknologier som IPv6 og kunne derfor halte efter på it-området, og efterfølgende på it-sikkerhedsområdet.

- Mens min nuværende kommune Gribskov med www.gribskov.dk får 100 procent og således er mere up to date i driften af en webserver. Jeg ville således forvente, at den resterende it-organisation vil være bedre rustet til at håndtere hændelser. I praksis kan begge organisationer være lige gode til det. I det offentlige ser jeg desværre en mangel på fokus, og vi ser derfor først, når der er problemer.