Dette indlæg er alene udtryk for skribentens egen holdning.

Cybersikkerhed: »Nej, hvor vi tramper,« sagde musen til elefanten på vej over broen …

38 kommentarer.  Hop til debatten
Cybersikkerhed: »Nej, hvor vi tramper,« sagde musen til elefanten på vej over broen …
Illustration: Privatfoto.
Blogindlæg16. maj 2018 kl. 13:10
errorÆldre end 30 dage

I forlængelse af den netop offentliggjorte ’Nationale strategi for cyber- og informationssikkerhed’ investerer staten 1.4 mia. kr. i it-sikkerhed over de næste seks år. Strategien fremhæver 25 konkrete tiltag, der dækker over offentlige, private og fælles tiltag. Spørgsmålet er, om det er tilstrækkeligt – og om midlerne kan anvendes bedre?

Frank Mogensen er administrerende direktør for Cloudeon

Med en investering på 233 mio. kr. om året de næste seks år tager regeringen et længe ventet skridt mod at øge informationssikkerheden og beskytte Danmark mod cyberangreb.

Investeringen lægger i høj grad op til, at staten varetager egne og borgernes interesser, og at virksomheder i højere grad må klare sig selv.

Artiklen fortsætter efter annoncen

Regeringens strategi udstikker tre pejlemærker for udviklingen:

’Tryg Hverdag’ skal styrke statens egen it-sikkerhed med et døgnbemandet sikkerhedscenter, med ’Bedre Kompetencer’ styrkes uddannelse, forskning og oplysning omkring sikkerhed, og med ’Fælles Indsats’ styrkes samfundskritiske sektorer og tværsektoriel koordinering.

Til sammenligning anvender Microsoft 6,4 mia. kr. om året på it-sikkerhed omkring deres cloud-platform, beskæftiger ca. 5.000 specialister på it-sikkerhedsområdet og opretholder over 70 certificeringer inden for it-sikkerhed.

Så spørgsmålet er, om nationalstaten skal varetage it-sikkerheden selv, eller om private virksomheder kan spille en større rolle og bidrage bedre til at øge sikkerheden signifikant.

Artiklen fortsætter efter annoncen

I England har staten implementeret en Cloud First-strategi, der betyder, at staten er forpligtiget til at anvende cloud-teknologi som fundament netop for at sikre det fornødne sikkerhedsberedskab omkring it.

Identificer kvantespringet og ryd op

Det stigende trusselsbillede gør radikale forandringer nødvendige.

Udviklingen i cyber-trusler stiger hurtigere end nogensinde før, men at kontrollere sikkerheden helt fra bunden af – fra datacentret, til netværk, operativsystemer, platforme og softwareudvikling – kræver en indsats, som er umulig at løfte alene, uanset om man er stat eller privat.

Som jeg ser det, er cloud nødvendig for Danmark.

Den nationale strategi baserer sig i høj grad på et ’as is’-billede, der skal forbedres evolutionært, frem for et ’to be’-billede, der vil afdække de kvantespring, der er nødvendige for at beskytte sig i det nuværende trusselsbillede.

Med et klart målbillede bliver en strategi mere målbar, og velmenende tiltag kan vurderes i lyset af en garanti for opfyldelse af målene.

Jævnfør regeringens ’Kasseeftersyn på IT-området’ ruger staten syv mia. kr. om året på it, har over 4.200 it-systemer, hvoraf 430 vurderes kritiske for statens virke, mens 150 systemer er i højrisiko på grund af teknisk gæld.

Ved en målrettet strategisk prioritering af oprydning og kontrol vil løsthængende frugter kunne plukkes. Spørgsmålet er så, om de 3 % af statens samlede it-budget, der anvendes til sikkerhed i bred forstand, er nok.

Teknologi versus mennesker

De metoder og teknologier Danmark har anvendt de sidste 25 år til beskyttelse af it-aktiver er ikke længere tidssvarende.

Perimeter-sikkerhed, hvor alt inden for en firewall betragtes som ’sikker’, har spillet fallit, og et nyt målbillede må indeholde en ’assume breach’ for it.

De fleste er i dag ikke i stand til at opdage indbrud, og nye metoder og teknologi må tages i brug herunder bl.a. ’Deception technology’, hvor kunstig intelligens varetager sikkerheden frem for mennesker.

Uddannelse af brugere/borgere i it-sikkerhed har en begrænset effekt, og mere radikale tiltag er nødvendige, da brugere altid er det svageste led, og sikkerhed ikke kan overlades til dem. Her vil biometri og udfasning af alle passwords som et målbillede kunne bidrage til markant højere sikkerhed.

Decentralisér

I 25 år har vi centraliseret vores datalagring, hvilket i bund og grund er det samme som at øge risikoen for indbrud og nedbrud.

Fremtiden er nye teknologier som block-chain , der gennem decentral lagring af data sikrer, at et indbrud eller nedbrud ikke får betydning eller kompromitterer den samlede sikkerhed, fordi det kun er ’stumper af data’, der kompromitteres.

Det offentlige Danmark anvender ikke cloud-teknologi - blandt andet fordi lovgivningen er forældet. Det er en fejl. Cloud-sikkerheden er i dag højere end den lokale sikkerhed, og investeringerne langt større. Tag cloud med i strategien som led i forbedringen af sikkerheden.

