Arturo Bandini

Vel... nå heter det NSMs grunnprinsipper for IKT sikkerhet da. Ingen bør la seg overraske over at disse i hovedsak handler om tekniske sikkerhetskrav og styringssystemer rundt dem. Det finnes en rekke arenaer der sikkerhetskultur behandles, NSM er en av mange som er (kanskje litt over-)aktive på dette feltet og Kai Røer er selv en av dem som holder foredrag om dette. Men her virker det som om han ikke vil at noen skal stille noen krav overhodet ut over det fagfeltet han selv tilbyr tjenester innen. Man kan jo spørre seg hvorfor? Det som er en mer interessant diskusjon er i hvor stor grad mange av de angrepene vi har sett som har foregått gjennom sosial manipulasjon etc som ville vært forhindret hvis NSMs grunnprinsipper var oppfylt i de ulike virksomhetene som ble angrepet, med både tekniske krav, styringssystemer, mitigerinkg etter (gode!) risikoanalyser etc. Dette skulle jeg gjerne hørt NSM fortelle om! De har jo tilgang på informasjon om mange av disse angrepene gjennom CERT funksjonen sin og har muligheten til å gjøre analyser av angrepene og se dem opp mot tiltakene i de ulike veiledningene de utgir. Når det gjelder selve innegget fra Røer, fremstår det som fullstendig uinteressant. Han kunne med fordel satt seg inn i saken før han gikk til pressen med kritikk av en konkurrent.

På samme måte som folk ikke kommer til å bygge sikkerheten i bilene sine selv (et veldig godt bilde av situasjonen, kudos for den!), men overlate det til produsentene så vil de heller ikke la produsenten selv dokumentere og godkjenne at bilen tilfredsstiller sikkerhetsklassene i Euro NCAP. Det bruker man uavhengige eksperter til. Den britiske Cyber Essentials- ordningen baserer seg i hovedsak på selvdeklarasjon og er et blindspor hvis man ønsker økt sikkerhet. Enisa er vel de som har gjort mest på dette området de siste årene, men her henger Norske myndigheter håpløst bakpå. Å komme med en selvdeklarasjonsordning fra myndighetene i tillegg til de andre compliance- rammeverkene som allerede finnes virker helt bortkastet.

Huh, dette hørtes veldig merkelig ut? Mener hun at de tre områdene hun nevner er de områdene der angrepene øker mest, muligens fra et lavt nivå til noe høyere, eller er dette de mest utsatte områdene nå og fremover i følge NSMs statistiske analyser (som hun jo referer til)? Man skulle jo tro at både helse, telekom, finans og i økende grad energisektoren er områder vi må forvente at blir mer utsatte i tiden fremover og områder der Norges sikkerhetsmyndighet maner til økt beredskap, den geopolitiske situasjonen tatt i betraktning. Jeg savner en utdypning av påstanden, eller var poenget å lage en lett fordøyelig liste med tre punkter og la konteksten ligge? I så fall tror jeg NSM burde være tydeligere med å forklare hva rollen deres egentlig er, for her er det lett å trå feil. Eller er det sånn at de sier noe av dette i en sammenheng, og noe annet i en annen sammenheng, da får jo de færreste med seg budskapet. Angrepene de viser til, med mindre jeg misforstår artikkelen fullstendig, så er det vel snakk om tjenestenektangrep angrep mot websider der tjenesteleveransen til de som er påvirket ikke har vært berørt. Hvis det er de største utfordringene NSM ser i sitt materiale er det jo et tegn på at ting egentlig står ganske bra til? Og det er jo et relativt håndterbart problem. Er det egentlig budskapet her? Jeg sitter igjen med flere spørsmål enn svar etter dette.

Enig, og ONS svarer på hvordan de jobber med sikkerhet på både denne og tidligere konferanser.

Det kan jo ikke være sånn at alle ulike konsulentfirma skal gå rundt og kunne kreve at alle konferanser innrettes sånn at deres bidrag blir tatt inn, alltid, hvis ikke går de til pressen? Sikkerhet er et viktig tema og her synes jeg ONS svarer greit for seg og de har naturligvis gjort sine vurderinger på hvilke tema som vil bli dekket og hvordan. Dette fremstår mer som sutring fra markedssjefen i Watchcom enn et nyttig innlegg om sikkerhet i energisektoren.

Dette er en artig sak. Mange artister har en Grammy, men hvor mange har sin egen CVE? Noe lignende er rapportert for RAID servere tidligere: