Edward Snowden – sikkerhetsbransjens beste venn?

Edward Snowden – sikkerhetsbransjens beste venn?

Edward Snowdens avsløringer bekrefter det mange har fryktet. Ulovlig overvåkning har gått fra å være en tvilsom konspirasjonsteori til en alvorlig sak på den sikkerhetspolitiske dagsorden.

  • Sikkerhet
Motta nyhetsbrev fra Effektiv IT

Avsløringene dokumenterer hvordan flere lands etterretning med NSA i spissen bedriver storstilt masseovervåkning av det sivile samfunnet. De Fem Øyne (USA, England, Canada, Australia og New Zealand) har en skjult bakdør til mobiltelefoner, skytjenester og sikkerhetsløsninger de fleste norske bedrifter anvender. Samtidig bruker både USA og andre lands militære etterretning de samme metodene som nettkriminelle for å få tilgang på din kommunikasjon.

Internett som arena for industriell spionasje

USA er nemlig ikke alene om å satse stort på overvåkning og industrispionasje mot andre lands økonomiske interesser. Russland og Kina stiller med egne avdelinger for elektronisk krigføring og industrispionasje. Alle tre landene er kjent for å leie hackergrupper for å utføre angrep som ligger utenfor landets jurisdiksjon.

Som et forsøk på å vise politiske ansvar ønsker Obama reviderte kontrollrutiner av egne etterretningsorganisasjoner. Dette er neppe annet enn et forsøk på å betrygge amerikanske velgere som selv har blitt utsatt for massiv overvåkning. Datalagringsdirektivet har vekket stor folkelig og politiske oppmerksomhet i hele Europa og er nå underkjent i Europadomstolen.

Etter hvert forstår flere at militære overvåkningssystemer og organiserte hackere kan brukes til industriell spionasje og sabotasje - om økonomiske interesser eller kontraktene er store nok. Hva kan det norske næringslivet og IT-bransjen lære av Snowdens avsløringer?

Konsekvenser for IT-bransjen

På mange måter er Edward Snowdens sikkerhetsbransjens beste venn. Omfanget av sikkerhetstrusler er stadig økende og andre lands etterretningstjenester har ingen betenkeligheter ved å anvende slike systemer for industriell spionasje. Den kommersielle sikkerhetsbransjen har mye å lære av Snowdens avsløringer, blant annet:

  • Sikkerhetsløsninger og skytjenester har ofte bakdører.
  • Brukere av IT-tjenester er alltid er det svakeste leddet.
  • Eneste sikre måten å unngå overvåkning er tung kryptering, alt under 2048 knekkes raskt.
  • Krypteringsstrategi med fokus på tung kryptering og nøkkeldistribusjon er nødvendig.
  • Fysisk plassering av infrastruktur er fortsatt viktig grunnet varierende lovgivning.
  • Sivil sikkerhetsforskning blir motarbeidet av militær etterretning og myndigheter.
  • Alt er mulig med rettet sosial manipulasjon (eng. social engineering).

Kvante-kryptering over fiberoptiske nettverk

Når både operatørene av nettverkene, leverandører av skytjenester og sikkerhetsløsninger ikke er til å stole på er siste utvei kvantekryptering over fiberoptiske nettverk. Forskere og bedrifter prøver å finne muligheter for å benytte kvantefysiske fenomener for sikker kommunikasjon.

I fiberoptiske nettverk er det mulig å observere polarisering av foton-par og detektorer kan derfor avsløre uregelmessigheter i overføring av data. Det sveitsiske selskapet ID Quantique leverer slike løsninger til banker og andre institusjoner med behov for maksimal sikkerhet.

Inntil videre er dette forbeholdt aktører med spesielle behov for IT-sikkerhet. Både stortinget, regjeringen, finansdepartementet og forsvarsledelsen er naturlig mål for fremmede myndigheters overvåkning. Norske bedrifter og offentlige myndigheter har ingen grunn til å føle seg unntatt fra systematiske forsøk på datainnbrudd og overvåkning fra fremmed etterretning.

Økonomiske og privatrettslige behov for sikker kommunikasjon

Bedrifter, offentlige myndigheter og det enkelte individ er avhengig av sikker kommunikasjon og personvern for innovasjon og sikker forretningsdrift. Etter at Datalagringsdirektivet er underkjent av Europadomstolen burde vestlige land sammen jobbe for å bedre sikkerheten på grunnleggende infrastruktur. Et fritt informasjonssamfunn er avhengig av strengere krav til kryptering og strengere kontroll av militær etterretning.

Til toppen