Dette blogginnlegget skulle publiseres 22. juli, men så kom nyheten om terroraksjonen i Oslo. Da ble det med ett helt uvesentlig. Jeg skrev i stedet et lite blogginnlegg samme kveld med en liten oppfølging på mandag for å uttrykke mitt om den tragiske hendelsen. Norge vender smått om senn tilbake til hverdagen, om enn noe forandret, og dermed er jeg nå tilbake med ordinære innlegg.

———- # ———-

Sist uke kunne man lese artikkelen Hackers Gained Access to Sensitive Military Files i The New York Times med følgende alarmerende ingress:

WASHINGTON — The Defense Department suffered one of its worst digital attacks in history in March, when a foreign intelligence service hacked into the computer system of a corporate contractor and obtained 24,000 Pentagon files during a single intrusion, senior officials said Thursday.

Dette er nok et oppslag om den stadig økende mengde datainnbrudd i inn- og utland med tilhørende avsløringer om dårlig datasikkerhet. Det skjer som følge av at Internett nå gjennomsyrer hele samfunnet, og at mange derfor forsøker å tilrane seg andre sine data via datainnbrudd; både fra personer og bedrifter – og nå stater. Det store paradokset er at mens det blir stadig enklere å lagre og dele data på nettet, blir det tilsvarende vanskeligere å sikre dem. Derfor har vi det siste året sett stadig flere medieoppslag om dette, og det er dessverre bare starten på noe som vil tilta i fremtiden. Derfor er økt datasikkerhet nå blitt en viktig sak for nasjoner, ikke bare personer og virksomheter. La meg derfor kort gjengi og forklare hva som kan ha skjedd i dette Pentagon-caset.

Avsløringen kom når viseforsvarsminister William J. Lynn III sist uke presenterte en ny strategi for militære operasjoner i cyberspace i den tro at tradisjonelle passive program for å beskytte militære data er utilstrekkelig i en tid der stadig mer kriminalitet skjer via Internett. Filene tilhørte en underleverandør til Pentagon, og er at av de største dataangrepene mot en slik leverandør noen sinne.

NYT skriver i sin artikkel: “In releasing the strategy, William J. Lynn III, the deputy defense secretary, disclosed that over the years crucial files stolen from defense and industry data networks have included plans for missile tracking systems, satellite navigation devices, surveillance drones and top-of-the-line jet fighters.” Selv sier Lynn følgende: “A great deal of it concerns our most sensitive systems, including aircraft avionics, surveillance technologies, satellite communications systems and network security protocols”.

USA lanserer derfor en strategi kalt “Department of Defense Strategy for Operating in Cyperspace” (PDF-fil) med fem strategiske initiativer:

  • Treat cyberspace as an operational domain to organize, train, and equip so that DoD can take full advantage of cyberspace’s potential
  • Employ new defense operating concepts to protect DoD networks and systems
  • Partner with other U.S. government departments and agencies and the private sector to enable a whole-of-government cybersecurity strategy
  • Build robust relationships with U.S. allies and international partners to strengthen collective cybersecurity
  • Leverage the nation’s ingenuity through  an exceptional cyber workforce and rapid technological innovation

De har opprettet U.S. Army Cyber Command for å koordinere de defensive og offensive operasjonene for Pentagon og militære datanettverk. Det er ikke bare USA som har skjønt dette, og flere land gjør det samme. For noen dager siden blogget jeg om Norge som er i ferd med å gjøre “cyberforsvar” til en egen forsvarsgren med et milliardbudsjett pr. år. Og alle bedyrer behovet for internasjonalt samarbeid samt økt samhandling med næringsliv og offentlig sektor for øvrig.

Det er naturligvis ikke bare nasjoner og forsvar som berøres; også annen samfunnskritisk infrastruktur og institusjoner må beskyttes. I tillegg må både privat og offentlig virksomhet skru opp sitt fokus på datasikkerhet ved en bred tilnærming for å avdekke risiki, mål og strategier – herunder systemer for å sikre data i og utenfor virksomheten. Jeg vet på ingen måte alt om dette store og komplekse området, men vet at kryptering av data er en del av dette komplekset fordi jeg jobber med det til daglig i Invenia gjennom Yoobits for kryptering lagring og deling av data på nettet. Det er egentlig litt forstemmende at dette markedet vokser så fort for tiden da det viser et økende problemer i samfunnet. På den andre siden er vi avhengig av et marked for vårt produkt, noe som åpner seg nå i det analytikerne kaller en megatrend.

CBS News hadde en nyhet om saken 14. juli (klikk på bildet) der også andre sikkerhetstrusler mot det amerikanske forsvaret nevnes. Det er en ekte wake-up call. Mange norske medier slo også opp saken i dette kjølvannet.

Hvis du vil vite mer om hvordan Pentagon-hacket ble gjort, kan du lese det hos Fast Company. Det gir et innblikk i hvor enkelt det kan være å infiltrere en organisasjon, og bør bekymre mange. Det finnes ulike medlemsorganisasjoner i Norge, bl.a. Næringslivets Sikkerhetsråd  og Norsk Informasjonssikkerhetsforum (Invenia er medlem begge steder). Tilsvarende finnes i det offentlige, og myndighetene har bl.a. NorSIS, Nasjonal Sikkerhetsmyndighet og Datatilsynet. Slike organisasjoner, private som offentlige, vil få økt betydning etter hvert som datasikkerhet kommer mer i samfunnets søkelys.

Velkommen til en ny (virtuell) virkelighet!