Det står det å lese som hovedoppslag på forsiden av gårsdagens utgave av Aftenposten. De kan melde at sensitiv informasjon og private bilder enkelt kan tappes fra Apple sin lagringstjeneste iCloud. Intime bilder av norske jenter skal på denne måten ha havnet på Internett uten deres samtykke.
Ja, hva skal man si. Sett fra ofrenes side, for det er det de dessverre er, er dette både tragisk og dypt urettferdig. Fra Apple sin side er det taushet. For hva skal de si? Ja, vi har en usikker tjeneste? Nei, vi har en sikker tjeneste – og dette kan ikke ha skjedd. Yeah, right. Fra mitt ståsted som jobber med nettsikkerhet kan jeg dessverre bare si: Som forventet. For slike tjenester er ikke sikre. Og det gjelder ikke bare Apple.
Det er ikke overraskende at nok en skytjeneste utsettes for denne type innbrudd og hacking. I fjor var Dropbox i vinden flere ganger pga. dårlig sikkerhet og sensitiv informasjon på avveie. Likevel; det er dypt tragisk for de det gjelder – og i dette tilfellet unge jenter som får intime bilder lagt ut på nettet. Man kan bare tenke seg hvor ille dette må føles.
Hva har skjedd?
Aftenposten skriver følgende ingress til sin artikkel på side 16-17:
“Apple tilbyr iPhone-eiere å sikre bilder og annet innhold i lagringstjenesten iCloud. Nå opplever norske brukere at svært privat innhold, som nakenbilder, blir stjålet ved at kontoen enkelt hackes.”
De forteller historien om en jente på 18 år fra Buskerud som nylig opplevde at 12 intime bilder tatt med mobilen ble stjålet og lagt ut på tvilsomme nettsteder av en hacker. Det var mulig å identifisere henne pga. fildata og omtale av bildene. Det som hun, og mange andre, tror er en sikker tjeneste viser seg å ha sikkerhetshull som er forholdsvis enkelt å bryte. Jeg skal ikke gjenta metoden, som er omtalt i artikkelen, men det er en kombinsasjon av å kjenne epostadresse, fødselsdato og besvare to kontrollspørsmål; dvs. det en bruker gjør når man ber om nytt passord. Mange tjenester bruker samme metode.
Det er ikke rart hun fikk panikk når hun oppdaget dette – for det er tilnærmet umulig å få fjernet slikt fra nettet. Både fordi det sprer seg og fordi man i de fleste tilfeller ikke vet hvem som har gjort det. I dette tillfellet skal de ha klart å få fjernet bildene, og det er sjelden kost.
Hvorfor skjer det?
Den enkle forklaringen er at mange er lite varsomme med personlig informasjon. Man poster informasjon på Facebook, det twitres i vei, blogger skrives og det kommenteres både her og der. Hacking er som et puslespill der biter av informasjon samles inn stykkevis og delt – for så å bli satt sammen til et helt bilde som gjør hacking mulig. Det gjelder både overfor enkeltpersoner og bedrifter, og det er derfor svært viktig å beskytte sensitiv informasjon. Artikkelen her en egen faktaboks som gir tips om hvordan man sikrer seg mot datainnbrudd.
En mer kompleks forklaring, i alle fall teknisk, er at slike lagringstjenester på nettet ikke er sikre nok i forhold til innbrudd, hacking og informasjon på avveie. Dette er ikke første gangen slikt skjer, og det vil skje i økede grad fremover. De siste par årene har Dropbox, som har mer enn 100 millioner brukere, vært utsatt for flere sikkerhetsbrudd. Jeg har tidligere blogget om det her. Også andre mer eller mindre kjente tjenester har opplevd det samme, noe en kan lese om ukentlig i media. Og siden stadig flere personer og bedrifter lagrer og deler informasjon på nettet, gjerne via ulike enheter og tjenester, vil dette problemet øke.
