Datahackerangrep gir stadig flere, større konsekvenser og større løsepengekrav. Hvorfor klarer vi ikke å forsvare programmene våre og dataene vi har lagret?
Datahackerangrep: Flere, større konsekvenser og større løsepengekrav. Irlands helsestell er i uorden. Den 14. mai ble landets Health Service Executive (HSE) rammet av et dataangrep som stengte ned de fleste av datasystemene deres. Angriperne truet med å publisere data fra systemene inklusive konfidensielle pasientjournaler om ikke HSE betalte løsepenger. Kravet var på 16,5 mill. Euro. Hackerne bak angrepet skal etterhvert ha gitt fra seg software som kan reetablere systemene, men truer fortsatt med offentliggjøring om ikke løsepengene blir betalt. Economist, som omtaler saken, bruker dette som et eksempel av mange der viktige datasystemer blir angrepet og satt ut av spill og der hackere forlanger løsepenger. I USA ble Colonial Pipeline, et selskap som leverer nær innpå halvparten av drivstoffet til USAs øst-kyst, tvunget til å stenge forsyningen etter et dataangrep. Her ble det krevd og betalt mer enn USD 4 mill. i løsepenger. Både JBS, en storleverandør av kjøttvarer og Apples underleverandør Foxconn har nylig vært utsatt for datasystemangrep. The Economist peker på dette som en ny trend. Mange av angrepene kan føres tilbake til Russland. Men de er ikke nødvendigvis del av statlig organisert sabotasjevirksomhet, men noe myndighetene ser gjennom fingrene med fordi det tjener politiske formål de ser seg tjent med.
Agenter, spioner
og kriminelle i samme miljø. Economist viser til at moderne stater gjennom
alle tider har drevet spionasje mot hverandre for å samle opplysninger,
understøtte propaganda, forberede og også gjennomføre angrep. Offentlig ansatte
spioner og kriminelle har lusket rundt i de samme miljøene og ofte ytt
hverandre tjenester. Skillelinjen mellom det hva som er kriminelt og hva som er
etterretning og spioners virksomhet har ikke alltid vært lett å trekke opp.
Teknologiene man kan gjøre seg nytte av både som spion og kriminell har også utviklet
seg. Mens man tidligere måtte samle informasjon over lang tid og videreformidle
denne på ofte tusenvis av sider med papir, er informasjon i dag «lettere
tilgjengelig» gjennom bruk av såkalt ransomware og tastetrykk. Og «de
kriminelle» lusker ikke rundt i trange og mørke bakgater, men sitter ved pcene
sine i kontorliknende lokaler slik også etterretningspersonell og spioner gjør.
The Economists artikkel inneholder er oversikt over alvorlige dataangrep siden
2007 med angivelse av adresse (land) for angripere og angrepsmål. Oversikten
viser at miljøer i Russland har vært blant de dominerende aktive siden 2015 og at
alle de tre angrepene omtalt ovenfor er regissert fra Russisk område.
Stormaktspolitikk
og "den enes død", den annens brød. I Bidens samtaler med Putin, 16 juni i
år, var dette et av mange temaer som ble tatt opp. Biden skal ha presentert en
liste med 16 typer viktig infrastrukturer som han ikke ville akseptere nye
dataangrep mot, og antydet at USA ville kunne komme til å svare tilbake. Biden
skal ifølge Time ha minnet Putin om at USA har sitt eget cyberforsvar og også
kapasitet til å iverksette angrep om nødvendig. Og at også allierte i Europa
har kapasitet til å delta i slike angrep om nødvendig. Men utenfor stormaktpolitikken
er det i ferd med å vokse frem en hel næring av «konsulenter og profesjonelle forhandlere»
som tilbyr sine tjenester til virksomheter som blir offer for dataangrep. Dette
er ifølge Fortune forhandlere du bør håpe at du aldri vil ha behov for å
tilkalle. Men de er der altså. Trikset ligger, ifølge en av de intervjuede spesialistene,
i å forstå at «The bad guys know they are bad guys – they are trying to pretend
to be businesspeople». «As long as you pretend with them that this is just a
normal business transaction, it goes better».
Hvorfor klarer
vi ikke å forsvare programmene våre og dataene vi har lagret? Economist peker i sitt oppslag til økonomen GeorgeAkerlof som i sin tid formulerte en lov om effekten av asymmetrisk informasjon
i markedet for omsetning av bruktbiler inspirert av en tilsvarende lov om asymmetrisk
informasjon i markedet for sitroner. Poenget i denne lovmessigheten er at kjøperne
normalt ikke er i stand til å identifisere en bruktbil som er i god stand fra en
som ikke er det. De er derfor uvillige til å betale prisen en selger av gode bruktbiler
forlanger. Dette fører over tid til at det «de gode bruktbilselgerne» må gi seg
som bruktbilselgere og at vi markedet overtas av bruktbilselgere slik vi
kjenner dem fra karikerte roller i filmer og serier. Tilsvarende lovmessighet
sies å ha eksistert i markedet for omsetning av sitroner. The Economist antyder
at forklaringen på manglende forsvar mot ransomeware ligger her. Intervjuer med
næringslivsledere har avdekket at de har lite felles utviklet forståelse for
hvordan man måler effektivitet og sikkerhet ved software man kjøper eller får
utviklet for å ivareta sikkerhet. Forsikringsselskapene er en potensiell fremtidig driver
for å utligne asymmetrien. Forsikringsutbetalingene ved slike angrep kan bli store. Riksrevisjonen la 22. juni frem sin rapport med evaluering av Direktoratet for e-helses styring av vårt lands største IT-prosjekt. Også her var det mye å sette fingrene på. Kanskje er det også asymmetrisk informasjon i markedet for bestilling og omsetning av denne typen it-prosjekter?
I en tidligere post på denne bloggen var problemstillingen hvorfor «smarte byer» ikke fremsto som smarte under da pandemien traff oss. Asymmetri i informasjon og forståelse mellom tilbydere og bestillere/«brukere» ble også her pekt på som en forklaring.
Ingen kommentarer:
Legg inn en kommentar