Skab danske arbejdspladser

Den Nationale Strategi for cyber- og informationssikkerhed indeholder en række gode elementer, men den evolutionære tilgang funderet i eksisterende metoder og processer og baseret på en antagelse om, at vi i Danmark selv kan løfte denne opgave i staten med de begrænsede kompetencer, er utopisk.

I stedet indeholder den en risiko for, at vi bliver efterladt med en falsk tryghedsfornemmelse. Regeringen bør fjerne de forhindringer, der ligger i lovgivningen for ibrugtagelsen af cloud som sikkert fundament – eller som englænderne – kræve det.

Det giver mulighed for at koncentrere indsatsen omkring de elementer i strategien, der udvider samarbejdet imellem det offentlige og private virksomheder på sikkerhedsområdet fremfor at bygge selv. Samlet set vil det bidrage til at skabe højere sikkerhed samt danske arbejdspladser og eksport.

38 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
37
20. maj 2018 kl. 18:39

Den Nationale Strategi for cyber- og informationssikkerhed.... men den evolutionære tilgang funderet i eksisterende metoder og processer og baseret på en antagelse om, at vi i Danmark selv kan løfte denne opgave i staten med de begrænsede kompetencer, er utopisk.

Jeg kan kun, som Hans Nielsen Torsdag, 17. maj 2018, se Frank Mogensens indlæg som inserat(reklame).

De 233 mio. kr. om året er et 0 for lidt[1]. Mange år tilbage brugte jeg her i v2 beløbet xx mia i efterslæb - da vi aldrig fik sikret og opdateret ansatte/programmer/data tilstrækkeligt undervejs i digitaliseringsrusen .

At hælde samfundets data + manglende datasikkerhed op i skyen(Cloud), er som tisse i bukserne , da det efter få år blot skaber en flodbølge af ulykker, som ingen derefter kan kontrollerer.

Vi har i landet både mandskab samt viden, ikke begrænsede kompetencer (men den er spredt), der for en gangs skyld kunne samles og blive brugt målrettet, samt kan over de næste X år rydde det værste af vejen. Det gør [1] ikke.

Indtil nu - maj 2018 - gik tiden kun med at bygge simple voldgrave og portnerboliger med primitiv adgangskontrol - så viljen eksister endnu ikke[1]. Vi mangler stadig skandalen over alle ;), der gør meget meget ondt, således vælgerhavet bliver vækket og opmærksom.

De 179 stakler på tinge bliver fastholdt i troen på, at dit og dat er den hellige gral, der kan punktsvejse under vand, brygge kaffe og samtidig både passe børn; afslører bussemænd samt finde misbrug af offentlige ydelser, og om aftenen, når de små er puttet, så løser skyen(Cloud) og kunstig intelligens(AI) verdens konflikter inden midnat.

Hvem pokker er det, som stadig her i 2018 kan gå uantastet rundt og sælge ammestuesnak; læs: misinformerer vores folkevalgte..

  • MS samt DI ?
  • andre salgs- og lobbyfolk ?
  • akademikergrupper, der meler egne stillinger ?

[1] Nationale strategi for cyber- og informationssikkerhed er 10 gange for lidt og 10 gange for langsomt.

It-teknologi er hverken god eller dårlig, den er ufølsom som en ladeport, og venter aldrig på de politiske rigtige eller forkerte, de langsomme, de uvidende eller de dumme, samt alle digitale teknologier moser blot hastigt videre uanset konsekvenserne.

36
18. maj 2018 kl. 14:31

Det er utroligt at man fortsat skal høre at skyen i sig selv er mere sikker i forhold til andre modeller At Microsoft bruger x-antal milliarder på sikkerhed, eller har y-antal ansatte sikkerheds-specialister ansat er totalt intetsigende - man sammenligner æbler og skyskrabere ?

Når man vælger traditionelle offentlige sky-løsninger, så spredes forretnings-data og det bliver svært at sikre at kritiske data ligger få steder, hvor de er i sikkerhed - skyens indbyggede spredningen af data er i vejen og kundens kendskab til hvad de har af kritiske data er begrænset

Derudover benytter man primært apps til skyløsninger, og her handles der med data bigtime, ofte kan man som bruger reelt ikke styre hvad man vil dele hvis man ønsker at benytte en given app, derudover så kopierer apps ofte data til den enhed som de kører på (mere spredning af data…)

Med skyløsninger får man også mange business owners, der agerer mere på egen hånd, de indkøber selv skyløsninger og så må forretningen rette ind med at data spredes og at man får mange apps der har divergerende kvalitet og sikkerhed

Sikkerhedsløsninger fragmenteres da data spredes på mange forskellige systemer

At man laver on-premise løsninger udelukker på ingen måder at de sikkerhedsløsninger som man vælger kan trække på cloud-lignende løsninger, hvis de tilbyder en forbedret kvalitet

Man kan også lave own-cloud lignende løsninger

Den offentlige sky duer ikke til disaster recovery scenarier, restore tiden er for lang - og ofte er det også dyrere at opbevare store mængder backupdata i skyen – men ideen med at kryptere vigtige data, dele dem op og fordele dem på forskellige sky storage-løsninger er da interessant

Tak for en interessant debat

35
18. maj 2018 kl. 11:20

Krypter dine data med en god krypteringsalgoritme.

