STRÖMSTAD (digi.no): Ira Winkler regnes blant verdens mest innflytelsesrike sikkerhetsspesialister. Han er president i Information Systems Security Association og i selskapet Secure Mentem, hvor han også er blant gründerne. Tidligere har han vært sjef for sikkerhetsstrategi hos blant annet HP Consulting. I går besøkte han høstkonferansen til Norsk informasjonssikkerhetsforum (ISF), som denne uken arrangeres i Strömstad, Sverige.

Under et foredrag om hvordan man i en bedrift kan skape en sterk sikkerhetskultur, fortalte Winkler at svært mange bedrifter angriper dette på helt feil måte.

– Det handler om atferd, ikke om at man får et sertifikat etter et kurs. Det handler om at virkelige mennesker putter en USB-pinne inn i en fremmed pc. Det handler om hvordan de opptrer når de får en virkelig phishing-melding, sa han.

NSA
Winkler har blant annet vært ansatt av NSA som etterretnings- og datasystemanalytiker, for et par tiår siden. Mens han jobbet der kom ble det ansatt en person som het Kirk til etternavn. Vedkommende hadde først fått tre dagers opplæring i NSAs sikkerhetskultur. Da Winkler møtte vedkommende, spurte han om passordet hennes var «Captain». Ifølge Winkler har trolig svært mange som heter Kirk passordet «Captain» (det behøver vel ikke forklares, men …).

Fru Kirk var svært overrasket over hvordan han kunne gjette dette. Ifølge Winkler var dette en smart person med universitetsutdannelse.

– Det var sikkerhetspersonalet som ikke hadde lært henne at dette var en dårlig idé. Bak enhver dum bruker står det en dum sikkerhetsansatt, som kommer med feil antakelser om brukerne, sa Winkler.

Ha la til at problemet med sikkerhetsfolk er at de antar at ting er allment kjent.

– Ikke anta at folk har denne kunnskapen, understreket Winkler.

Han fortalte deretter en annen fortelling fra NSA-miljøet, hvor en person hadde vært på besøk og fått en omvisning i en av datahallene til etaten. Under omvisningen ble personen litt sliten og følte behov for å lene seg på veggen. Tilfeldigvis traff han hovedbryteren til serverhallen og alt ble skrudd av.

– Hvorfor var det så lette å treffe bryteren? Hvor ofte stopper man opp og tenker over hvordan ting som dette skjedde?

Hva er så sikkerhetskultur?
– Kultur er samlingen av atferder. Kulturen fører til redusert eller økt skade etter uhell. God sikkerhetskultur fører til sparte penger, mener Winkler.

– Bevissthet handler derimot om å endre atferd. Det handler ikke om å gå gjennom en test og klare minst 90 prosent riktige. Det er trening. Å se på videoer om sikkerhet skaper ikke bevissthet, sa Winkler og hevdet at de fleste opplæringsprogrammer for bevissthetsendring feiler fordi de egentlig handler om trening, ikke bevissthetsendring.

– De fleste selskaper bruker ikke penger på bevissthet.

Hvordan?
Winkler mener at det handler om å få IT-brukerne involverte, interesserte og til å tenke. Han anbefaler interaktive tilnærminger som også kan være underholdende.

– Spilltilnærming brukes på en rekke områder, som innen mosjon, markedsføring og lojalitetsprogrammer med rabatter og lignende. De forsøker alle å skape lojalitet til et varemerke, og det skjer frivillig, sa Winkler.

Hvordan kan dette overføre til IT-sikkerhet?
– Se etter de gode erfaringene i praksis og belønn folkene for dette. Men det er ikke et spill, og det må ikke være en engangsgreie, men noe som varer, sa Winkler.

Han understreker at ordningen må ha klart definerte mål, klart definerte belønninger og målene må være oppnåelige.

– Det er reglene som gjør spill som fotball eller golf interessante. Begrensningene skaper utfordringer, og det gjør spillene morsomme. Men man må også ha tilbakemelding om hvordan man gjør det, altså resultater, sa Winkler.

