IT-Sikkerhetsåret 2014


Vi har lagt bak oss et år med mange utfordringer, og alle trender tilsier at 2014  vil bli vel så utfordrende. I skrivende stund er vi nettopp ferdig med den nye konferansen ”Sikker Digitalisering” som tar for seg utfordringene når offentlig sektor skal ”På nett med innbyggeren” i enda større grad. Folkeregisteret moderniseres. Altinn har feiret 10 års bursdag og er ferdig med de fleste barnesykdommene. Nye prosjekter står i kø i offentlig sektor. Det mest spennende i 2014 er kanskje innføringen av en offentlig digital postkasse. Alle offentlige etater skal bruke denne kanalen, men det er også en stor jobb å tilvenne Norges befolkning og alle som utvikler, drifter og forvalter offentlige systemer til at all offentlig kommunikasjon i fremtiden skal skje digitalt. Samtidig skal de borgerne som ennå ikke er digitale følges opp, mens næringslivet skriker etter forenkling, et kontaktpunkt. etc.

For mange it-avdelinger i landet er det også grunn til å tro at året som kommer blir utfordrende. Godt sikkerhetsarbeid vil bli viktig – truslene blir ikke mindre. Samtidig vil mange it-sjefer arbeide med å finne balansen mellom hva som kan produseres av it i skyen og hva som må gjøres internt. Å gjøre alt selv er for de fleste for dyrt, og da kommer fort diskusjonen om skytjenester, outsourcing og andre former for tjenesteutsetting inn i bildet. Her er det viktig å ha god bestillerkompetanse. Det kan ofte være lønnsomt å leie inn hjelp til selve tjenesteutsettingen av et selskap som har spesialisert seg på nettopp dette.

Det er ingen store konjunktursvingninger i kikkerten. Likevel kan usikkerhet knyttet til både norsk og internasjonal økonomi føre til at næringslivet vil være noe restriktive i forhold til investeringer i informasjonssystemer og infrastruktur. 

Mer profesjonalitet

Det er flere som oppretter stillinger som jobber med informasjonssikkerhet og risikostyring. De konsulentbedriftene som har spesialisert seg på informasjonssikkerhet eller har egne avdelinger som jobber med dette vil få flere oppgaver i 2014. Dette vil forhåpentligvis bidra til å redusere risikoen noe i forhold til de stadig økende truslene, men det er et langt lerret å bleke og mye jobb å gjøre for å tette gapet mellom truslene og sikkerhetsarbeidet. NorSIS vil trekke frem arbeid med styringssystemer, risikovurderinger og bevisstgjøring av ansatte som viktige interne arbeidsområder.

Big Data

Sammenstilling av store datamengder har så vidt begynt å resultere i nye tjenester. Noen bedrifter vil begynne å benytte denne type tjenester basert på egen informasjon. Utfordringen er å sikre sammenstilte data og uttrekkene herfra, så ikke utenforstående kan bygge det samme ”bildet” og utnytte denne nye informasjonen.

NFC

Near Field Communication, altså kontaktløs nærkommunikasjon vil bli satt i produksjon av flere store tjenestetilbydere i år. DNB og Telenor har allerede prosjekter på dette området og mange nye smarttelefoner leveres i dag med innebygget NFC chip. Når vi får elektronisk lommebok, og samtidig kan benytte telefonen til å både kjøpe billetter samt registrere seg inn uten å slå på skjermen, åpner dette også for at noen kan stjele telefonen- og eierens identitet og verdier ved hjelp av ulike antenner og lesere. En ny form for skimming vil vokse fram.

Telefonen vil inneholde så mye personsensitiv og verdifull informasjon at den vil bli mye viktigere enn lommeboka.

Videre kan vi forvente å få innebygd mye mer elektronikk i fysisk utstyr, herunder NFC chipper slik at det blir enda flere enheter å forholde seg til, og å passe på.

Smart blåtann

I 2012 kom den nye standarden for Blåtann, kalt Bluetooth Smart. Denne bruker mye mindre strøm og har funnet veien inn i stadig flere enheter:

Når det i tillegg åpnes opp for å gjøre tilkobling enklere, ved at du slipper å pare utstyret med telefonen din eller annet utstyr før du bruker det, åpner dette for at alle andre også kan koble seg til.

Skytjenester (Cloud Computing)

Vi vil få mange flere skybrukere i 2014. Vi vil også få mange nye tjenester, spesielt tjenestebaserte(Saas) og infrastukturelle tjenester (IaaS).