Kryptering er sjældent en silverbullet. Problemet er opbevaring af passwords, krypteringsnøgler, etc . Hvis data skal være tilgængelige på computer X, så skal computer X have credentials til at hente data samt nøgler til at dekryptere data. Dermed bliver computer X målet for hackere ...

Og sådan er det næsten altid med kryptering. Det flytter bare problemet et andet sted hen.

@Christian, De fleste danske virksomheders applikationer har behov for internet.

De fleste danske virksomheders applicationer har behov for internet i meget begrænset omfang. Hvis behovet er der for kommunikation, så kan man levere det gennem veldefinerede protokoller som kun tillader det nødvendige at komme igennem og hvor der er tilstrækkeligt sikkerhed og overvågning til at opdage misbrug.

Jeg kan helt ærligt ikke se hvordan diskussionen omkring internet og ikke internet versus on premise og public cloud er relevant. Om du har du dit udstyr i kælderen, hosted af en provider eller i skyen, kan du blive ramt af outage ift. adgang til internettet.

Hvis du har dit udstyr i kælderen uden at det er koblet på et offentligt net, så er muligheden for at få malware meget begrænset. Så kræves der metoder i stil med Stuxnet.

33
17. maj 2018 kl. 21:45

Det lille problem fixer du ved at anvende et self-signed certifikat og udruller certifikatet til alle klienter som en del af deres trusted certificates.

Nej det er desværre ikke så enkelt - af to grunde:

  1. Der skal være et fuldt kvalificeret navn - før i tiden kunne man godt lave et certifikat til en IP adresse, men det kan man ikke mere.

  2. Der skal kunne bruges en hvilken som helst enhed, det kan være en computer, tablet eller telefon, af et vilkårligt fabrikat, som jeg ingen kontrol har over - så kan jeg ikke baaaare liiiige udrulle certifikater.

Men inden du overhovedet begynder på det bør du nok spørge dig selv om du ved hvilken trafik der flyder igennem din firewall.

Altså jeg taler om internt, som i ledningen til internettet er klippe helt over.

31
17. maj 2018 kl. 17:14

På hvorfor skyen altid er bedst ? Ikke at den i mange tilfælde er billigst og nemmest.

Hvis vi f.eks. ser på din påstand om oppetider. Hvad nytter det, hvis du er afhængt af en Internet forbindelse, som ikke virker ? Så hvis Internetforbindelsen går, som at et kabel graves over, så virker Regnskab, Telefoner og alt andet ikke. Så med skyen er der et Single point of failure .

Sikkerhed, Hvis du vil sikker dig helt mod angreb. Så er det bedste jo helt
at kappe forbindelsen til Internettet. hvad skal Atomkraftværker, Elnettet, Hospitaler (operative) og meget andet i det hele taget på nettet.

Pris. Hvis du du udnytter dine server rigtige, så kan du stadig, i nogle tilfælde lave det billigere selv.

Så hvis man har det rigtige setup og type af virksomheder. Så kan skyen ikke konkurrere på Stabilitet, Sikkerhed og pris.

Så jeg vil som mange andre andre af debatøre her, bare påstå at indlægget bør viftes som reklame. Især når du holder så meget på dine påstande, og ikke kommer med helt valide argumenter. Så skinder salgstalen igennem.

Også er vi slet ikke kommet ind på GPPR, overvågning og vendor login.

Der hvor jeg synes at filmen knækker for dig, er at du altid mener at skyen er bedst. Her virker du lidt som en MS PR person. (ikke ment positiv) hvor alt det de lige har på bedding altid er det man skal købe, mere for at MS kan tjene penge. Ikke om det hjælper dig som person eller firma. Men du har da ret i Rigtigt mange tilfælde er skyen, det nemmeste, hurtigst, billigst og eneste mulighed. bare ikke altid.

30
17. maj 2018 kl. 16:15

Dvs hvis mine webprogrammer skal kunne fungere ordentligt, så er jeg tvunget til at de skal en tur ud på internettet, hvilket jeg overhovedet ikke er interesseret i.

Det lille problem fixer du ved at anvende et self-signed certifikat og udruller certifikatet til alle klienter som en del af deres trusted certificates.

Men inden du overhovedet begynder på det bør du nok spørge dig selv om du ved hvilken trafik der flyder igennem din firewall.

29
17. maj 2018 kl. 15:37

af tusindevis af sikkerhedsfolk

Sikkerhedsfolk I alle dele af verden, da skyen en global. Det betyder også bare at der kan være titusindvis af personer der har indirekte adgang til de data der er i skyen.

Det er en risiko man skal forstå og gardere sig i mod.

Nogen vil måske sige at man bare skal have er revisorerklæring på at leverandøren har styr på sikkerheden, problemet er bare at en revisor i Ireland ikke vil give en erklæring på den del af skyen der ikke befinder sig i et andet land. Yderligere, som en anden også har fremhævet, har nogle lande lovgivning der giver landets efterretningstjenesten til at få udleveret data osv. noget som revisor ikke beskæftiger sig med.

Jeg siger ikke at skyen er ustabil og billig (på den negative måde), men når noget er i skyen, bliver man afhængig af flere netværk.