Om belønningen sa Winkler at den bør være basert kulturen i selskapet. Han fortalte at i Salesforce.com, hvor toppsjefen Marc Benioff skal være mer enn gjennomsnittlig opptatt av Star Wars, brukes ulike Star Wars-orienterte jakkemerker som belønning for oppnådde mål.

Winkler mener at man også bør gi belønning for at folk slutter med å gjøre uheldige ting, som å se på porno i arbeidstiden, men mest poeng til brukere som bidrar, for eksempel når de melder om et problem eller deler sine erfaringer med andre gjennom et foredrag eller et notat.

Vennlig
Winkler understreket at sikkerhetsansatte ikke må skremme brukerne fra å gjøre ting.

– Ikke vær Darth Vader, men en vennlig person som folk kan snakke med, sa han til deltakerne på konferansen. Mange av disse er ansvarlige for IT-sikkerheten på sin arbeidsplass.

– Vær avdelingen for hvordan, ikke for «nei», sa han. For brukerne kommer til å besøke Facebook på jobben uansett. Da er det bedre at de gjør det på en måte som er trygg, i alle fall for bedriften, for eksempel med smartmobilen over det det ikke fullt så godt sikrede WLAN-et.

Bedriftens superhelt
Dette er ganske i tråd med et lite stunt Buypass gjør for tiden. digi.no møtte salgssjef Trygve Daae og sikkerhets- og kvalitetssjef John Arild A. Johansen under konferansen. Sistnevnte har fått æren av å være modell for ny kampanjefigur i selskapet.

– Ved å gjøre sikkerhetssjefen til bedriftens superhelt, vil vi forsøke å ufarliggjøre dette med sikkerhet. For flest vil ikke ha noe med sikkerhet å gjøre, fortalte de to.

I hvilken grad kampanjen virker, vil kanskje vise seg. Men Johansen fortalte at Buypass allerede hadde fått mye oppmerksomhet for dette under konferansen.

Men han og Daae hadde også noen litt mer alvorlige ting å komme med. Blant annet kunne de fortelle at en rekke virksomheter i Stavanger-området, også relativt store aktører, lar de ansatte logge seg inn på Office 365 med bare brukernavn og passord. Med den senere tids passordtyverier, med over én milliard passord i det verste tilfellet, er det ikke usannsynlig at uvedkommende vil kunne logge seg inn på noen av disse kontoene. For svært mange bruker det samme passordet flere steder.

– Disse aktørene har ikke tenkt over sikkerheten. De har ikke innlogging med to faktorer. Det må i alle fall være en kode i tillegg. Det burde være standarden for alle, sa Daae. Han understreket dog at det også er stor forskjell på sikkerheten til ulike to-faktor-løsninger.

Daae nevner også at det finnes relativt store, norske nettsteder som lar brukerne logge seg på uten at sidene er krypterte. Buypass har også forsøkt å gi råd til en stor kunde som lar innloggingsskjemaet ligge på en ukryptert side. Innloggingsinformasjonen sendes likevel kryptert, men fordi siden ikke er sikret med et sertifikat, er det enkelt å forfalske den. Den aktuelle kunden har likevel ikke villet endre oppsettet.

STRÖMSTAD (digi.no): Norsk informasjonssikkerhetsforum (ISF) er 20 år i år og feirer dette blant annet med en ekstra stor utgave av organisasjonens årlige høstkonferanse. I løpet av tre dager får de omtrent 250 deltakerne mulighet til å lytte til kjente sikkerhetseksperter, knytte forbindelser og utveksle erfaringer.

– ISF har alltid vært en medlemsforening for å knytte kontakter, forteller Lillian Røstad, som er ny styreleder i ISF, til digi.no. Til daglig er hun seksjonssjef for informasjonssikkerhet i Difi.

– I tidligere år har ISF gjennomført flere prosjekter og publisert rapporter, men nå er det først og fremst en møteplass for folk som jobber med informasjonssikkerhet. Dette er folk som ofte jobber alene i bedriftene, forteller Røstad. Hun sier man ikke lenger kan håndtere sikkerheten helt alene.

– ISF er et forum som legger til rette for åpenhet mellom medlemmene om hendelser, forteller Røstad.

Intet mål om å vokse
Organisasjonen har omtrent 200 medlemsbedrifter. Mange har vært med veldig lenge, men det siste året har det kommet 19 nye medlemmer. Ifølge Røstad har de nye medlemmene kommet til nå fordi de ikke har kjent til ISF fra før. Organisasjonen annonserer ikke, og ifølge Røstad har den heller ikke noe mål om å bli så mange flere.

– I dag vet alle hvem alle de andre er. Det ville bli mindre oversiktlig dersom vi nærmet oss for eksempel tusen medlemmer, sier Røstad.

I løpet av året arrangerer ISF fire medlemsmøter, i tillegg høstkonferansen. Under medlemsmøtene er det vanligvis mer enn hundre deltakere. Vanligvis har høstkonferansen blitt arrangert ved Farris Bad, men den har nå blitt for stor. Derfor har den blitt flyttet til Quality Spa & Resort i Strömstad, men også der er det blitt helt fullt.

Historien

John Arild Amdahl Johansen, sikkerhets- og kvalitetssjef i Buypass, har vært styremedlem og styreleder i ISF i en årrekke. Han har skrevet en artikkel om ISFs historie som er utgitt her.

Ifølge Johansen ble ISF etablert i 1994 med Per Hansen i daværende PDI om pådriver. Et sonderingsmøte ble arrangert i sølvgruvene i Kongsberg. Formålet var å skape en mer spesialisert forening enn det som var tilgjengelig gjennom de mer ordinære dataforeningene. Målet var å jobbe aktivt og målrettet for å forbedre sikkerhetsnivået i Norge.

I løpet av det første året oversatte ISF den engelskspråklige standarden «NS7799: Code of Practice for Information Security Management» til norsk. Denne ble kjøpt inn til alle medlemmene. I årene som fulgte utga ISF flere veiledninger om IT-sikkerhet, både med praktiske råd og lover og regler.

ISF deler hvert år ut IT-Sikkerhetsprisen for å skape interesse for og fokus på betydningen av informasjons- og IT-sikkerhet. I de senere år har denne inngått som en del av Rosing-prisene, men med ISFs statutter og jurydeltakelse.

I 2002 ble det etablert et initiativ for både å rekruttere flere kvinner til ISF og å tilby de kvinnelige medlemmene et bedre tilbud. I forkant av høstkonferansen denne uken kunne Security Divas, som initiativet heter, invitere til faglig diskusjon i spa-avdelingen på hotellet.

Johansen avslutter sin oppsummering med å påpeke at trusselbildet har endret seg dramatisk de siste 20 årene, men er likevel sikker på at ISF vil bestå i minst 20 år til.

Visma har avtalt å kjøpe opp Info Consensus, en liten kunnskapsbedrift i Østfold som leverer informasjon- og opplæringstjenester til kommunesektoren, særlig innen områder som pleie- og omsorg, skole og barnehage.

Det er Goliat som overtar David. Visma har 5.600 medarbeidere og er verdsatt til 21 milliarder kroner. Info Consensus har på sin side 15 ansatte og omsatte i fjor for om lag 25 millioner kroner.

Oppkjøpet blir beskrevet som en viktig del av Vismas satsing i offentlig sektor, ifølge en pressemelding onsdag ettermiddag.

– Visma er allerede den ledende leverandøren av fagsystemer til offentlig sektor i Norge og nå kan vi også tilby nyttige informasjons- og opplæringstjenester til våre kunder. Vi har stor tro på mulighetene dette oppkjøpet gir oss, direktør Jan Ivar Borgersen i Visma Enterprise Solutions.

