lørdag 6. november 2010

Trenger vi NSM?

I siste halvdel av oktober ble Nobelkomitéens digitale infrastruktur offer for det som ble omtalt som et avansert, målrettet angrep.
Hva er et avansert, målrettet angrep?
« Targeted threat ... a class of malware destined for one specific organization...» 1
"... a type of offensive action characterized by preplanned co-ordinated employement of firepower and manoeuvre to close with and destroy the enemy." 2
Tygg litt på formuleringene; «destined for one specific organization» og «preplanned coordinated employement of firepower»!
Dette er helt andre formuleringer enn de vi vanligvis hører når sikkerhet og trusler i tilknytning til internett omtales - Virus og andre «trusler» på internett treffer tilfeldig - De er sjelden ment spesifikt for hverken Kari eller Ola men treffer tilfeldige maskiner som kanskje ikke er fullgodt beskyttet. Er de en trussel eller en risiko?
Hvorfor er det spesiellt at Nobelkomitéen blir en specific organization destined to be targeted by a preplanned and coordinated attack?
Totalbildet av et målrettet angrep er bygget opp av noen faktorer som kanskje kan hjelpe oss å forstå bedre. En slik angriper har:
  • Kapasitet. Teknisk kapasitet og nødvendig kompetanse til å anvende denne
  • Evne til å lede angrepet (planlegge og gjennomføre) - utøve "kommando og kontroll", K2.
  • VILJE til å projisere sin kapasitet og evne mot et mål.
  • Sist men ikke minst: EN INTENSJON! Angriperen ønsker å oppnå noe! 
Noen har omtalt angrepet på Nobelkomitéen som en "script-kiddie-like"-sak 3 men la det være helt klart - dette er mer alvorlig enn som så! Denne angriperen er ikke en «(usual) cyber criminal» på jakt etter profitt.
Hvis ikke profitt, hva er da angriperens intensjon?
Jeg kunne selvsagt vært forsiktig med å legge for mye i ordene «avansert» og «målrettet» men jeg antar at Aftenpostens kilde, Frank Stien i Telenor Security Operations Center (TSOC) i Arendal, har mer enn en indikator på at dette er riktig betegnelse på dette angrepet.
Jeg tror ikke TSOC bruker slike ord tilfeldig - Spesiellt i en sak der man i tillegg har funnet det nødvendig å varsle Nasjonal Sikkerhetsmyndighet (NSM) og dennes underbruk Norwegian Computer Emergency Response Team, NorCERT. TSOC og andre i Telenor har nok diskutert lenge før man har valgt denne formuleringen!
Og hvordan reagerte NSM?
– Vi gjør ikke noe spesielt, men følger med på sidene til Nobelinstituttet, sier informasjonssjef Kjetil Berg Veire i NSM til NTB.
Det er NorCERT, Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon, som følger opp datasikkerheten i Norge. Organisasjonen drifter og organiserer et nasjonalt sensornettverk på internett for å forebygge og informere om alvorlige trusler på internett.
Nobelkomitéen kan neppe kategoriseres som samfunnskritisk infrastruktur men er i fjerde kvartal hvert år en av Norges viktigste internasjonale profiler. Det internasjonale samfunn har sannynsligvis betydelige problemer med å skille mellom Nobelkomitéen og det offisielle Norge (bl.a. utnevner Stortinget komitéens medlemmer, store deler av regjering og storting deltar på prisutdelingen etc etc).
Minst en fremmed stat - en svært kapabel i tillegg - har oppfattet årets fredspristildeling (til Liu Xiaobo) som en en pris fra den norske regjering, ikke en pris fra Nobelkomitéen.
Mot dette bakteppet; Hva betyr et angrep på Nobelkomitéen? Hvilken intensjon har angriperen?
Og NSM gjør ikke noe spesiellt! (men de la ut en sak om HVORDAN du blir angrepet, ikke hvorfor...)
Jeg har forsøkt å dykke ned i hva NSM og NorCERT er og kommet til følgende:
NSM, med sine ca 130 ansatte, fyller mange viktige funksjoner knyttet til nasjonal sikkerhet så som bl.a. informasjon, personkontroll og kryptoforvaltning. NSM som sådann er ikke problemet - problemet heter NorCERT!
NorCERT består av ca 20 personer - Muligens forsterket med et antall vernepliktige (!) - og bemanner et «Operasjonssenter». Operasjonssenter høres imponerende ut: Til enhver tid bemannet med minst tre personer: En hendelseskoordinator, en analytiker og en vakthavende.
For drift 24/7/365 hevdes det fra faghold at man må ha mellom seks og åtte skift for å drive iht Arbeidmiljøloven. HELE NorCERT er med andre ord opptatt med drift av operasjonssenteret... tre personer er på jobb, resten har pålagt fritid. Hvem skal da utøve NorCERTs andre funksjoner?
Hvorfor var det Telenor som avdekket angrepet på Nobelkomitéen, ikke NorCERT?
NorCERT som til enhver tid skal ha et oppdatert teknisk trusselbilde, som skal varsle om alvorlige angrep, trusler og sårbarheter, NorCERT som skal koordinere respons på alvorlige IT-sikkerhetsangrep mot viktig infrastruktur (hvem drifter serverne for Nobelkomitéen?), NorCERT som skal forebygge alvorlige angrep, og til slutt:
NorCERT som skal innhente informasjon om alvorlige sikkerhetstruende hendelser på Internett!
Men NSM/NorCERT «gjør ikke noe spesiellt...»
Når ble NSM/NorCERT varslet av TSOC og var angrepets omfang kjent på det tidspunktet?
Før omfanget var kjent må angrepet uansett falle inn i kategorien «alvorlige sikkerhetstruende hendelser på Internett» som potensiellt kunne ramme det offentlige Norge - hvor IT-sikkerhetskompetansen ikke kan sies å stå til troende. (DSS og FAD var nylig gjenstand for en smule oppmerksomhet knyttet til datasikkerhet – Av en alvorsgrad som ministeren mener departementet ikke er i stand til å håndtere selv!)
Når reagerte NorCERT - Hvor lang tid tok det fra TSOC varslet til NSM bestemte seg for ikke å gjøre noe spesiellt - Det å ikke gjøre noe er også en beslutning som bør gjennom de vanlige beslutningsprosessene! Innhentet NorCERT informasjon fra TSOC?
TSOCs nyhet ble etterhvert postet på bl.a. SANS4 og var «the talk of the town» den dagen. NorCERT, med tre personer på vakt hele døgnet, må ha fattet interesse for angrepet på Nobelkomitéen!