Det er sindssygt vigtigt at man forstår alle disse risici (gode som dårlige) og får kommunikeret disse på en måde som forstås af forretningen/ledelsen og får deres accept eller afslag.

Jeg er ikke negativt stemt for skyen, den er glimrende til nogle ting, mindre god til andre ting.

Lige meget hvad kræver det en vis potion modenhed for at forstå og bruge skyen.

28
17. maj 2018 kl. 14:29

Hvordan forestiller du dig at processing skulle foregå med kun hver anden bit til stede...? Umiddelbart virker det som et vildskud, men enlighten me please...?</p>
<p>Hvis du alene tænker skyen som lager så kunne din idé måske nok gennemføres, men jeg opfatter diskussionen som en kende bredere end det?

Jeg har primært tænkt på brug til dataopbevaring, enten som rå datafiler eller tabeller, hvor man slår op med en nøgle. De rå datafiler er forholdsvis nemme: Du henter bare filerne fra min. to servere, og kan lokalt rekonstruere data. Når du skal gemme en fil, lægger du den på alle tre servere. Hvis kun to er tilgængelige, lægger du på dem. Når den tredje så bliver tilgængelig kan du lokalt rekonstruere filen og trække de nødvendige bits ud til at lave den tredje, som du så gemmer.

Til tabeller skal både nøgler og data krypteres, og både nøgle og data deles op i hver anden bit samt XOR af disse på samme måde som før. Hvis du lokalt har en nøgle, kan du ud fra denne konstruere to eller tre del-nøgler, slå op med dem, og genskabe det oprindelige data. Igen kan du med time stamps sørge for, at en tredje server, der er nede ved en opdatering, bliver opdateret, når den kommer op.

27
17. maj 2018 kl. 14:23

@Christian, De fleste danske virksomheders applikationer har behov for internet.

Meget muligt, men det er en krog man har malet sig op i, som ikke nødvendigvis er hensigtsmæssig, og ikke nødvendigvis baseret på reelle behov, men mere hvad man er blevet påduttet af smarte sælgere.

Jeg kan helt ærligt ikke se hvordan diskussionen omkring internet og ikke internet versus on premise og public cloud er relevant. Om du har du dit udstyr i kælderen, hosted af en provider eller i skyen, kan du blive ramt af outage ift. adgang til internettet.

Jeg gentager gerne hvad det var jeg svarede ud fra:

Jeg er i øvrigt af den holdning at det eneste der virker rent sikkerhedsmæssigt er at adskille systemer. <strong>At hver eneste ansattes computer ikke skal have adgang til internettet.</strong> Det slags bør foregå separat og med begrænset mulighed for kommunikation mellem det lukkede netværk og resten af verden. Det er ikke det eneste man skal gøre, men det er klart det vigtigste.

26
17. maj 2018 kl. 14:04

@Christian, De fleste danske virksomheders applikationer har behov for internet.

Jeg kan helt ærligt ikke se hvordan diskussionen omkring internet og ikke internet versus on premise og public cloud er relevant. Om du har du dit udstyr i kælderen, hosted af en provider eller i skyen, kan du blive ramt af outage ift. adgang til internettet.

25
17. maj 2018 kl. 13:54

Jeg er i øvrigt af den holdning at det eneste der virker rent sikkerhedsmæssigt er at adskille systemer. At hver eneste ansattes computer ikke skal have adgang til internettet. Det slags bør foregå separat og med begrænset mulighed for kommunikation mellem det lukkede netværk og resten af verden.

Du har fuldstændig ret.

Internettet er i løbet af ca 30 år blevet verdens største svøbe overhovedet.

Bevares der er da mange gode (og især sjove og tidsrøvende) ting ved Internettet, men måske vi burde stoppe lidt op, træde et skridt tilbage og overveje om vi skal blive ved med at fortsætte tåbelighederne.

Det kan da være fint nok med sky mig her, og sky mig der, men det gør os også voldsomt sårbare - uanset hvor sikker skyen end kan påstås at være, så kan man risikere at en hel produktion lægges brak eksempelvis ved noget så simpelt som et overgravet kabel (eller nogen fik fat i den store kill-switch), fordi man absolut mener at alt skal styres gennem Internettet, i stedet for man splittede tingene op, og lavede nogle robuste interne systemer.

Betroelsen til monokulturer gør heller ikke situationen bedre.

Og hele dette hype, om Internettet som det eneste saliggørende, giver faktisk også nogle kedelige sideeffekter, fordi man risikerer at løsninger der skulle holdes internt tvinges ud på nettet alligevel - lad mig give et eksempel:

Jeg har efterhånden lavet en stor værktøjskasse til brug for at lave webprogrammer, så jeg kan sætte en lille webserver op, og brugerne kan så få fuldt funktionelle programmer via en browser der understøtter HTML5 - nemt for både mig og brugere, da jeg slipper for en masse platformsafhængigt pjat.

MEN hvis jeg så vil have at der skal være et login til disse webtjenester, som jeg vil holde 100% internt, så starter balladen, fordi alle browser leverandører bitcher hvis man "kun" bruger HTTP, og hvis man bruger HTTPS går det helt galt, for der er et krav om at der skal være et validt certifikat, hvilket bare ikke er muligt hvis man slet ikke vil ud på internettet.