Jurisdiksjon blir essensielt innenfor dette temaet. Hvor ligger mine data og hvor foregår min tjenesteproduksjon. Gjelder norsk lov? Hvordan håndteres uenigheter med underleverandører? Hvordan løser vi problemer med svindlere som har misbrukt norske bedrifters informasjon i utlandet når dataene i praksis er både skapt, prosessert og lagret utenfor Norge?

Med mindre du har veldig robuste systemer som identifiserer hvilke

data som er konfidensielle og klassifiserer disse og sikrer at disse blir liggende i Norge innenfor en sikret infrastruktur, vil du måtte stole på dine ansattes dømmekraft. Ofte sliter brukerne med å bedømme hvilken informasjon som er

konfidensiell. Mye av denne forvirring stammer fra det faktum at dataene er sammensatt og flyter på tverr av ulike virksomhetssystemer. Eierne/ledelsen innser ikke alltid at det er deres ansvar å beskytte sin informasjon og å utdanne /ansett folk som har kompetanse til dette.. De er avhengige av IT-sikkerhetskompetanse på et ganske høyt plan for å kunne håndtere dette tilfredsstillende.

Vi har sammen med IKT-Norge og flere bedrifter med outsourcingerfaring bidratt til å lage en egen veileder for offshoring, outsourcing og skytjenester.

Overvåking

”Det viktigste som skjer akkurat nå handler ikke om nye dingser eller ny funksjonalitet, men om hvordan nettet overvåkes. Snowden har vist oss at nettet, tross alle de positive egenskapene vi kjenner, også overvåkes massivt på en måte som er utenfor kontroll av våre valgte myndigheter” sa IT-direktør Håkon Wium Lie i Opera Software til Teknisk Ukeblad på fjorårets nest siste dag.

Han mener myndigheter, leverandører og brukere må forholde seg mye mer aktivt til dette i det kommende året.

– Jeg tror alle vil være tjent med at vi kjenner omfanget av dette og at vi kan regulere volumet.

Han  mener dette også vil prege hvilke produkter det blir etterspørsel etter i året som kommer:

– Vi kommer til å få en ny generasjon tjenester, kanskje også dingser, som hevder å være sikre mot overvåkning. Microsoft og Google får problemer når de blir assosiert med overvåkning. Men om andre kan lage sikrere tjenester gjenstår å se.

Sosiale medier

– Man snakker ofte om det digitale skillet – mellom de som er på nett og de som ikke er det. I Norge er nesten alle på nett, så et viktigere skille er det mellom dem som bruker Facebook og dem som ikke gjør det. I dag blir vennegjenger skapt på Facebook. Det er noen som ikke får invitasjonen til en fest, fordi de ikke er medlem sa Håkon Wium Lie til Teknisk Ukeblad i desember.

De yngre brukerne vil prøve å finne alternativer. De er lei av at foreldre, lærere og andre ”voksne” smugtitter på deres aktiviteter.

Det vil komme stadig flere sosiale tjenester, men det gjenstår å se hvem som klarer å rive Facebook med sin milliard brukere ned av pallen. Det vil uansett være viktig å lære seg personverninnstillingene til de ulike tjenestene man tar i bruk og være restriktiv når det gjelder å koble seg til alle og enhver.

Sosiale medier i kombinasjon med ”Big Data” som geolokasjonstjenester vil få stadig nye lag av tjenester. Facebooks ”Places” og ”Foursquare” er kun begynnelsen. Vi vil også se stadig flere som ser kvaliteten i ”ikke å bli funnet”

Mobile enheter

Skadelig programvare på mobile enheter vil vi se mye mer av. Med nettbrett, telefoner, og andre enheter med et operativsystem som stadig kobles til usikre trådløse nettverk, øker sannsynligheten for flere og større angrep mot disse enhetene. Med større åpenhet i forhold til å la ansatte bringe med seg egne enheter inn i bedriftens infrastruktur – BYOD(Bring Your Own Device)kreves det stadig mer av bedriftens IT-avdeling, om slikt finnes.

Mobile enheter har operativsystem og apper av ulike slag som må oppdateres. Det er en krevende jobb å sørge for at disse til enhver tid er uten kjente sikkerhetshull. Opplæring av ansatte, også i små- og mellomstore bedrifter vil fortsatt være en kjempeutfordring. Flere og flere vil innse viktigheten av dette etter hvert som vi får nye hendelser presentert i media.