Bildet viser datakode Foto: NTB Scanpix

OMFATTENDE: Dataormen WannaCry skapte trøbbel verden over i mai 2017.

Cyberangrep vi vil se mer av

Cybersikkerhet er i like stor grad et politisk problem som det er teknisk.

Kronikk av Lilly Muller og Lars Gjesvik:

(Dagens Næringsliv): Forrige helg tok løsepengeormen «WannaCry» over datamaskiner og systemer verden over. I Spania sto desperate telesjefer og ropte beskjeder via megafon, i Tyskland er togtabeller blitt erstattet med tavler med kritt.

Angrepet har tydeliggjort hvor store deler av den moderne verden som er sårbar for digitale angrep.

Debatten i ettertid har i stor grad dreid seg om å forstå hva som har skjedd og hvordan vi skal sikre oss i fremtiden. Løsningen er bedre rutiner hos den jevne databruker, ansvaret ligger hos oss som individer. Men å redusere cybersikkerhet til at den enkelte bruker må bli flinkere til å oppdatere, er å undervurdere hvor komplekst og omfattende problemet er.

Det første politiske problemet som forårsaket krisen startet hos amerikansk etterretning: I påsken slapp hackergruppen Shadow Brokers et sett med digitale våpen stjålet fra NSA og CIA. Amerikansk etterretning bruker millioner på å saumfare dataprogrammer for feil. Når disse oppdages, blir de kartlagt og lagret.

Disse «bibliotekene» med sårbarheter er svært verdifulle som digitale våpen, og kritiske for spionasje og digital krigføring. Lagringen av sofistikerte digitale våpen er langt mer risikabel enn lagring av konvensjonelle våpen. Sikkerhetsekspert Bruce Schneier er bare en av mange som har pekt på at risikoen for at de blir stjålet er skyhøy. Dette er selvfølgelig også det som har skjedd.

Når stater lager avanserte digitale våpen, og mister kontrollen over dem, gir man kriminelle ressurser de aldri hadde kunnet utvikle på egen hånd. Digitale våpen kan nå kjøpes ferdigpakket med bruksanvisning på nett. Microsoft sammenlignet denne uken tyveriet med om noen hadde stjålet en Tomahawk-missil. En mer passende beskrivelse hadde vært om alle kunne hente en Tomahawk-missil på butikken.

At sofistikerte våpen blir tilgjengelig og nedlastbare for alle er en utfordring man så vidt har startet å pirke bort i. Spørsmålet er hvem som vil benytte seg av muligheten neste gang.

Dette leder over til det andre politiske problemet: en manglende anerkjennelse av hvilke svakheter vi som samfunn har i møte med digitale våpen.

Svakheten hackerne utnyttet ble tettet av Microsoft i mars, for alle som oppdaterer programmer jevnlig var det derfor ingen trussel. Dette skaper en illusjon at det for alle «bare er å oppdatere», men jo større og kompliserte systemer er, jo vanskeligere er dette å gjennomføre. Ta det kanskje mest skremmende eksempelet til nå: kollapsen i deler av det britiske helsevesenet. En liten andel av sykehusene hadde ikke oppdatert systemene sine fra det for lengst utdaterte Windows XP. Egentlig skulle man allerede i 2015 ha faset ut operativsystemet, fordi det var sårbart og dyrt å opprettholde, men problemet er at det ikke bare fantes på «vanlige» maskiner. XP er også en integrert del av medisinsk utstyr som MRI-maskiner, maskiner som koster millioner av pund hvor oppdateringer er langt mer kompliserte. En politisk avgjørelse om å spare penger ble tilsynelatende tatt fjernet fra den faktiske virkeligheten.

Det er lett å mistenke at grunnen er manglende kunnskap om hva risikoen egentlig var. Ekstra skremmende blir det når man tenker på at vi er midt i det som kalles «den fjerde industrielle revolusjon», hvor stadig flere ting kommer med datamaskiner inkludert: dukker, biler og jagerfly. Helgens angrep er i så måte et varsel om hva konsekvensen kan bli av at vi omgir oss med tusenvis av usikrede datamaskiner.

Måten programmet som skulle innkassere løsepengene er designet på, antyder to muligheter: enten er gruppen som står bak amatører som har gjort flere nybegynnerfeil, eller så er angrepet politisk motivert. Hvis ingen påtar seg ansvaret for viruset er det en høyst reell mulighet at vi aldri vil vite hvem som sto bak.

Hvis vi vil forhindre at lammende digitale angrep blir hverdagen fremover, må de grunnleggende problemene som skaper usikkerhet også håndteres: at stadig flere ting kommer med usikrede datamaskiner inkludert, manglende oversikt over hvordan datasystemer ser ut, liten internasjonal enighet om hva som er lov og ikke, at cyberkriminelle og stater får operere på tvers av landegrenser nesten uten risiko. Viruset som spredte seg forrige helg burde være en øyeåpner for disse utfordringene.

At britisk helsesektor ble lammet i denne omgang var i stor grad tilfeldig, trolig resultatet av at angriperne hadde «flaks». Et målrettet angrep av en mer teknisk avansert gruppe vil kunne gjøre langt større skade. Neste gang kan det være norsk helsesektor som rammes, eller oljesektoren, eller en av de mange kritiske samfunnsfunksjonene vi daglig kobler til internett med sikkerhet som en fjern baktanke.

Angrepet har vist hvor mye av samfunnet vårt som kan rammes av økonomisk eller politisk motiverte digitale angrep. Dette er ikke et problem som kun løses av jevnlige oppdateringer.

Denne kronikken sto først på trykk i Dagens Næringsliv 26. mai 2017.

Publikasjoner

Prosjekter