1 mars 2019

Back to basics

Nu när det börjar bli vår börjar alltid längtan bli stor efter att spela golf och gamla minnen ploppar upp i huvudet. En sak som jag kom och tänka på häromdagen var när jag tillsammans med en solig septemberdag åkte en röd Volkswagen Polo ned till Barsebäck för att bevittna Solheim Cup. Året var 2003 och jag var på den tiden mycket golfbiten. Bland det första vi fick se när vi kom in på övningsområdet var när en av dåtidens storstjärnor skulle ställa sig och träna puttar. Laura Davies i egen hög person radar upp fyra bollar på ungefär två meters avstånd. Starstruck är bara förnamnet, Davies, en av de största under 80 och 90 talet var känd för sin stora kroppshydda och en talang så stor att hon aldrig tagit en enda lektion innan hon började tävlingsspela. Hon ställer upp stansen, siktar med omsorg och… missar alla fyra bollarna. F-ordet ekar i de skånska bokskogarna som berikas med fyra stycken i vredesmod bortslagna golfbollar. Därefter sätter sig en högröd Davies under ett träd för att kedjeröka.

Lärdomen här ska inte vara att man ska ge upp så lätt utan att även de bästa behöver gå tillbaka till och nöta grunderna ibland. I det här blogginlägget tänkte jag bli teoretisk och gå igenom vad IT-säkerhet egentligen innebär. Vad är det vi pratar om när vi pratar IT-säkerhet?

Personligen hade jag inte reflekterat så mycket över den frågan förrän jag tog en kurs av doktor Lars Strömberg på KTH i IT-säkerhet - Till slut valde jag att även gå del två och tre. Utöver ovan fick vi höra en uppsjö anekdoter från ett liv i privata sektorn i USA men i nära samarbete säkerhetstjänster i flera olika länder.

Den vedertagna modellen för IT-säkerhet kommer från den amerikanska standardiseringsorganisationen NIST och kallas CIA-triaden. Och, nej – Det har inget med Underrättelseorganisationen att göra. Dokumentet(FIPS 199) finns att läsa i sin helhet och det borde alla som arbetar med informationssäkerhet göra. Det är ingen tegelsten vi pratar om utan endast 13 sidor inklusive index och hänvisningar. Trots att det fått 15 år på nacken så gäller det än idag. Här kan vi exempelvis läsa om kategorisering av information; https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf

Självklart finns det mycket mer att läsa på området för den som är intresserad. Själv återkommer jag ofta till Stallings & Browns bok "Computer Security -Principles and practise", en väldigt omfattande men lättläst bok som fortfarande håller trots sju år på nacken.

 CIA-Triaden


Confidentiality

Säkrar att information förblir privat och bara är tillgänglig för avsedda personer/system.

Integrity

Att data inte blivit förändrad av obehöriga personer och att innehållet är korrekt.Här innefattas även systemintegritet, det vill säga att system fungerar som de ska utan icke auktoriserad inblandning.

Availability

Säkrar att system fungerar i rätt tid, till rätt användare.

Även om modellen är väletablerad så menar många att för att täcka in alla aspekter så behöver man lägga till två rubriker:

Authenticity

Säkerställandet av att den som skickat/lagrat information är det den säger att den är och inte till exempel har kommit över en post-itlapp med ett lösenord. Post-itlappar med lösenord är förresten en jättejättedålig idé. Lösenord överlag är förresten en ganska dålig idé… Tror jag återkommer till det i en annan bloggpost.

Accountability (eller non-repudiation)

Att aktiviteter i ett system loggas för att kunna avgöra ansvar i händelse av felaktigt användande/attack. Non-repudiation översätter dåligt till svenska men det bästa jag kunde hitta är "oförnekbarhet"

 Det som skyddas kan kokas ned till två saker; Information och System. Med andra ord ska två saker endast skyddas ur fem olika aspekter, totalt tio områden. Hur svårt kan det vara? Även det har ett rakt och enkelt svar: Det kan vara väldigt, väldigt svårt.

Stefan Elensky