Tom Som

Når forensicsarbeidet begynner å trekke konklusjoner, tror jeg det vil være tydelig at de trusselaktøren har beveget seg sideveis. Jeg tror også det vil bli pekt på at dataen har endt opp i Kina. Dette er selvfølgelig bare spekulasjoner og det kan hende du blir overrasket eller at jeg blir det. Uansett føler jeg meg ganske trygg på min antakelse.

Komisk med all denne fokusen på "vi kunne ikke ha avverget angrepet". Det er selvfølgelig lite man kan gjøre når man blir rammet av 0-dagssårbarheter i systemer man benytter og som står eksponert mot Internett. MEN... Normal sikkerhet og zero trust-modeller vil gjøre at selv om exchangeserveren blir kompromittert, så får angriper begrenset mulighet til å flytte seg sideveis i nettverket og kompromittere andre tjenester. I mine øyne er det et åpenbart hull i dialogen her...

Med tanke på hvor mye myndighetene i USA presser teknologiselskapene til å innføre bakdører, forstår jeg at Zoom ønsker å fremstå som gode borgere. Jeg ser også at dette kan være et godt argument for hvorfor bedrifter skal tegne avtaler med Zoom i stedet for å benytte gratistjenesten. Som vanlig er nok dette i realiteten kun spill for galleriet. I en reell etterforskning, tilsvarende FBI/Apple i forbindelse med San Bernardino-saken, vil Zoom gjøre alt de kan for å etterleve myndighetene og dersom de har teknisk mulighet til å deaktivere kryptering, vil dette gjøres. Som motstykke, er det ikke veldig vanskelig å skaffe seg en Zoom-lisens og dersom alle overgripere vet at de fritt kan distribuere video med overgrepsmateriale mot barn bare de er tilknyttet et bedriftsabonnement, vil ikke dette initiativet hjelpe noen.

Hot off the press: Hundretusenvis av navn, adresser og telefonnummer ligger åpent tilgjengelig i landets telefonkiosker - Televerket beklager dårlige kontroller for sikring av telefonkatalogen. *kremt* Jeg er for prinsipper og god beskyttelse av personopplysninger. Jeg forstår også at Datatilsynet er programforpliktet til å reagere når slike saker kommer for dagen, men for å være helt ærlig tror jeg kanskje det hadde vært best om man ikke hadde gitt slike saker for mye oppmerksomhet da det skaper et bilde av at Datatislynet har lite å gjøre om dagen.

E-tjenesten har ikke mandat til å spionere på egne borgere i eget land, og det er det god grunn til. Tilrettelagt Innhenting er helt bevisst lagt til informasjon som krysser grensene slik at e-tjenesten ikke trår over sitt mandat og det er derfor denne endringen ikke ber om å drive etterretning for trafikk som utelukkende treffer kritisk infrastruktur. Dette er med andre ord utelukkende et tiltak for å fjerne denne blindsonen og utvide e-tjenestens mandat slik at de slipper å være avhengig av å få den samme informasjonen tilbake fra våre allierte. Dersom man tar utgangspunkt i det som er minst inngripende for borgerne og best mulig beskyttelse av kritisk infrastruktur pr. krone, er det åpenbart at lovendringen hadde fokusert på å forby kritisk infrastruktur å være direkte tilknyttet åpne nett, men da dette i bunn og grunn handler om å spionere på egne borgere, legges altså dette opp som et "grenseforsvar". Både politikerne og e-tjenesten har glemt at de er her for borgerne!

Til de som er motstandere av Tilrettelagt Innhenting: Informasjonen som krysser landegrenser blir systematisk innhentet og analysert straks den krysser grensen (ref. FRA-loven i Sverige osv.). Allierte har dessuten lange tradisjoner med å utveksle informasjon, så jeg vil tro etterretningstjenestene våre allerede har god tilgang til denne informasjonen. Det spørsmålet man heller bør stille er om dette er fornuftig bruk av ressurser? I mine øyne tror jeg man kommer mye lenger per krone ved å skille ut og beskytte kritisk infrastruktur isolert enn det man gjør med å snoke i alle borgeres data.

Nei, nei, nei! "Sikkerhetsdult", "skippertak", "vitaminer", "pliktøvelser"... Dere som er blant våre beste fagfolk, kommuniserer grunnleggende opplæring i sikkerhet i negative assosiasjoner. Det er ikke rart at menigmann blir skeptisk og slutter å høre på dere. Skal man endre folks atferd, starter dette med å se på motivasjon. Alle med normalt bondevett vet at man ikke kan tvinge på noen kunnskap, men at dette kommer automatisk dersom man stimulerer folks motivasjon til å tilegne seg kunnskapen. Når, hvor lenge og hvordan man da kommuniserer blir mindre viktig fordi den enkelte selv er motivert for å søke informasjonen. @Psykolog Katharine Cecilia Williams: Kunne du ikke heller bruke litt tid på å hjelpe oss nerder med å finne gode modeller for å endre motivasjonen i stedet for å bidra til denne onde sirkelen?

Fint med fleksibilitet, men det legger en vesentlig større byrde på virksomhetene som er underlagt loven da de må kunne dokumentere risikovurderingene for tjenestene de velger å benytte. Å bevise at en skytjeneste eller implementasjonen av en krypteringsalgoritme etc. er til å stole på er en svært kompleks affære som det er få aktører som kan gi gode svar på. Det er mulig det legges opp til at akseptabel risiko skal defineres som presedens i rettssystemet, men dersom det ikke legges klare føringer for hvor langt man skal gå i risikovurderingene, er jeg redd man ender opp med å se at de enkelte virksomhetene strekker denne friheten for langt og at vår mest kritiske data blir unødig eksponert som følge av det. Jeg er med andre ord ingen fan av frihet på dette området.