Sannolikt är frasen "Vad är det värsta som kan hända" den
absolut enklaste hot-, risk- och sårbarhetsanalysen som kan
genomföras. När frågan ställs spontant så mynnar den vanligtvis ut
i ett par-tre scenarios där, trots spontaniteten, svaret innehåller
någorlunda prioriterade scenarios. Dessutom är risker för vilka vi
inte är sårbara oftast bortgallrade. Kan det bli bättre och enklare
mot bakgrund av den ringa insatsen?
Tillsammans med någon kollega brukar frasen också användas för
att slå ihjäl tid, inte sällan på en resa till eller från en kund
och oftast i större globalt samhällsperspektiv.
Samhällsperspektivet har allt starkare band till IT. Vem har inte
drabbats av samhällsstörningar som visat sig vara
IT-relaterade?
Men, vad är det värsta som kan hända samhället ur ett
IT-perspektiv? Det finns inte ett svar och det finns heller inget
rätt svar utan beror på vem man frågar, vems perspektivet är
och vad var och en lägger i begreppet "värsta". Jag skall
återspegla tre scenarios som kan vara tänkbara kandidater.
Asymmetrisk kryptering - Hur många har inte reflekterat över att
asymmetrisk kryptering är den absolut vanligaste metoden för att
lösa frågor som autentisering, tillit, sekretess, riktighet med
flera. Helt enkelt en grundbult som är av allra största vikt.
Algoritmen som återfinns här heter RSA och den är uppkallad efter
namnen på upphovsmännen Ron Rivest, Adi Shamir och Len Adleman som
beskrev algoritmen 1977. Idag är det allmänt känt att nyckel med en
längd av 768 bitar kan beräknas och 1024 bitar ligger inom
räckhåll. Vi löser detta med längre nycklar, säg 2048 bitar eller
kanske 4096 bitar. Nyckellängder är bara en del i problematiken.
Nyckelhantering är inte sällan ett förbättringsområde. Algoritmen i
sig kan inte antas vara vattentät för all evig framtid. Flera
studier visar på ett ökat antal attackvektorer. Konsekvenserna om
denna grundbult brister är katastrofala! Än värre är att vi har
inget självklart alternativ…
Windows update - En våt dröm för många illasinnade är att ta
över en infrastruktur likt Windows update. Betänk själva vilket
enormt kraftfullt verktyg och vilken makt den som förfogar över
infrastrukturen har. Dagens större botnet är i storleksordningen 50
miljoner kapade datorer vilka bleknar rejält i jämförelse. Enligt
flera samstämmiga uppgifter finns Windows på över 80% av alla
klientdatorer. Givetvis kör inte alla Windows update men det ger i
alla fall en vägledning över infrastrukturens storhet. Windows
update är omgärdade med mekanismer, såväl tekniska som
administrativa, som skall förhindra det som inte får hända.
Med vetskap om att det redan händer, men hittills inte i någon
större skala, så kan var och en räkna ut att infrastrukturen redan
är föremål för kapningsförsök. Konsekvenserna om infrastrukturer
likt dessa hamnar i orätta händer står helt i relation till hur bra
en kapning lyckas och hur väl motåtgärderna lyckas. Den kan vara
allt från en katastrof till något som går obemärkt förbi. Det
senare har redan hänt.
Elförsörjning - Om beroendet av IT kan inte sägas annat än att
det är enormt. Att IT är beroende av el är knappast en hemlighet.
Däremot kanske det inte är lika känt att elförsörjningen har allt
starkare beroenden till IT. Hittills har elförsörjningens starkaste
fiender varit väder och vind. Även den kartan ritas om. En
illasinnad som önskar störa elförsörjningen kan med små insatser
åstadkomma enorm skada med hjälp av IT som vapen. För att minska
sårbarheterna behövs insatser på såväl elförsörjningssidan som
IT-sidan. Den ömsesidiga samverkan som krävs är en utmaning i sig
vilket ger detta scenario ännu högre grad av komplexitet i ett
scenario som redan har en hög komplexitetsgrad. Konsekvenserna
behöver knappast beskrivas.
Vilka är dina kandidater och vilka åtgärder är du beredd att
vidta? Oavsett om det är realistiska och sannolika scenarios eller
ej så är det av största vikt att tänka utanför de sedvanliga
banorna för att minska uppenbara sårbarheter och effekterna av
densamma.