Nok om angrepet. NorCERTs bemanningsbilde og offentlige profil peker i retning av at organisasjonen er en IT-driftsrådgiver som fokuserer på virus-signaturer, patching og brannmurer, organisasjonen blir ikke trusselrettet, ikke fremadrettet - Den blir ikke forebyggende men reaktiv - Operasjonssenteret blir et reaksjonssenter! Og utøver funksjoner som kommersielle aktører gjør bedre og med større troverdighet. 

Trenger vi NSM/NorCERT?
God helg!
2 APP-6A - Military Symbols for Land Based Systems
3 http://techblog.avira.com/2010/10/27/new-firefox-exploit-in-the-wild/en/  "It is currently unclear why obviously a script-kiddie-like malware abuses such a valuable 0-day vulnerability; usually cyber criminals abuse them for profitable malware."
4 http://www.sans.org/

onsdag 20. oktober 2010

Har Forsvaret et holdnings- og verdiproblem?

De siste ukers oppslag om krigerkultur, verdier og holdninger i Forsvaret har fått oppmerksomhet langt utover det som er vanlig for forsvarssaker. I en såpass stor organisasjon som Forsvaret (23 000 ansatte iht mil.no) vil det alltid være mindre deler som har en (sub-)kultur som ikke er helt synkron med det offisielle verdisettet. Å tro at alle deler av organisasjonen er på samme rutenett som ledelsen er like virkelighetsfjernt som å tro at ledelsen alltid har komplett situasjonsforståelse ned til miste, lille detalj.