Dvs hvis mine webprogrammer skal kunne fungere ordentligt, så er jeg tvunget til at de skal en tur ud på internettet, hvilket jeg overhovedet ikke er interesseret i.

Desværre er det så sådan at de 4-5 store browsere mere eller mindre alle har samme adfærd, givetvis fordi det er en del af forretningskonceptet at alt skal foregå på Internettet.

24
17. maj 2018 kl. 13:45

En dansk cloud udbyder? Tænker du her diverse hosting virksomheders egen private cloud?

Kan ikke se det har noget med indlægget at gøre, da private cloud blot er gammel vin på nye flasker og nyder ikke godt af mængden af ekspertise, certificeringer og tid dedikeret til sikkerhed som f.eks. Azure.

23
17. maj 2018 kl. 13:33

Det jeg gerne ville sige var, at udviklere meget tit fokuserer på kodesikkerhed, men ofte ikke er vant/uddannet/har indsigt til, at skulle varetage alle de andre discipliner der også er forbundet hermed og som driften traditionelt har taget sig af.

Tror ikke jeg udtrykte mig klart nok. Hvis man som arkitekt eller udvikler designer systemer med indbygget sikkerhed koster det en del mere kodetid dvs. penge. bemærk det ikke er "code" sikkerhed, men data sikkerhed jeg taler om. Denne sikkerhedspris er historisk høj fordi der ingen konsekvens er ved data sløseri.

Den tid er nu forbi. Jeg glæder mig til at se nye systemer som udnytter sikkerheds mulighederne fordi det kan betale sig.

22
17. maj 2018 kl. 12:14

@Thomas ... hvorfor skulle en dansk udbyder gøre en forskel?

21
17. maj 2018 kl. 12:02

Første skridt må være at bruge en dansk cloud udbyder, ellers har vi kun opnået at vælge hvem der skal have svært ved at ligge vores systemer ned og læse vores data og hvem der skal have nemt ved det.

20
17. maj 2018 kl. 11:54
  • hvis man placerer sine data et sted hvor man ikke kan håndhæve kontrakten, er det samme som ikke at have nogen kontrakt.
19
17. maj 2018 kl. 11:29

... at mange virksomheder og myndigheder endnu ikke har den helt basale cyber security hygiejne på plads endnu ... og dem der beslutter hvorledes disse virksomheders knappe ressourcer skal anvendes (ledelserne), ja de forledes nemt til at tro, at de kan 'købe' sig til noget af dette ved at komme i 'skyen' ... og det er jo langt fra særligt tit, at det så også er resultatet af investeringen ...

Jeg så gerne at disse virksomheder investerede Cloud-pengene i de helt basale sikkerhedsinitiativer, og fik dem G E N N E M A R B E J D E T ind i organisation og systemer, med egne ressourcer, der dermed kom til at kende og forstå egne systemer, data og disses flow ... dermed kunne de være med til at tage endnu mere og bedre kvalificerede sikkerhedsbeslutninger, baseret på kvalificerede risikoanalyser og erkendt risikoappetit, med udgangspunkt i forretningen ... hvoraf, en gang imellem, Cloud kunne være en af dem ...

18
17. maj 2018 kl. 11:17

@Torben Mogensen

Hvordan forestiller du dig at processing skulle foregå med kun hver anden bit til stede...? Umiddelbart virker det som et vildskud, men enlighten me please...?

Hvis du alene tænker skyen som lager så kunne din idé måske nok gennemføres, men jeg opfatter diskussionen som en kende bredere end det?

17
17. maj 2018 kl. 11:10

@Ulrik Suhr

Du skriver at programmører og arkitekter ikke forstår sikkerhed. Der er jeg så lodret uenig og tror måske vores uenighed nok stammer deraf.

Jeg har vist udtrykt mig lidt klodset - og det beklager jeg.

Det jeg gerne ville sige var, at udviklere meget tit fokuserer på kodesikkerhed, men ofte ikke er vant/uddannet/har indsigt til, at skulle varetage alle de andre discipliner der også er forbundet hermed og som driften traditionelt har taget sig af.

I de implementeringer af DevOps som jeg har set flest af bliver de nu pludselig ansvarlige for det hele - de får hele ops opgaven oveni det de normalt gør og så opstår der tab af værdifuld viden.

Det er ikke udviklernes skyld, men måden vi griber skyen an på, fordi den bliver italesat, som den hellige gral, der kan punktsvejse under vand og løse verdens konflikter på samme tid.

Den samme italesættelse er vel også en af grundene til de ofte meget polariserede debatter om samme emne...?

16
17. maj 2018 kl. 10:34

Svaret er måske. At sige cloud er nødvendig er lige så unuanceret som at sige cloud ikke er.

“Cloud” er ikke en veldefineret størrelse - det kan være rigtig mange forskellige services. Derudover glemmer du det altid delte ansvar.

Data lækker fint (og det er vel formålet for kriminelle) fordi brugerne ikke har styr på adgangskontroller eller konfiguration eller ... Se bla eksemplerne ovenfor.

Og lad os lige tage den med perimeter sikkerhed - den er fundamentet for cloud services. Fordelene findes andre steder.

NB: må jeg gætte du sælger cloud services?

15
17. maj 2018 kl. 10:30

Hej Torben (Mogensen). Tak for ide oplæg til sikker anvendelse af sky ...

