Kjedelig tittel? I så fall er den tilsvarende viktig – for verdens datasikkerhet. Om ikke dette blogginnlegget, så i alle fall prinsippet med at sensitiv informasjon må krypteres før det sendes ut på nettet. I dag gjør de aller færreste det; både fordi det er upraktisk og fordi det mangler gode og enkle tjenester for brukerne.
I forlengelsen av mitt blogginnlegg om sikkerhetsåret 2011, kom jeg over dette blogginnlegget:
Les overskriften og ingressen to ganger. Hva synes du? Hvis engelsken er litt besværlig, kan jeg nevne at “ubiquitous” betyr “allestedsnærværende”. Det betyr at forfatteren Jeff Hudson mener at 2012 vil bli året for når kryptering av data blir tilgjengelig overalt. I alle fall at etterspørselen etter kryptering stiger og at det er på alles lepper i løpet av året. Ikke en dum tanke, egentlig.
Han oppsummerer 2011 i tre punkter:
- Third-party trust is an integral piece of our worldwide security infrastructure. It is important; the world we know cannot operate without it.
- Because the world relies on digital certificates and the CAs (third-party trust providers) that sign them, digital certificates and CAs are among the highest-value targets for hackers. If hackers can compromise CAs and create counterfeit certificates, they can perfectly assume others’ identities.
- Organizations must be prepared for an epidemic of third-party trust compromises, which they were not in 2011. Such compromises were not even represented in 2011 risk analyses and mitigation plans. The DigiNotar compromise virtually shut down the Dutch government for days as it scrambled to find and replace its affected certificates.
Han mener (helt riktig) at inntrengerne allerede er på innsiden av bedriftenes IT-systemer. Kampen om å holde dem på utsiden, slik fokuset for sikkerhetsbransjen har vært tidligere, er med andre ord tapt. Nå gjelder det å bekjempe denne raskt stigende trusselen på innsiden. Og nettopp da er kryptering viktig. Rettelse: Uunnværlig. Problemet er at så få krypterer sensitiv informasjon, og dermed blir det lett match når ondsinnet programkode på innsiden sender ukryptert informasjon ut til sine kilder.
“If the bad guys are on the inside, and it is becoming easier for them to get there through an explosion of systems, applications and devices that connect with and share valuable information are secured through certificates and encryption keys, what can organizations do to stop them? In most cases, hackers compromise systems to steal data. Intellectual property, financial data, and personal data are all valuable commodities: Hackers can use them for financial gain, to maliciously expose secrets, and to deliberately harm reputations. Security systems in 2011 focused on keeping bad guys out. But now the bad guys are on the inside. Organizations’ best defense is to encrypt data everywhere, whether the data is at rest or in motion, because encrypted data isn’t recoverable without its encryption key. Hence, 2012 will go down in IT-security history as the Year of Ubiquitous Encryption.”
Konklusjonen er som følger: “If 2011’s leaked and stolen data had been encrypted, and the encryption keys stored in a secure area away from the data, the data would have been worthless to the bad guys…..Again, it’s important to understand that encrypted data isn’t usable without its encryption key. With keys that are separate and safe from prying eyes, the bad guys can take all the data they want because they’ll never know what they have.”
La meg avslutte med reklame for eget produkt: Ensafer, som krypterer sensitiv informasjon på Internett, gjør nettopp det Jeff Hudson sier. Det understøttes med hans avsluttende avsnitt:
“With data and applications moving to the cloud, where they are fully accessible to all devices and can move from one physical location to another almost instantly, ubiquitous encryption becomes even more important. Even if malefactors get their hands on mobile devices (which are relatively easy to steal and compromise), encrypted data makes the thefts trivial.”
Ha et godt krypteringsår!
I sin bok “Secrets and Lies” (2000) var introduksjonen fra Bruce Schneier en innrømmelse av at sikkerhet ikke kunne løses gjennom innføring av bedre krypto. Man måtte bli bedre til å håndtere risiko var et viktig budskap.
