Eksperter som Bruce Schneier mener, at efterretningsvæsenernes overvågning endelig kan få brugerne til at kryptere deres data – men det bliver ikke let, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, der er chef for DKCERT, skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Kryptering er vejen frem.
Det var den konklusion, jeg tog med mig hjem efter en spændende dag i selskab med to internationale sikkerheds-ikoner i sidste måned.
Krypteringseksperten Bruce Schneier og F-Secures Mikko Hyppönen var inviteret til Danmark i forbindelse med et arrangement i København.
Budskabet fra de to var klart: Efter afsløringen af NSA's og andre sikkerhedstjenesters omfattende dataopsamling, er kryptering uomgængelig.
Som gammel krypteringsmand glædede det mig. Før jeg kom til DKCERT tilbragte jeg nemlig adskillige år i krypteringsbranchen.
Dengang som nu tror jeg på, at kryptering er en fantastisk effektiv teknologi til at holde noget hemmeligt.
Alligevel fik jeg under seancen med de to koryfæer en tanke: Er vi egentlig kommet videre? Står vi ikke samme sted, hvor vi stod for 20 år siden?
Jeg var fristet til at spørge Bruce Schneier om det, da jeg efter foredraget fik lejlighed til at hilse på ham. Men jeg endte med at gå derfra uden at spørge – måske fordi jeg allerede kendte svaret på spørgsmålet.
Utopien der udeblev
Han har nemlig selv givet svaret i sine bøger.
I sin mest kendte bog, "Applied Cryptography" fra 1994, beskriver han en matematisk utopi, hvor kryptering løser alle problemer med fortrolighed og sikkerhed.
Men i indledningen til "Secrets & Lies" fra år 2000 skriver han, at denne bog til dels er skrevet for at rette en fejl i forgængeren: Kryptering er ikke løsningen på alle sikkerhedsproblemer.
Årsagen er, at kryptering ikke eksisterer i et vakuum. Det er en teknologi, der indgår som et delelement, når vi forsøger at sikre vores kommunikation og data.
Da jeg selv forsøgte at udbrede krypteringsløsninger, var det frustrerende at se, hvor mange problemer de kunne have løst – men hvor kryptering ikke blev anvendt.
Mange tilfælde af mistede fortrolige data kunne være undgået, hvis dataene havde været beskyttet med kryptering.
Ja, Danmark har fået først den digitale signatur og siden NemID – nationalt udbredte løsninger baseret på kryptering. Men derudover: hvor meget indgår kryptering så i virksomhedernes daglige it-drift?
Ud over den obligatoriske SSL-sikring af websider er det næppe megen kommunikation, der er krypteret. Hvornår har du sidst modtaget en krypteret e-mail – eller sendt en?
Kryptering i et samspil
Måske kan afsløringen af den omfattende overvågning være med til at sætte gang i brugen af kryptering.
Det gav talerne udtryk for.
Jeg tror, bevidstheden om overvågning kan være et skub i den rigtige retning. Men vi må stadig erkende sandheden i Schneiers ord om, at kryptering ikke eksisterer i et vakuum.
Sikkerhed opstår i et samspil mellem teknologi, processer og mennesker.
Kryptering udgør kun teknologi-siden. Og den er den nemmeste at få på plads i forhold til processerne og menneskene.
For eksempel er det teknisk set nemt nok at indføre kryptering af data, virksomheden lagrer.
Men hvilke data skal krypteres? Hvem skal have adgang til dem? Hvordan gør man? Hvad med data på smartphones og laptops? Og hvordan håndterer man de nøgler, der er afgørende for kodning og afkodning?
Ledelsen skal fastlægge procedurerne. Medarbejderne skal undervises.
Fik du min krypterede mail?
Endnu større bliver udfordringen, når vi skal beskytte vores datakommunikation.
Her skal vi blive enige med vores samtalepartnere om, hvordan vi krypterer. I princippet er kryptering af e-mails en simpel opgave.
Men i praksis kender jeg meget få uden for sikkerhedsverdenen, der gør det.
Det er simpelthen for besværligt at skulle finde frem til modtagerens offentlige nøgle, før man kan sende en mail. Og bruger de nu PGP eller S/MIME?
Standarder hjælper
Derfor er vi ikke kommet så meget længere de sidste 20 år. Vi har teknologien på plads, men processer og mennesker halter bagud.
Hvad kan vi så gøre ved det?
Der findes flere udmærkede værktøjer til at få styr på processerne. Selv anbefaler jeg ISO 27001. Det er en international standard for et system til styring af sikkerheden.
Læg mærke til det: Det er ikke en sikkerhedsstandard, men en standard for, hvordan man styrer sikkerhedsarbejdet.
Dermed handler den ikke om, hvorvidt man skal bruge symmetrisk eller asymmetrisk kryptering, men om processerne og de mennesker, der skal udføre dem.
Måske var det ISO 27001, jeg skulle have spurgt Bruce Schneier om, da jeg havde lejligheden. Mener han, at den slags standarder kan få os til at bruge kryptering mere effektivt i sikkerhedsprocesserne?
Oprindelig offentliggjort i magasinet Computerworld og på Computerworld Online den 11. april 2014