Ja, det ville unægteligt hæve sikkerheden for, at kompromittering blev ulig meget sværere ... men jeg ser hurtigt, at forretnings gevinsten (Business Case'en) ved denne øvelse så helt forsvinder ...

Det man sparede ved at gå i skyen bliver ædt op af de forskellige kontrakt- og administrative overheads, der så opstår ... og hvad med driftssikkerheden? Hvad sker der hvis den ene leverandør er nede, så er virksomheden kun i stand til at nå halvdelen af data ... 'enter' den tredie sky, som backup ... hvor er mine rigtige data nu? Hvis jeg arbejder i den tredie sky skal jeg tilsikre, at de to andre skyer opdateres, for der er jo oftest lovgivning der fordrer, at jeg har styr på hvor min data er, hvilke der er originale og hvilke der er kopier ... jeg frygter et administrativt og teknisk marreridt ved denne her slags løsninger ... men ja, de er sikre i forhold til Cyber trussler ;-)

Bare tanken om 3 forskellige SLA'er kan få Intern Revision til at løbe skrigende bort ...

Mvh. Michael

14
17. maj 2018 kl. 10:18

Jeg er af den grundholdning at sikkerhed fra starten slår alle andre luftkasteller med længder.

Du skriver at programmører og arkitekter ikke forstår sikkerhed. Der er jeg så lodret uenig og tror måske vores uenighed nok stammer deraf. Om opdrags giverne vil betale for sikkerheden før i tiden er næsten givet på forhånd. Derfor vejer indbygget sikkerhed morgenluft efter GPDR.

Du argumentere for sikkerhed og beviser. Det bedst "hack" jeg kender har Henrik også omtalt https://xkcd.com/538/100% succes mod de største IT leverandører. Jeg gætter på de vel har over 10k sikkerhedsfolk ansat, men dette hack kan de ikke stoppe.

13
17. maj 2018 kl. 10:15

Hvis du vil holde dit data sikkert, så brug følgende proces:

  1. Krypter dine data med en god krypteringsalgoritme.

  2. Læg hvert anden bit op på en sky, og de andre bits op på en anden sky.

Uanset hvor meget regnekraft du har til rådighed, kan du ikke afkode en krypteret besked, hvis du kun har hver anden bit, så en evt. hacker skal have adgang til begge skyer for at kunne læse dit data. Det er ikke umuligt, men for at mindske risikoen, kan du vælge to skyer med forskellig underliggende teknologi og liggende i forskellige lande. Canada, Australien og EU er nok de mindst ringe steder.

Hvis du vil gøre din løsning endnu mere robust, så lægger du XOR af de to bitmønstre op i en tredje sky. Så kan du genskabe dit data fra to vilkårlige skyer. Det kan hackere også, så du bør stadig have tillid til skyerne og derudover bruge en god krypteringsmetode.

12
17. maj 2018 kl. 10:05

Endelig en kvalificeret dialog om Cloud og sikkerhed ... har jeg savnet. Mit indspark tager udgangspunkt i SANS, hvor de fleste af de mange undervisere jeg kender, undsiger Cloud. Alene af den årsag, at under motorhjelmen, er en Cloud løsning jo identisk med firmaernes egne løsninger ... og de bliver konstant komprommitteret ... så hvad skulle forhindre at Cloud'en bliver det? ... og her (i Cloud'en) blander og mixer man tillige kundernes data ... uha!? Og sjældent tildeles kunderne den operative detaljerede indsigt, der gør f.eks. Incident Response og Forensics muligt ... så har en virksomhed endelig et aktivt forsvar, så ka de ikke få lov til, at bruge det for Cloud leverandøren, som jo vil påstå, at det klarer de selv ... hvor i historien nogen så har set, at det sku forbedre mine data's beskyttelse, ja det mangler jeg at se ... Og ja, jeg mener at dem der underviser hos SANS er nogle af de mest vidende omkring Cyber Security ... i hele verden ... og det er oftest dem, der konfrontere bl.a. nation-State hackere, når de passer deres almindelige arbejde, så de ved hvad modstanderne er instand til ... så nej, jeg mener ikke at Cloud giver bedre sikkerhed, tvært imod, men fra et forretningsmæssigt perspektiv (læs: kroner og øre) ka jeg sagtens se ideen ... lidt ærgerligt, at indlægget kommer fra en direktør for et stort Cloud hus ... havde gerne set det anderledes, men respekt for at have fået skabt en rigtig fin dialog om for og imod. Mvh. Michael

11
17. maj 2018 kl. 09:35

@Michael du skriver:

Hvis man ikke ved noget om sikkerhed, så kan man ikke købe det hos private leverandører. Så staten har et behov for ekspertise.

... staten har utvivlsomt behov for ekspertise, og meget gerne ude i de enkelte styrelser og ministerier. At private leverandører ikke skulle kunne levere det forstår jeg så ikke, men lad bare det ligge.

Jeg har budt på en del meget store centrale offentlige projekter, hvor kravene til sikkerhed har været præget af formuleringer som: "Systemet skal til enhver tid være sikkert" ...

Alle med faglig indsigt ved at arbejdstesen er 'assume breached', så det klinger hult, når det offentlige starter med at fralægge sig alt ansvar, ved at skubbe det over på leverandørerne.

Dermed starter samtalen om sikkerhed forkert og det er svært efterfølgende at rette op på.