Det er nå 14-15-16 år siden jeg drev og installerte brannmurer rundt i landet – den gang tenkte vi at skurkene var på utsiden. Det bildet endret seg ihvertfall i mitt hode lenge før vi rundet 2K.
Massive kompromitteringer av online tjenester i 2010, 2011 og nå i 2012 viser at krypto har vært i bruk, men den har like fullt sviktet på 3 hovedprinsipper:
1. Dårlige hashing og kryptoalgoritmer har vært i bruk. (Med dårlig forstås gamle og dokumentert svake ift dagens moderne prosessorer)
2. Krypto blir normalt sikret gjennom bruk av nøkler, og nøklene kommer som oftest i form av passord. Leverandører – stort sett uten unntak – lar brukerne sette svært korte og dårlige passord. Ståldør hjelper lite når nøkkelen
3. Feil i kryptoimplementeringer i software. Det er vanskelig å lage gode kryptoalgoritmer – og det er også vanskelig å implementere dem korrekt. Vil her anbefale mine venner i Elcomsoft og deres presentasjon på sikkerhet i passord managere – på Blackhat EU i Amsterdam, 16 mars.
Jeg sier som Schneier: alt du kan gjøre er å håndtere risiko.
Hei Per! Jeg synes du har en meget god og riktig kommentar oppsummert i dine tre punkter. Forhåpentligvis har mange blitt bedre, men det er mange som henger igjen i gamle og feilaktige implementasjoner.
I et marked som blir stadig mer mobilt, med stadig flere “løse” enheter som skaper, lagrer og kommuniserer stadig mer sensitiv data blir sikring av data fra endepunkt til endepunkt (og midt i mellom) alfa/omega. “Sikkerheten starter i hodet” og kryptering kan, til en viss grad, gi falsk trygghet – men, det er langt viktigere å ha kryptering implementert, på alle medier i alle retninger, enn å risikere data på avveie fordi en ansatt fant det lurt å laste ned kundedatabasen for å vedlikeholde denne på hytta (!) og fikk laptop’en frastjålet mens han var i butikken for å handle påskeegg.
Europa tolererer ikke databrudd, det utstedes bøter i hundretusen/millionklassen for databrudd og virksomheter må stå skolerett for ministre og offentligheten – det svir å la være å kryptere, og det er bare et tidsspørsmål før vi ser krigstyper om data på avveie i norske aviser!
Så, la oss være enige i at kryptering generelt er en veldig god start på sikkerhetskultur og at vi bygger videre på det med andre, komplimenterende, sikkerhetsløsninger for å sikre at ikke mine og dine data havner i feil hender.
Gode og nødvendige debatter som flere her til lands burde delta i!
Hei, Tormod! Takk for din kommentar. Det er som jeg skulle sagt det selv. :-)
Vel sagt, kryptering dog lite verdt hvis man ikke vet hvilke informasjon man har behov for å sikre i en organisasjon. Ofte krypterer man mer enn man har behov for, fordi man rett og slett ikke vet hvor den verdifulle informasjonen ligger og hvem som har tilgang til den. Således kan kryptering skap en falsk trygghet. Kryptering + informasjonmerking (metadata), implementert med strategisk forankring i hele verdikjeden fra arkitektur til dubbeditter, basert på sertifikater og fler faktor autentisering vil være et skritt i riktig retning. Sikkerhet: alltid tilstede, aldri til hinder :)
Takk for kommentaren, Kim! Du har helt rett i din betraktning rundt kryptering – som i praksis er et verktøy for å sikre sensitiv informasjon. Da må man på den ene siden vite hva som er sensitivt da ikke all informasjon må krypteres. På den andre siden må man ha gode tekniske løsninger for å kryptere – som er enkelt i bruk uten bryderi og kompleksitet for brukerne.