Planen nå er å integrere løsningen til Info Consensus løsninger med deres øvrige tilbud.

Regnskapstallene røper at det lille selskapet fra Borgerhaugen nær Sarpsborg har vært drevet med pene marginer og god lønnsomhet i flere år. Selskapet ble etablert allerede i 2001.

– Vi har vært på utkikk etter en sterk, nordisk partner som kan bistå i videreutvikling av nye fagområder og med virkeliggjøring av våre vekstambisjoner. Vi ser gode muligheter til samarbeid innen Visma, og synergier som vil komme våre kunder til gode. Både ledelse og ansatte er svært motivert, og ser fram til å bli en del av Visma, sier administrerende direktør i Info Consensus, Marit Meyer Solheim i meldingen.

Hva Visma har betalt for selskapet fremgår ikke.

Verken Solheim eller Borgersen var tilgjengelig for kommentarer da digi.no ringte.

Av Morten Amundsen og Kristian Foss

KOMMENTAR: Norge trenger en av verdens beste offentlige forvaltninger for bøte på bortfallet av inntektene fra olje og gass. Best forvaltning betyr ikke bare beste tjenester, men også best robusthet, innovasjon og verdiskaping for landet. Åpne standarder, programvare og data og prosjekter oppdelt i mindre munnfuller er nøkkelen for å klare det.

Frem til i dag har forvaltningen gjerne foretrukket store leverandører og altomfattende og komplekse leveranser. Trygt og enkelt, har man trodd. Tro igjen. Forkjærligheten til store, gjerne internasjonale leverandører, medfører flere farer.

Stort er ikke nødvendigvis trygt. Se på Nokia, som skjelver. Tandberg, WordPerfect og andre giganter har falt fra eller blitt spist opp. Hva gjør vi om data som skal vare i ti- eller hundretalls år, låses inne i «den store, trygge» leverandørens lukkede formater? I verste fall kan kritiske samfunnsfunksjoner svikte. I beste fall må man betale seg ut. Slipper vi til mindre og mellomstore leverandører, vil det ikke være så dramatisk om én eller to går over ende.

På samme måte fungerer det med systemer. Flere og mindre systemer, gir mindre risiko enn få og store. Stanser ett, stanser ikke alt.

Kostbart og fastlåst
Vi vet alle hva monopoler gjør med priser. Når en kunde først er låst på plass hos leverandøren, oppstår et mikromonopol. Videreutvikling vil bremse opp, og tjenestene vil bli gradvis dyrere. Nye og kostbare lisenser må kjøpes inn. Langvarige avtaler og avhengighet til store, monolittiske systemer og programvare betyr også at endring blir vanskelig, risikabelt og kostbart – litt som å snu en supertanker.

Utestengning
Krav om størrelse betyr at mange mindre, dyktige leverandører blir holdt utenfor. Utestengelsen betyr mindre konkurranse, færre nye ideer og mindre lokal verdiskaping. Hvordan skal vi klare å bygge store lønnsomme selskaper, om de små og mellomstore ikke får næring til å vokse? Hvordan skal offentlig sektor klare å omstille seg uten nye ideer og et rikt utvalg av motiverte leverandører?

Hvordan rømmer vi dette fengselet?
Innlåsingseffekten beskrevet over, kan sammenlignes med et fengsel for kunden. Den gode nyheten er at forvaltningen kan rømme fengselet, og samtidig oppnå flere store fordeler.
Det er vel kjent at store systemer betyr stor risiko. Et nylig skrekkeksempel er NAVs skrinlegging av et ambisiøst forsøk på å erstatte 300 IT-systemer, etter 700 millioner kroner var brukt opp (VG 23. januar 2014). Grunnen oppgis å være for stor kompleksitet.

Problemet er at kompleksitet stiger eksponensielt. Et lite tillegg, gir en stor økning i total kompleksitet. Kompleksitet betyr mer penger og flere feil. Da kan selv 3,3 milliarder budsjettkroner til et NAV-system bli for lite.

