Fullständig cybersäkerhet omöjlig
Det går inte att till hundra procent gardera sig från dataintrång. Därför måste man lära sig att hantera riskerna och eliminera dem. Största faran är att någon insider läcker sensitiv information. Varningsorden kommer från Gus Hunt, tidigare teknologidirektör för den amerikanska underrättelseorganisationen CIA.
Samtidigt som myndigheter och organisationer tampas med yttre säkerhetshot och cyberintrång, finns vissa av de största riskerna på närmare håll – inom den egna organisationen. Hotet realiseras då en anställd med tillgång till hemliga uppgifter för internt bruk, läcker informationen till utomstående. Det säger tidigare teknologidirektören för CIA, Gus Hunt.
På konsultföretaget Accentures Finlandskontor i Gräsviken träffar HBL en amerikansk man med ett intressant förflutet. Gus Hunt leder nu för tiden Accentures globala cyberstrategi och är i stan för att lära finska företag och myndigheter hur de ska gardera sig mot cyberhot. Efter 28 år vid CIA pensionerades Gus Hunt från tjänsten som den amerikanska underrättelseorganisationens teknologidirektör år 2013 och har sedan dess jobbat som expert inom privata sektorn.
– Säkerheten är av allra största vikt inom underrättelsebranschen. Där är det avgörande att kunna skydda sitt material från attacker eller oönskade intrång. Precis på samma sätt är det mycket viktigt för företag att kunna skydda sina datasystem eller tryggt kunna anlita molntjänster, säger Hunt och syftar på då företag anlitar ett annat bolag som tillhandahåller it-tjänster över nätet.
Under sin tid på CIA drev Gus Hunt igenom en avsevärd förändring: Den amerikanska underrättelsetjänsten slöt ett avtal med e-handelsoch molnföretaget Amazon som startade upp en hemlig molntjänst för CIA:s räkning där underrättelsetjänsten sparar sina data.
Fullständig säkerhet omöjlig
Hur ser då Gus Hunt på risken för dataläckor, något som en aktör som CIA rimligtvis vill undvika till vilket pris som helst?
– Att uppnå absolut säkerhet är omöjligt. Men du måste finna sätt att hantera riskerna och eliminera dem. Största risken är att någon inuti organisationen som har tillgång till systemen börjar läcka information. Av den här anledningen sätter man i dag mycket krut på att analysera de egna användarna för att hålla koll på eventuella avvikelser i deras beteendemönster.
För att minimera risken för att insiders blir onda och börjar läcka uppgifter är det vanligt att organisationer som sitter på sensitiv information som inte får spridas, håller koll på vilket slags information de anställda normalt hanterar och vem personen brukar kommunicera med eller hurudan språkbild hen använder. Varningsklockorna ringer om en anställd plötsligt börjar kommunicera på ett kryptiskt sätt med någon utanför organisationen.
Organiserade brottslingar och stater
HBL undrar hur den förre underrättelsetjänstemannen ser på de hot- bilder som lurar bakom knuten sett från en finländsk horisont?
– Jag vill understryka att jag inte är någon Finlandsexpert, men ni står inför samma utmaningar som andra länder: Dels ser vi organiserad brottslighet där folk försöker göra pengar och stjäla information, till exempel så att de kommer över ditt kreditkortsnummer, eller begår identitetsstölder, dels finns det statliga aktörer som försöker komma över immateriella rättigheter eller vill påverka hur ditt land styrs i syfte att nå sina ändamål, säger Gus Hunt och påpekar att då det gäller cyberhot spelar geopolitik eller geografiska gränser ingen roll. Inkräktaren kan befinna sig var som helst på jordklotet.
Borde man dra i bromsen för att hejda utvecklingen och låta bli att koppla upp sig över nätet för att undvika intrång? – Nej, inte alls. Den uppkopplade världen för med sig enorma fördelar till exempel för vår hälsa, för hur vi sköter logistiken i våra städer eller erbjuder service och tjänster. Rätt väg är inte att säga att de stygga krafterna vann, därför låter vi bli att utnyttja de nya tekniska möjligheterna. Men vi måste se till att göra tekniken säker och motståndskraftig.
Frågan om valfusk har varit brännande aktuell de senaste åren. Gus Hunt säger att debatten om valpåverkan och valfusk handlar om två olika saker. Cyberattacker som direkt drabbar folks möjlighet att rösta, till exempel om någon hackar sig in i valsystemet och lägger till eller tar bort personer i förteckningen över röstberättigade, är en direkt attack mot medborgarnas grundläggande rättigheter.
– Skulle en sådan cyberattack inträffa, är det givetvis mycket allvarligt. Påverkansinformation är en annan sak och har funnits så länge vi har haft val. Alltid har man försökt locka väljare med olika metoder, till exempel genom valreklam.
Här anser Gus Hunt att rätt medicin är att lära folk att bli kritiska till information som sprids över nätet och få människor att förstå att bara för att någon säger en sak så behöver det inte vara sant.
– Människor måste lära sig att göra research och kritiskt granska information som sprids om kandidater i sociala medier. På samma sätt som när folk beställer varor över nätet och kollar att diskmaskinen de planerar köpa, har fått goda recensioner och är lämplig för just den användarens behov, borde folk lära sig att kolla upp att personen de har tänkt rösta på, motsvarar förhoppningarna.
Ifall myndigheterna upptäcker att någon sprider rena skära lögner inför ett val kan det i vissa fall vara på sin plats att myndigheten går ut med en varning om att det sprids desinformation, anser Hunt.
– Men här ska man vara mycket försiktig, eftersom steget till censur är väldigt kort. Fort blir man tvungen att tampas med komplicerade frågeställningar kring vem det går att censurera och varför.
Däremot anser Gus Hunt att det är rätt att stänga ner falska datorstyrda profiler, så kallade bottar, som är konstruerade att sprida desinformation i en valrörelse.
❞ Människor måste lära sig att göra research och kritiskt granska information som sprids om kandidater i sociala medier.