Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.
Målrettede angreb går let under radaren. Vi hører alle sammen om de store angreb, hvor tusindvis af computere verden over bliver ramt af den samme orm.
Men et angreb, der er rettet direkte mod udvalgte virksomheder eller organisationer, får ikke samme opmærksomhed.
Hvad ville du sige til at få besked, når en virksomhed i samme branche som din egen bliver udsat for et angreb?
Det kan lade sig gøre, hvis vi samarbejder: Vi giver besked til vores samarbejdspartnere, når vi ser et angrebsforsøg. Til gengæld gør de det samme for os.
Jeg har været fortaler for den type samarbejde i mange år.
Men jeg har også måttet erkende, at flere elementer gør det vanskeligt at samarbejde om sikkerhed.
Et element er kultur, et andet teknologi.
En kultur af tillid
Kulturen udgør et vigtigt element: Vi kan have en virksomhedskultur, hvor vi foretrækker at holde informationerne for os selv frem for at dele dem.
Det kan der være gode grunde til.
Hvis vi deler informationer med virksomheder i samme branche, er de vores konkurrenter.
Måske kan de få en konkurrencefordel ud af at vide, at vi er udsat for et angreb.
Løsningen her er at opbygge tillid.
Hvis der er tillid mellem parterne, kan de udveksle oplysninger i tillid til, at de ikke bliver misbrugt.
Vi skal nå frem til det punkt, hvor alle erkender, at fordelene ved at dele information mere end opvejer ulemperne.
De kriminelle samarbejder allerede – hvorfor skulle vi andre ikke gøre det?
Teknologi muliggør deling
Tidligere var teknologien også med til at spænde ben for de gode intentioner om at dele sikkerhedsdata: Det var simpelthen svært at sætte op.
For halvandet år siden gjorde min tidligere medarbejder Dennis Rand mig imidlertid opmærksom på open source-projektet MISP.
Han mente, det var værd at se nærmere på.
MISP stod oprindelig for Malware Information Sharing Platform.
Navnet er siden blevet udvidet til Open Source Threat Intelligence Platform & Open Standards For Threat Information Sharing.
I dag er MISP nærmest blevet en de facto standard for udveksling af trusselsdata.
Det gode forslag fra Dennis Rand har ført til, at jeg for første gang nogen sinde har sat et klistermærke på min laptop: Nu reklamerer jeg for MISP Threat Sharing.
Det er software, der gør det muligt at organisere og dele information om skadelig software og andre sikkerhedstrusler.
MISP indeholder en database, hvor man kan indlægge informationer om angreb.
Det vil typisk være IOC’er (Indicator Of Compromise).
En IOC kan for eksempel være IP-adressen på en server, som skadelige programmer kan downloades fra. Eller det kan være hashværdien for et skadeligt program.
En korrelationsfunktion gør det muligt at opdage sammenhænge mellem data.
Alt det får man også i en række andre værktøjer til intern brug i sikkerhedsafdelinger.
Det særlige ved MISP er, at det i høj grad fokuserer på at dele information.
Deling kræver, at hver deltager i samarbejdet installerer sin egen instans af MISP.
Derefter kan programmerne udveksle data ud fra regler, man sætter op.
MISP er udviklet i Europa, hvor jeg hører om stadig flere organisationer, der tager det i brug.
Persondata er en udfordring
Når vi deler data, er der de senere år opstået en særlig udfordring: Beskyttelse af persondata.
Siden indførelsen af GDPR (EU’s databeskyttelsesdirektiv) har vi skullet være ekstra opmærksomme på, hvordan vi håndterer persondata.
Der kan indgå persondata i de data om sikkerhedshændelser, vi gerne vil dele.
I nogle tilfælde kan en IP-adresse således være persondata. Det gælder, hvis den kan henføres til en bestemt person, der har haft den tildelt på et givet tidspunkt.
Der kan også være persondata i form af mail-adresser, fx ved registrering af phishing-forsøg.
GDPR forbyder ikke deling af information om sikkerhedshændelser.
Men delingen skal overholde principperne om for eksempel dataminimering, hvor vi kun registrerer og deler de data, der er nødvendige for at udføre vores sikkerhedsopgaver.
Før man deler information om trusler, bør man derfor overveje persondatavinklen.
Hvem skal vi dele med?
Når man har besluttet sig for at dele informationer om sikkerhedstrusler, må man afgøre, hvem man vil dele med.
Et par muligheder er at gå efter geografi eller branche.
Den geografiske tilgang går ud på at samarbejde med lokale firmaer – i samme by, landsdel eller land.
Ofte er de it-kriminelle imidlertid ligeglade med geografien. De angriber alle, de kan få øje på.
Derfor kan det give mere mening at søge et branchefællesskab.
Det er nyttigt, fordi en trussel rettet mod én virksomhed i branchen ofte også vil være relevant for andre at beskytte sig mod.
Som nævnt ovenfor er det afgørende at etablere tillid mellem deltagerne, da der i branchefællesskaber også er konkurrenceaspektet at tage hensyn til.
Men kan man få det plads, er der klare gevinster at hente.
I Norden har en række finansvirksomheder således etableret Nordic Financial CERT.
Her samarbejder virksomheder, der ellers er konkurrenter, om at dele informationer om trusler mod finanssektoren.
Jeg kan kun opfordre andre til at gøre noget lignende. Samarbejde styrker sikkerheden!
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.