Passe munnfuller
Ved å dele oppgavene forvaltningen skal ha utført i mindre biter, reduseres kompleksitet kraftig. Samtidig kan mange flere leverandører være med å by på jobbene. I sum betyr det lavere pris, bedre kvalitet, lokal verdiskaping og systemer som faktisk blir levert.

Hvordan skal vi så få dette til? De store leverandørene har klart å innprente at mange ulike systemer ikke klarer å snakke sammen, og kaos vil oppstå. Dette er myten vi en gang for alle må ta livet av.

Hvorfor fungerer internett?
Se bare på internett. Det mest komplekse IT-systemet på jord. Millioner av bidragsytere. Fantastisk funksjonalitet, innovasjon og pris. Hvordan er det mulig?

Internett slik vi kjenner det i dag, vant konkurransen med mange ulike alternativer, som følge av enkle, åpne protokoller (TCP/IP – Transmission Control Protocol/Internet Protocol). Protokoller som ikke forsøkte å gjøre for mye, men som la utvikling av tjenester til et nivå over seg.

På samme måte må vi bygge en enkel plattform for utvikling av offentlige tjenester. Et rammeverk hundrevis eller tusenvis av små og større leverandører kan bygge robuste tjenester som vil overleve dem selv. Tjenester som kan videreutvikles av andre. Data som alltid vil forbli tilgjengelige.

På samme måte som åpen (fri) programvare og åpne standarder har vært en forutsetning for internetts suksess, vil det være det for forvaltningen. Kombinert med åpne data, skal vi kunne bygge oss verdens beste offentlige forvaltning. Samtidig bygger vi kanskje opp verdens beste IT-bransje? Se hva riktige rammer gjorde for leverandørindustrien til olje og offshore.
Noen bedre forslag for å «fornye, forenkle og forbedre»?

Hvis ryktene stemmer, er det bare uker igjen til Microsoft skal vise frem det som antakeligvis heter Windows 9.

Det nye operativsystemet skal mest sannsynlig forsøke å vinne tilbake Windows 7-brukere som syntes grensesnittet til Windows 8 ble for fokusert på berøring og nettbrett. Samtidig som mange av de visuelle elementene ivaretas.

Windows 8 har hatt sine oppturer og nedturer siden lansering, og de siste månedene har vært en nedtur – i sommer har bruken av operativsystemet gått nedover, mens gamle Windows 7 har faktisk vokst.

I august har det imidlertid sett lysere ut, ifølge målingene til Net Applications (via Cnet). Hele Windows 8.X-plattformen, både den opprinnelige Windows 8, og den forbedrede 8.1-utgaven, har nå 13,37 prosent av operativsystem-andelen globalt.

Windows 8.1 stod for den største veksten, 0,53 prosentpoeng, mens Windows 8 har vokst med 0,36 prosentpoeng siden juli.

Windows 7 er, ikke overraskende, fortsatt dominerende, med 51,21 prosent. Operativsystemet har imdlertid stått på stedet hvil siden juli, og det samme gjelder Windows Vista. Legendariske Windows XP faller, ned 0,93 prosentpoeng. Støtten for Windows XP ble avsluttet tidligere i år.

De siste dagene har vært dominert at den massive nakenbilde-lekkasjen, og påfølgende kontrovers rundt Apples iCloud og sikkerheten til tjenesten. Teorien har vært at iCloud har vært utsatt for et «brute force»-angrep, som tvang seg frem til de korrekte passordene til de relevante kvinnelige kjendisene.

Apple har i etterkant lovet å etterforske hendelsen, og har i natt publisert en offisiell uttalelse.

Etter 40 timer med granskning av Apples sikkerhetseksperter, som ble umiddelbart mobilisert, konkluderte de med at en rekke kontoer ble aksessert via det målrettede angrepet på brukernavn, passord og sikkerhetsspørsmål. Apple forteller likevel at ingen av innbruddene ble utført via direkte hacking av iCloud- eller Find my iPhone-tjenestene.

