Nu da PRISM er blevet afdækket, er der mange der sidder og stirrer fortabt på sikkerhedsinstruksen og en blinkende cursor...
Man skal vælge sine slagsmål med omhu, ikke mindst et hvor modstanderne har så mange resourcer som her.
Det første man skal gøre sig klart er derfor hvad man ikke kan og derfor ikke vil forsøge at forsvare.
Blokering af Google, FaceBook, Skype osv ?
Glem det.
Afværge identifikation og tracking af brugere og computere der har en browser ?
Glem det.
Begge dele kan gøres, men nettet bliver "oldnordisk" af det og medarbejderne vil forsøge at arbejde uden om sådanne restriktioner.
Men der er andre steder hvor organisationen typisk har kontrollen, som bør kulegraves.
Det siger sig selv at enhver anvendelse af "Cloud" og ${Shit} As Service skal kigges på i det absolut mest skeptiske lys og leverandørene skal kigges efter i sømmene.
Det der er unikt her og som mange "vi har skrevet en god stærk kontrakt"-advokater totalt overser, er at der er tale om uigenkaldelige begivenheder.
Kørekortsregisret er uigenkaldeligt stjålet, det bliver aldrig hemmeligt igen, for der er ingen måde at bevise at alle ulovlige kopier er opsporet og slettet.
Datalækager står på den måde i stærk kontrast til f.eks et oppetidskrav, hvor man via økonomisk kompensation kan blive holdt skadesløs.
Som udgangspunkt skal man derfor ikke lægge nogen data ud "i skyen" eller ${Shit} As Service, med mindre man kan leve med at der bliver taget kopier af dem.
Det betyder at man enten bliver nødt til at sortere sine data i "vigtig" og "mindre vigtige" eller også behandle dem alle som "vigtige" og betale de øgede driftsomkostninger.
Google Docs og Office 365 kan fint bruges til alt muligt trivielt: Firmasporten, invitationer til salgsgasudslip, personalelisten.
Men Bestyrelsesreferatet, Truslen om sagsanlæg fra en utilfreds kunde, Ideen til et nyt produkt, Patentansøgningen ?
Jeg ville sige blankt nej.
Et eller andet sted imellem disse to yderpunkter skal den ansvarlige ledelse trække en klar rød streg, som medarbejderne kan se og der skal betales IT omkostninger for alt der ligger på den sikre side af stregen og for besværet med at håndtere stregen.
Hvor stregen går i forhold til CPR numre, personoplysninger, fakturering osv, bør være indlysende for enhver.
På samme vis skal ledelsen trække en rød streg igennem hvad der kan kommunikeres med kolleger, kunder, leverandører og pressen via sociale media og hvornår man skal sige "ring lige til mig på tlf eller send mig en email".
Medarbejderes forwarding af email skal naturligvis også gennemgås: Antag at enhver net/web baseret emailportal er usikker, med mindre firmaet selv kører den.
Egentlige "Cloud" services er endnu mere fuzzy.
Der er ikke noget problem i at bruge en eller anden "Storage in the cloud" service, hvis bare man kun gemmer kompetent krypterede data derude.
Det bekvemme ved "Cloud" forsvinder dog hurtigt, hvis man skal igennem en kompetent authentisering hvergang man skal åbne en fil.
Men f.eks at dumpe vel-krypterede backup-kopier hos Amazon burde ikke volde problemer.
Brugen af "cloud" faciliteter til egentlig databehandling betyder, IBMs jævnlige press-releases til trods, at der ikke kan bruges kryptering: Antag, med mindre andet kan bevises, at data bliver aflyttet.
Back-office systemerne er den helt store betændte tommeltot. Det er typisk ikke noget man bare lige skifter ud eller migrerer og derfor er der nok kun en ting at gøre: Kør vognene i cirkel og byg barrikaderne højere.
Husk i den forbindelse de tværgående forbindelser: Alt skal være krypteret. (Det var her CSC+Politiet dummede sig)
Det siger sig selv at alle logfiler skal læses skeptisk og atypiske mønstre eller begivenheder skal forklares til bund, hvergang.
Er der en chance for migrering, så tænk rigtig grundigt over hvem der kigger med over skulderen i de forskellige løsninger.
Den samme røde streg som ovenfor bør kunne genbruges mht til data på transportable devices:
Ingen følsomme data på private devices, alle officielle devices skal være behørigt krypteret (Af hensyn til tyveri osv.)
Spørgsmålet om hvilke devices man faktisk kan stole på er utroligt betændt.
Flere af læserne påpegede ganske observant at både Rusland og Kina havde udviklet "officielle" Linux og BSD distributioner fordi de ikke stoler på Microsoft og Apples produkter.
Et simpelt statistisk overslag vil dog hurtigt vise at det er urealistisk at noget "desktop" operativsystem der har en brugbar browser er uden spandevis af sikkerhedshuller og derfor er det maksimalt de med vilje indbyggede svagheder disse StatsLinuxer råder bod på.
Jeg kan ikke med oprejst pande påstå at der er særlig håndfast evidens for at en "kontor-computer" er mere eller mindre sikker fordi den kører FreeBSD eller Linux, dertil udgør browsere, Java, Flash osv. alt for store kodebaser.
På den anden side tæller Microsoft og Apples deltagelse i PRISM programmet meget, meget tungt imod dem.
For det første: Hvad bliver der rapporeret tilbage ? Nøglen til den krypterede disk ?
For det andet: Tvungne opdateringer man ikke kan få detaljeret indsigt i ? Den mekanisme er for perfekt til installering af backdoor/keylogger osv.
Med Open Source er man bedre stillet, men ordentlig sikker er man kun, hvis nogen man stoler på faktisk har gjort sig umagen at læse den næsten kvarte milliard linier kode vi typisk taler om, alt inklusive.
Mac brugerne vil blive et stort problem, men PC brugerne ville jeg forklare sagens alvor og migrere dem til en eller anden Linux eller BSD baseret kontor-løsning.
Husk at checke maskinerne for remote-management features i BIOS-settings, ud over IPMI dukker alle mulige andre private skodting op nu om dage.
Mobiltelefoner, smartphones, anser jeg for en "lost cause".
Jeg har endnu ikke fundet en smartphone der ikke stank langt væk af elendigt kodede programmer som ikke kan stoppes og ikke slettes.
Desuden mangler alle smartphones jeg har set det helt basale "administrator" koncept der gør at organisationen kan gennemføre en IT-sikkerhedspolitik som brugeren ikke kan fravælge.
MAO: Absolut ingen data fra den forkerte side af den røde linie på smartphones.
Og langt hen ad vejen er det altsammen det præcist samme jeg ville have sagt for en uge siden, hvis det lyder mere fornuftigt end det plejer er det ikke fordi jeg er blevet klogere.
Næste Blogindlæg: Niels Bohrs løsning.
phk
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
