Vårt säkerhetsseminarium på Internetdagarna blev ett av de bästa som ISOC-SE har arrangerat. Det var utmärkta föredragshållare, engagerad publik och bra innehåll.
“Vi har inga namnbrickor eftersom vi är lite hemliga” var inledningen, eftersom något gått fel med namnbrickor till just detta seminarium. Sedan följde massor med bra tips och erfarenheter.
KTH:s luttrade säkerhetschef Patrik Lidehäll berättade om den användare som ringde tre på morgonen och skällde eftersom han inte lyckades koppla sitt Nintendo Wii till Internet. Flera föredragshållare rådde lyssnarna att hålla all sin mail-hantering på servrar placerade inom Sverige. Annars kan mailen läsas både av FRA och av andra länders myndigheter.
Det blev ganska tyst i publiken när Anders Rafting från PTS frågade hur många som hade gjort en risk- och sårbarhetsanalys. Det var inte många som räckte upp handen… Han frågade även “vad skulle hända om er Internet-förbindelse går ner en fredag 18.15? I många fall innebär det att inget görs åt saken förrän på måndagen.
-Fråga er själva hur länge ni kan vara utan viktiga funktioner. Vad händer om e-posten är nere 24 timmar? Eller webbservern? Räkna på saken, och på hur mycket det är värt att minska
nertiden. Dessutom: öva krislägena, så att ni vet hur ni ska göra den dag det händer. Han nämnde även PTS-vägledningen om Robust elektronisk kommunikation.
Rafting tillade att “det är egentligen för sent att börja med IPv6 nu. Har ni inte börjat så sätt fart”.
Anne-Marie Eklund Löwinder från .SE berättade om hälsoläget för den svenska delen av Internet. Enligt den senaste undersökningen är det 9 % som använder IPv6. Även DNSSEC sprids väl långsamt, trots de risker det innebär att inte använda det.
Hon tog även upp lagen om kakor (cookies), som fortfarande inte är tydligt förklarad. Principen är att om en webbplats sätter kakor på användarnas datorer så måste användarna ge sitt samtycke. Nästan hälften av de kakor som sätts kommer från analysverktyget Google Analytics som används av många. Har man Google Analytics så spelar det ingen roll vilken integritetspolicy man har själv vad gäller kakor.
Håkan Kvarnström från Telia påpekade att det snart inte finns några gränser kvar mellan arbete och fritid. Alla förväntas vara tillgängliga dygnet runt, och de förväntar sig även att komma åt alla system hela tiden. Det innebär bland annat att folk vill kunna göra allting med sin mobil, och att IT-avdelningarna måste anpassa sig till att de interna systemen nås från mobiler som användarna ofta köpt själva. Principer om en strikt kontrollerad IT-miljö får allt svårare att hävda sig.
Det var flera talare som tog upp detta, som på engelska kallas “bring your own devices” (ta med dina egna apparater). Allt fler smarta mobiler med mera ansluts till interna nätverk, och det fungerar inte att som IT-chef bara säga nej.
Kvarnström berättade även om den explosiva ökningen av mobildata över Internet sedan 2007, som i stort sett beror på en enda faktor: apparna i Iphone.
Han var en av dem som betonade molnets betydelse: i takt med att man gör allt mer med sin smarta mobil (och har med sin laptop allt mer sällan) så fungerar det inte att ha data lagrade på den egna apparaten. Man måste nå sina data från både dator och mobil, och då är det molnet som är den naturliga lösningen.
Patrik Lidehäll från KTH lockade till många skratt med sina berättelser om mer eller mindre osannolika användarbeteenden. Han avrundade med att betona betydelsen av användarvård:
-Om man börjar med att säga “ditt dumma nöt, hur kunde du…” så går folk till motangrepp. Ta det diplomatiskt, t ex “är det möjligen så att du har…”.
Robert Malmgren från Romab (en av Sveriges mest respekterade säkerhetsexperter) tog upp en del känsliga frågor, och inledde med “hur diskuterar man de här frågorna utan att få foliehatt?”
Med andra ord, man riskerar att uppfattas som en paranoid stolle om man t ex ifrågasätter åtgärder för ökad kontroll av nätet. Han berättade om flera svåra fall där folk riskerar att få sin integritet på nätet kränkt, eller riskerar att råka illa ut på andra sätt. Vad händer t ex om man är Facebook-vän med någon som senare visar sig vara en ful fisk? Det var flera som var Facebook-vänner med den norske massmördaren Breivik.
-Integritetskänslig data är mycket mer än bara personuppgifter. Google kan t ex se vad du tänker på just nu, genom att hålla koll på dina sökningar. Att försöka få Facebook att bekymra sig om integritet är enligt Malmgren att jämföras med kattvallning.
Han berättade om www.chillingeffects.org, en webbplats som informerar bl a om hur amerikanska myndigheter kräver att webbplatser ska ta bort känslig information. Extra känsligt är så kallade NSL, National Security Letter. Den som får ett sådant brev från amerikanska myndigheter riskerar mer än tio års fängelse om han eller hon ens berättar för någon att brevet har kommit. Ofta handlar det om att myndigheten vill ha ut information om vissa användare.
Seminariet avslutades med en paneldiskussion, där Anne-Marie Eklund Löwinder berättade att “fortfarande efter 20 år är avgrävda kablar ett av de största problemen”. Anders Rafting och fler med honom betonade vikten av att höja beställarkompetensen. Om de som beställer nättjänster inte efterfrågar robusthet och säkerhet så kommer det inte heller att erbjudas i någon större omfattning.
Annica Bergman i styrelsen höll i seminariet.