Magtfuld amerikansk sikkerheds-mand: Sådan får vi løst de største sikkerhedsproblemer

Interview: Et af de største problemer med it-sikkerheden er manglen på fælles normer, standarder, opførsel og retningslinier. Men måske er løsningen enkel, mener sikkerheds-topdog Howard Schmidt, som Computerworld har mødt i Las Vegas.

Las Vegas: Det er måske lidt studentikost, men jeg kan altså ikke lade være med at spørge.

"Hvordan har præsident Obama det med it og teknologi?"

Heldigvis tager præsidentens tidligere sikkerhedsrådgiver, Howard Schmidt, det ikke ilde op, og han svarer i stedet med et smil.

"Han er ikke på programmeringsniveau, men han har en solid forståelse af teknologi. Ikke mindst de spørgsmål, der handler om de komplikationer og problemstillinger, som er forbundet med it-sikkerhed."

Der sidder en ældre, hvidhåret herre ved min side. Han er ulasteligt klædt i sort jakkesæt, hvid skjorte og et gult slips.

Han taler roligt og venligt.

Hvor meget blander en amerikansk præsident sig i it-sikkerhedsspørgsmål?

"Præsident Bush var kun involveret i et par enkle alvorlige episoder. Spoler vi 10 år frem i tiden, så forstår præsident Obama teknologien og erkender sikkerhedsudfordringer i forbindelse med kritisk infrastruktur. Problemstillingen er mere påtrængende, og det er et spørgsmål, der er på agendaen meget ofte."

Tre gange i Vietnam
Havde jeg ikke vidste det på forhånd, så havde jeg aldrig gættet på, at Howard Schmidt har gennemført tre perioder i kamp under Vietnamkrigen i slutningen af 1960'erne og i begyndelsen af 1970'erne.

Ligeledes havde jeg næppe gættet, at han har arbejdet for FBI eller at han har været cyber-sikkerhedsrådgiver for både præsident Bush og præsident Obama.

Han ligner mere en hyggelig bedstefar, men man kan godt mærke på ham, at han er vant til at tage beslutninger og blive hørt.

Han spørger høfligt og interesseret om København og fortæller, at han har besøgt byen gentagnde gange i forbindelse med forskellige sikkerhedsarrangementer.

"En dejlig by," siger han.

Jeg møder dog Howard Schmidt mange tusinde kilometer fra København i spillebyen Las Vegas, hvor han netop har været keynote-taler på Sas Institutes store årlige konference.

Han har været militærmand det meste af sit liv og siden 1994, hvor han blev chef for Air Force Office of Special Investigations' efterforskningscenter og Computer Crime and Information Warfare-division, har det primært handlet om cyber-sikkerhed.

Jeg må vist hellere spørge ham om noget mere voksent.

Den amerikanske regering er involveret i udvikling af spionsoftware som eksempelvis Stuxnet, og det er vel heller ikke en hemmelighed, at NSA overvåger den amerikanske befolkning plus en del andre landes befolkninger. Ser du det som et dilemma, og kan du forstå, at kriminelle ser på regeringen og siger: Hvis den kan gøre det, så kan jeg vel også?

"Ja, det er et problem. Af flere forskellige grunde. For det første bliver regeringsudviklet malware afluret og anvendt til kriminelle formål," siger han og fortsætter:

"Når regeringer bevæger sig ind i dette felt, så udsætter den faktisk os alle sammen for en risiko. Det handler om, at vi skal finde frem til nogle normer, standarder og retningslinjer for, hvordan man opfører sig i cyberspace. Her bør en regering naturligvis gå forrest og ikke lade stå til. Men vi har ikke disse retningslinjer endnu, og det er et problem." Det har man jo talt om i rigtig mange år, og der er stadig ikke udarbejdet et sæt færdselsregler i den forbindelse?

"Det er korrekt, jeg har deltaget i arrangementer om retningslinjer for internettet siden 1998. Vi snakker stadig om det, og jeg er faktisk ikke sikker på, om vi er nået nærmere et resultat."

"Derfor er vi i højere grad begyndt at lægge spørgsmålet ud til virksomhederne, der er berørt af sikkerhedsproblemerne. Hvis regeringerne ikke kan blive enige, så må private tage hånd om problemerne og beskytte sig. Måske er det også både bedre og nemmere, hvis reglerne kommer fra erhvervslivet, der ikke skal tage de samme storpolitiske hensyn."

"Det handler basalt set om at skabe en bane, hvor reglerne er klare, så virksomheder og private kan være trygge."

Men det har været en meget lang diskussion, hvorfor bliver det ikke til noget. Det er trods alt lykkedes at udvikle standarder på de fleste andre områder i samfundet?

"Vi kender de it-kriminelle, og vi ved, hvad de laver. Men det er stadig svært at få en aftale i hus, hvilket kan virke underligt, når problemet er så tydeligt. Det handler blandt andet om noget så banalt som definitioner. Eksempelvis om hvad cyber-sikkerhed er, hvad informationssikkerhed er, eller om man skal sikre indhold fremfor strukturer."