Nettkriminalitet er svært utbredt, og det er ikke lenger 14-åringer som sitter hjemme på rommet som utfører dette – det er hardbarkede og profesjonelle kriminelle over hele verden. Ikke rart at flere land, bl.a. USA og Norge, har sagt at denne type kriminalitet nå er den største trusselen man står overfor. Bedrifter, offentlig sektor og forsvaret rustes nå opp i kampen mot “cyberthreats”, og forsvaret har nærmest opprettet “cyberforsvar” som en ny våpengren – noe jeg har blogget om her basert på en artikkel i Aftenposten.
Det er et tankekors at nettkrimialitet nå har større øknomisk verden enn hele verdens narkotikahandel.
Kan det avverges?
Det er ikke enkelt å avverge uten videre. For det første må tjenestene utbedres mtp. sikkerhet, noe som i seg selv kan være en komplisert og krevende jobb. Dernest må det oppnås bedre sikkerhet når ulike tjenester integreres med hverandre, noe som kan være ennå mer utfordrende. Og så må naturligvis den enkelte bruker bli mer bevisst datasikkerhet og beskyttelse av sensitiv informasjon. Det er i teorien det enkleste, men i praksis ganske vrient fordi datasikkerhet er et fjernt og nokså kjedelig tema for de fleste. Det er som forsikringer, du tenker ikke på det før det er for sent. Og da ønsker man det intenst.
Når det er sagt, så har hele verden skjønt de siste par årene at informasjon må beskyttes bedre på nettet. Så ting er i ferd med å skje, bl.a. ved at nye tjenester dukker opp der datasikkerhet er ivaretatt på en mye bedre måte. Også eksisterende tjenester utbedres. Men det går ikke raskt nok i forhold til antall personer og bedrifter som kaster seg ut på nettet – nærmest hodestups – uten å tenke sikkerhet. Så ja, det kan avverges – men det er en vei å gå og det vil ta tid.
Direktøren i Datatilsynet Bjørn Erik Thon sier i artikkelen at “nettlivet blir mye mer risikalbelt når all informasjon samles på ett sted, som i de nye nettskytjeneneste”. De setter spørsmålstegn ved om sikkerheten er god nok. Det gjør de helt rett i, og derfor er datasikkerhet blitt så viktig. Og han sier det samme som jeg har nevnt ovenfor om den enkeltes ansvar:
“Vi kommer ikke unna at folk har et eget ansvar for sikkerheten, når alt er såpass teknologidrevet. Vi er nødt til å være vår egen sikkerhetssjef, alle i hop.”
Ensafer: Encrypting the Cloud
I praksis er det bare én måte å beskytte data på en fullgod måte på Internett, og det er å kryptere dem før de lastes opp på nettet og ikke dekryptere før de er lastet ned igjen. Krypteringsnøklene må du håndtere, ikke tjenesteleverandørene. På den måten er dine data sikret i tilfelle de kommer på avveie. Datasikkerhet er imidlertid et stor område, og at man må tenke langs flere akser; både teknologisk, organisatorisk og personlig. Jeg jobber med informasjonssikkerhet generelt og nettsikkerhet spesielt, og vil derfor avslutte med noen ord om det.
Min bedrift Invenia har i flere år jobbet med å utvikle en tjeneste for å kryptere sensitiv informasjon som man ønsker å lagre og dele på nettet: Ensafer. Jeg har blogget om det tidligere, og vi har nå fått internasjonal oppmerksomhet etter at Ensafer ble lansert på DEMO Fall 2012 i fjor høst i Silicon Valley, noe jeg har blogget om her. Her viste vi hvordan Ensafer kan kryptere Dropbox og tilsvarende tjenester, og vi har nå en betaverson som kan lastes ned fra www.ensafer.com.
Etter DEMO utropte Financial Times oss som en av seks “Rising startups” globalt. Også Computerworld i Norge har skrevet om oss, og Innovasjon Norge har blogget om hva et lite oppstartsselskap fra Tromsø kan lære Silicon Valley om kryptering.
Se ikke bort fra at mange bruker “Ensafer for iCloud” om et år dersom vi velger å utvikle det. Behovet er absolutt til stede, noe Aftenposten har påvist. De har for øvrig skrevet mye om manglende data- og nettsikkerhet det siste året, og har derfor satt pennen sin på et viktig tema over tid.
Leave A Comment