Selskapet lover å fortsette å jobbe med myndighetene og sikkerhetseksperter for å identifisere de involverte. De råder også alle brukerne å benytte seg av sikre passord og tostegs-verifisering.

Uttalelsen til Apple er altså noe vag, men avviser tydelig at Find my iPhone-tjenesten var en del av innbruddet. Man har antatt at angrepet kan ha skjedd ved å bruke en kode som logget seg inn på denne tjenesten gjentatte ganger, frem til riktig passord var funnet.

Man kan også tolke seg til konklusjonen at tyvene hentet ut bilder fra iCloud-kontoene, men at de kjente brukernavnene og passordene til brukerne, ikke «hacket» tjenesten på noe vis.

Det er viktig for Apple å bevise at iCloud er sikkert å bruke – det er under en uke til en ny iPhone mest sannsynlig skal vises frem, og ryktene peker på enda mer utstrakt bruk av iCloud i fremtiden. Det er blant annet snakk om en storsatsning på mobilbetaling, samt fokus på helserelaterte tjenester.

Interessant nok, Apple har akkurat oppdatert regler for utviklere som vil lansere applikasjoner som bruker HealthKit-protokollen, som igjen vil være en del av iOS 8. Blant de nye kravene er at apper som lagrer brukernes helseinformasjon i iCloud vil bli avvist.

I likhet med Opera Software, kom Mozilla i går med en nye versjon av stiftelsens nettleser. Firefox 32 framstår ikke som noen stor oppdatering. Men den inkluderer en håndfull nyheter som kan gi bedre brukeropplevelse.

Blant nyhetene er en ny HTTP-cache, altså et sted hvor webinnhold kan mellomlagres, blant annet for at det ikke skal måtte lastes ned på nytt dersom det samme innholdet skal vises på nytt etter en liten stund.

Systemet for den nye cache-en skal støtte prioritering av forespørsler på en måte som er optimalisert for å minimalisere tiden det tar fra nettadressen velges til det vises noe på siden («first-paint time»). Det støttes også forhåndslasting av data for å øke hastigheten, forsinket skriving til cache-en for ikke å blokkere «first-paint time» og flere andre metoder som skal forbedre cache-ytelsen. Cache-en skal ha feiltoleranse mot krasj og heng. Dessuten skal den i utgangspunktet kreve mindre minne.

Sertifikatsikkerheten skal være forbedret ved at Firefox 32 støtter «Public Key Pinning». Dette er en mekanisme som gjør det mulig for et nettsted å spesifisere hvilke sertifikatutstedere (CA) som har utstedt gyldige sertifikater for nettopp dette nettstedet. Firefox vil da nekte å laste websider fra slike nettsteder dersom nettsted-sertifikatene ikke er utstedt av slike velkjente utstedere.

Brukergrensesnittet
I kontekstmenyen til Firefox har det nå blitt enklere å navigere framover og bakover, samt bokmerke eller laste websider på nytt. I passordadministratoren kan man nå se historisk informasjon om bruken av passordene som er lagret.

Utviklerverktøyene støtter nå skjermer med høy punkttetthet (HiDPI). Dessuten har det blitt rettet noen problemer med tekstgjengivelsen i Windows-utgaven når denne kjøres på Windows 7 og nyere. I tillegg kommer en rekke mindre nyheter som er listet på denne siden.

Chrome-fiks
Det kan forøvrig nevnes at også Google har kommet med en liten oppdatering til Chrome 37. Også denne forsøker å rette problemer med tekstgjengivelsen. Disse problemene skal inntreffe når skjermskaleringen er satt til 125 prosent eller lavere. Flere lesere fortalte i kommentarene til vår tidligere sak om nyhetene i Chrome 37 at de opplevde problemer med Chrome og skjermskalering etter å ha installert denne versjonen. Det kan være at gårsdagens oppdatering vil kunne løse dette.