Der er, i de offentlige standardkontrakter, ikke indbygget nogen former for incitamentsstruktur, der sikrer leverandørerne betaling for kontinuerligt at vedligeholde og forbedre sikkerheden i systemerne ... når 5-10 år gamle systemer så bliver hacket, så undrer vi os og bliver forargede over en hændelse der var 100% forudsigelig, det eneste vi ikke kunne forudsige var tidspunktet for hacket.

10
17. maj 2018 kl. 08:43

Hvis man ikke ved noget om sikkerhed, så kan man ikke købe det hos private leverandører. Så staten har et behov for ekspertise. Ydermere er det offentlige ejere af ret mange systemer der er specialdesignet til ejeren. Jeg har svært ved at se en stor og blomstrende industri omkring den slags ... bortset fra dem der vil sælge dyre konsulenttimer.

Jeg er i øvrigt af den holdning at det eneste der virker rent sikkerhedsmæssigt er at adskille systemer. At hver eneste ansattes computer ikke skal have adgang til internettet. Det slags bør foregå separat og med begrænset mulighed for kommunikation mellem det lukkede netværk og resten af verden. Det er ikke det eneste man skal gøre, men det er klart det vigtigste.

8
17. maj 2018 kl. 07:26

Kære Henrik Hansen

Tak for kvalificeret medspil. Her er det så at CFCS burde være overdommer og kunne afgøre for os alle sammen om skyen ER sikker eller ej, baseret på deres konsoliderede erfaring fra efterretningstjenesterne angrebsværktøjer og kendskabet til succesfulde angreb. Det kommer så nok aldrig til at ske og så ender vi med fakta-fattige diskussioner.

Breachlisten er desværre et godt eksempel ... data er tabt, javel, men hvordan/hvor er ikke til at få overblik over.

Og ‘hvor’ er det interessante. Skete tabet på grund af fejl i den underliggende stak som cloududbyderen har ansvaret for, eller i det kunden selv har installeret og konfigureret?

Rigtig mange cloud kunder glemmer nemlig at løfte deres egen del af ansvaret og sikre den del de selv konfigurerer. Det er, som om de glemmer alt de ved om sikkerhed ... for skyen er jo sikker.

... og med hele DevOps er det nu koderne selv, der står for at installere og konfigurere ... også alt det de ikke ved noget om.... for deres fokus er kode og ux og tit har de intet kendskab til leverandørens sikkerhedsfeatures og -services.

Jeg ser derfor et meget stort behov for oplysning og uddannelse af dygtigere arkitekter og kodere inden de flytter ind i skyen.

Jeg vil fortsat mene at skyen ER sikrere, men naturligvis under den forudsætning at den bliver anvendt rigtigt.

7
17. maj 2018 kl. 03:12

Burde indlægget ikke snarere være publiceret som Sponsoreret Indhold når bloggeren er direktør for en cloud udbyder?

6
17. maj 2018 kl. 02:59

Må jeg ikke bede dig komme med fakta når du påstår at skyen ikke er den bedste løsning?

Fakta er, at hvis man søger på Google efter fx.: "vm escape bug" eller "vm vulnerability" er der 100.000 vis af seriøse hits. Der går altså ikke mere end et par måneder mellem en eller anden pwn2own deltager har fundet et par huller i Xen, Hyper-V, ESXi, OpenStack, VirtualBox eller whatever. Til alt held bliver de fleste VM-huller released som "responsible disclosures" der giver cloud leverandørerne tid til at patche deres systemer... men hvad med dem der ikke gør, og hele den undergrunds-industri der sælger til "APT" segmentet?

Hvilke succesfulde angreb på de store cloud leverandører kender du til, og hvordan forholder det tal sig i forhold til ikke-cloud, som jo ligesom er alternativet?

Nu er de store cloud-leverandører jo helt vilde med at fortælle offentligheden om hvilke succesfulde angreb de har været udsat for. Den eneste reelle mulighed offentligheden har for at gennemskue de succesfulde angreb på de store cloud-leverandører er at kigge ned af lister som denne:

https://en.wikipedia.org/wiki/List_of_data_breaches

...og så lige overveje om den ramte virksomhed er stor-forbrugere af cloud-løsninger, eller måske ligefrem er et datterselskab af en teknologi-virksomhed, som leverer cloud-løsninger.

Hmmm.... bum bum bum....

3 milliarder Yahoo-konti... de er leverandør af egen OpenStack cloud. 150 millioner konti lækket fra Under Armour, de er vidst AWS-kunder. 143 millioner konti lækket fra Equifax... dem har Cloudera en kundecase på. 57 millioner Uber-profiler... lå i deres hjemmebyggede UberCloud. 152 millioner Adobe kunder... mon ikke de lå i Creative Cloud? 145 millioner eBay kunder... de har selv bygget en OpenStack cloud. etc...

Så er der hele historien om at hvis dine data er interessante for USA's nationale sikkerhed, så har samtlige amerikanske cloud-leverandører bare at udlevere, lige meget hvor data befinder sig i verden, no questions asked, også kendt som Microsoft's irske problem...

https://xkcd.com/538/

Efter min egen mening er teknologien bag cloudløsninger fantastisk, og den store hemmelighed som leverandørerne holder for sig selv er, at 95% er deres løsninger er bygget på Open Source teknologier, som enhver idiot kan downloade og installere, og som faktisk er rimelig nemt at komme i gang med.