"Det er forståeligt, at erhvervslivet ikke længere kan vente på, at regeringerne tager hånd om det, og derfor handler de på egen hånd."

Sikkerhed stavet bagfra
Han fortæller, at siden præsident Bill Clintons regeringsperiode har de amerikanske myndigheder haft dedikeret fokus på it-sikkerhed, og at det dengang blev defineret, at erhvervslivet havde kontrollen (i USA, red.) over de kritiske installationer.

Derfor var det ikke et område, som man ønskede at regulere direkte fra centralt hold.

"På den vis er historien med til at holde igen på myndighedernes sikkerhedsbeslutninger, selv om situationen er anderledes i dag - ikke mindst efter 9/11, der blev efterfulgt af et it-angreb i form af ormen Nimda, der er admin stavet bagfra."

Ormen blev sluppet løs præcis en uge efter angrebene mod World Trade Center og Pentagon, og den er blevet relateret til Al Qaeda, men det er ikke lykkedes at bevise noget.

"Nimda er stadig en gåde, men den satte virkelig tankerne om it-sikkerhed i gang," siger Howard Schmidt.

Er offentlighed omkring hacker-angreb og sikkerhedsproblemer en god idé, der kan være med til at synliggøre sikkerhed for alle?

"Det noget vi har diskuteret meget, og mange virksomheder har strittet i mod. Men vi er nået frem til, at eksempelvis investorer i en virksomhed eller brugere af en tjeneste skal have alle oplysninger. Og åbenhed kan også være med til at oplyse almindelige brugere om, at der er noget i gang, som man skal være opmærksom på."

Hvor sikre er vi i dag?

"Der er mange overskrifter om hackede tjenester og firmaer, men systemerne virker langt hen ad vejen og er også sikre. Jeg har netop overført penge via min mobil og tjekket ind på en flyafgang. Vi er nok nødt til at acceptere en hvis usikkerhed, men systemerne virker godt og er meget sikre."

Er der et par helt lavpraktiske løsninger, der kan gøre vores daglige sikkerhed bedre?

"Et af de områder jeg har fokus på, er brugernavn og password. Det er en forældet måde at logge på en tjeneste. Digitale løsninger til login ville gøre sikkerheden bedre med et snuptag. Der skal være forskellige sikkerhedsniveauer, hvor en bruger kan logge ind med ganske få oplysninger til eksempelvis en mail-konto og et mere sofistikeret login til eksempelvis banken. Men brugernavn og password er forældet," lyder det fra Howard Schmidt, og han fortsætter:

"På universiteterne er der undervisning i forretningsrisici men ikke i cyber-risici. Den viden skal flyttes op på ledelsesniveau og ikke bare skubbes ud i it-afdelingen. Men den løsning har et lidt længere perspektiv."

Læs også:
Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne

Hård kritik fra Rigsrevisionen: It-sikkerheden sejler hos Rigspolitiet




Premium
Elbek & Vejrup lander tocifrede vækstrater trods coronakrisen
It-selskabet Elbek & Vejrup kan fremvise tocifret vækst på top- og bundlinje i det nye årsregnskab, der blev lukket 30. juni. fremgangen sker på trods af coronakrisen og landets nedlukning.
Computerworld
YouSee lancerer ny streamingtjeneste i Danmark
Efter sommerferien går YouSee i luften med et nyt streamingtilbud til danskerne, der beskrives som et af verdens mest streamende folkefærd.
CIO
Torben Fabrin og Arla måtte på få dage omstille hele deres produktion da coronaen ramte
Da coronaen ramte verden måtte mejerigiganten Arla på få dage omstille sin produktion. Samtidig voksede salget massivt til supermarkeder mens institutioner og restauranter gik næsten i stå. Hør hvordan Arla kom gennem krisen ved blandt andet være klar med realtime analytics.
Job & Karriere
På jagt efter et it-job i Jylland? Her er 10 stillinger fra Aabenraa til Aalborg, der ledige netop nu
Vi har fundet en række spændende stillinger til dig, der jagter et it-job. Her kan du vælge og vrage mellem ledige stillinger lige fra Aabenraa til Aalborg.
White paper
Mængden af skyggedata stiger voldsomt – få tips til hvordan du bekæmpe det
Moderne virksomheder er drevet af data. Men for at udnytte de data, skal de være tilgængelige for medarbejderne, kunderne og samarbejdspartnere – og det er bare de data, som it og virksomheden kender. For den eksplosive udvikling i cloud og data betyder også, at de fleste organisationer generer store mængder af ”skyggedata”, data som bliver delt, opbevaret og ofte glemt et sted i virksomhedens mange systemer. I dette whitepaper kan du derfor læse om omfanget af problemet med skyggedata i skyen samt få ideer til, hvordan du kan begrænse og beskytte det.