Jeg er fuldstændig enig i at skyen er den bedste løsning anno 2018, så længe vi taler min egen sky, og ikke disse ubegribelige forsøg på at outsource ansvaret for egen data til div. amerikanske konglomerater.

5
16. maj 2018 kl. 23:03

Kære Chresten

Må jeg ikke bede dig komme med fakta når du påstår at skyen ikke er den bedste løsning?

Hvilke succesfulde angreb på de store cloud leverandører kender du til, og hvordan forholder det tal sig i forhold til ikke-cloud, som jo ligesom er alternativet?

Jeg har til gode at blive overrasket, hvis det skulle vise sig, at cloud er hyppigere ramt end on premises.

Du skriver, at man bør kryptere private data i skyen, for ellers er det ikke sikkert ... deraf udleder jeg, at du mener, at man så ikke behøver samme kryptering når man er udenfor skyen. Jeg er fundamentalt uenig med dig!

Din henvisning til rowhammer peger på en generel sårbarhed i DRAM, særligt i DDR3 og DDR4 og har, som sådan, ikke noget med skyen at gøre, da det jo er samme microarkitektur, vi alle sammen kører på. Udfordringen er så i øvrigt i væsentlighed mitigeret siden Ivy Bridge processorerne.

Jeg er ikke ude på at save modstandere af cloud ned til sokkeholderne, men jeg vil frygteligt gerne at vi øger sagligheden i debatten om cloud versus onpremises. Kan vi starte den rejse sammen?

4
16. maj 2018 kl. 17:08

Cloud løsninger er ikke altid den bedste løsning, når man tager data beskyttelse i betragtning, da data lageret i skyen, har en stor målskive på sat, hvor mange forsøger at tilgår data ulovligt. Og der bliver heletiden udviklet metoder til dette, se NB1 se også NB2 Så hvis man bruger skyen, skal man ikke lægge data der er private, ellers må man krypter dem. :)

NB1 = https://www.cs.vu.nl/~herbertb/download/papers/throwhammer_atc18.pdfNB2 = https://en.wikipedia.org/wiki/Remote_direct_memory_access

3
16. maj 2018 kl. 16:35

Kære Claus Juul

Din pointe, at sikkerhed skal tænkes med fra start og tænkes ind i alt, deler jeg fuldstændig ... og det gør alle der arbejder med sikkerhed. Alt andet er i bedst fald en lappeløsning.

Er der problemer med applikationen så skal der rettes fejl i applikationen ... det er samme forhold uanset om du kører on premises eller i skyen.

Mht. dit syn på Cloud som noget billigt og ustabil stads kan du så ikke knytte et par kommentarer på hvad der er din erfaring og hvorfor du mener at lokalt drøftede ting er bedre?

Når det handler om sikkerhed i skyen så er Franks pointe at stordriften gør at vi allesammen drager fordel af tusindevis af sikkerhedsfolk i modsætning til at vi selv skal klare alt med en håndfuld i bedste fald ... hvor er det at du det fordelen ved at stå med hele ansvaret selv?

2
16. maj 2018 kl. 14:52

Jeg er desværre ikke enig med dig Frank.

Cloud er ikke løsningen på it-sikkerheden. Cloud kan godt være løsningen på at få en billig, skalerbar og til tider stabil platform (OS og hardware og dertil hørende infrastruktur), men hvis fx brugeradministration eller applikationen har fejl, ændre det ikke på en bønne.

IT-sikkerhed handler om at får det hele med og gerne fra starten, dvs. tænke it-sikkerheden ind i løsningen/organisationen og designet, ind i DNA'et.

Fordi du nævner biometri, vil jeg bare lige sige at det giver jeg ikke meget for. Biometri kan kopieres, lige som alt andet.

1
16. maj 2018 kl. 14:09

Hej Frank

Du har fuldstændig ret i de fleste af dine synspunkter. Desværre er regeringens udspil tæt på at være værdiløs symbolpolitik til 1,3 mia DKK.

... jeg bemærker fra udspillet, at man vil etablere et døgnbemandet center ... ud af hvilket man kan slutte, at det har man altså ikke haft indtil nu ... og deraf kan man så også udlede en del af forståelsen for urgency hos CFCS

... jeg savner også en debat om det kloge i at give den myndighed, der udvikler og anvender cyberangrebsmetoder, opgaven med at formidle viden om hvordan man forsvarer sig mod de selvsamme angrebsmetoder ... er det mig, eller svigter logikken?

... jeg har præcis som du, oplevet koret af offentlige kontorchefer der afviser brug af skyen uden at forstå, at de dermed fravælger en markant bedre sikkerhed, end den de enten selv kan fremtrylle eller den deres danske hosting leverandører magter at frembringe. DSB som seneste eksempel ...

... desværre oplever jeg det samme gøre sig gældende hos mange private virksomheder, herunder min egen arbejdsplads, at manglende indsigt, krydret med decideret fejlagtige påstande, står i vejen for mere sikre cloudløsninger. Imens hælder de selvsamme chefer utallige millioner i sikkerhed som vor mor lavede den ... og lige præcis det er ikke det niveau man skal stræbe efter.