Kompanienheten Mek4 i Telemark Bataljon (TMBn) er trukket frem som et mulig eksempel på at Forsvaret har et problem med ukultur, dårlige holdninger og verdier som ikke er i overenstemmelse med Forsvarets normer. Det er ingen tvil om at f.eks. bruk av dødningehoder vitner om en svak vurderingsevne i Mek4/TMBn. Signalet til den afganske befolkingen kan tolkes til "her kommer døden" - neppe et samfunnsbyggende budskap!
Sjefen i Mek4 major Rune Wenneberg har da også beklaget og selv innrømmet at han ikke har utøvd det best mulige skjønn i denne saken. Det er greit, det er menneskelig å feile.

Because if I am to be hanged for it, I cannot accuse a man who meant well, and whose error was one of judgement, not of intention.
-- Arthur Wellesley (The Duke of Wellington) om general Craufurd etter '(the) Combat of the Coa' i 1810.


Majorens feil går på vurderingsevne, ikke intensjon og han deler dermed skjebne med Craufurd. Dette kan skje selv den beste og hvis du som leder ikke innser det - Finn deg en annen jobb!

Tilbake til spørsmålet, har Forsvaret et holdnings- og verdiproblem?
Forsvarets ansatte (krigsskolekadetter m.fl.) har selv tatt opp at Mek4/TMBn kanskje står for verdier og holdninger som ikke er i henhold til norm! Så ut fra denne enkle observasjon kan man kanskje strekke seg til å svare at «nei, Forsvaret har ikke et problem i så måte»!
Men Forsvarets ledelse gikk umiddelbart ut - til tross for den urgamle militære sannhet om at «den første meldingen er alltid suspekt» - og kritiserte soldatene.
Her burde Forsvarssjefen stått strak for sine medsoldater. Men den gang ei, soldatene ble vendt ryggen! «Ta vare på dine menn» het det en gang... I denne saken kan det se ut som om generalen har noe å lære fra majoren!

Det skal også sies at det i dagens medievirkelighet ikke ville vært akseptabelt at Forsvarssjef og minister unyansert forsvarte det inntrufne! Forsvarets ledelse havnet i en «Damned if you do and damned if you don’t» situasjon.
Det samme kan også sies om Mek4, for de har også bommet.

Kan Wellingtons uttalelse også gjøres gjeldende for Forsvarets ledelse?

Kanskje!

Men det må stilles strengere krav til ledelsens vurderingsevne enn til Mek4!

Et interessant spørsmål i sakens anledning er:
Hvorfor kommer denne saken i det hele tatt overraskende på Forsvarets ledelse?
«Alle» vet at røft språk og symbolbruk alltid har vært og alltid vil være tilstede i militære avdelinger - og spesiellt i krig!

Har man ikke en medieplan som tar høyde for utforutsett adferd i Forsvaret? Man må leve i et veldig politisk korrekt miljø dersom slike hendelser ikke står på «kan hende»-listen: Og dersom den hadde stått der burde man 1) definert tiltak for å redusere risikoen til akseptabelt nivå og 2) lagt en plan for hva man gjør dersom det allikevel inntreffer?

Vi har i denne saken sett en organisasjon som tar sine verdier og holdninger på alvor. En organisasjon som IKKE lider under noen ukultur: Organisasjonen har både varslet om bekymringsfulle uttalelser og demonstrert vilje til å komme til bunns i saken.

De som har diskutert lederskap med meg vet at jeg setter lederens adferd i sentrum; Det er ikke hva lederen mener, tror eller tenker om seg selv som definerer vedkommende som leder. Det eneste som definerer en leder er de adferder/adferdstrekk som omverdenen kan observere!

I denne saken har Forsvarets øverste ledelse (FMIn og FSj) gjennom sin adferd demonstrert en manglende tillit til sitt eget personell. De har ikke vurdert saken raskt nok, trygt nok eller grundig nok. Samtidig har de vist en beslutningsvilje som ikke har reflektert erfaring, modenhet, fremforsynthet og tillit til egen organisasjon.

Og hva skjer når en leder ikke har tillit til sin egen organisasjon?

Det kan synes som om sub-kulturen først og fremst finnes i Forsvarets øverste ledelse!

tirsdag 19. oktober 2010

Endelig - Bloggen er aktiv

Så har jeg endelig kastet meg på bloggbølgen - Ikke akkurat som «early adaptor» men dog; jeg er i gang.

Hva vil du finne her?
Bloggen er først og fremst tenkt brukt for å dele observasjoner og tanker omkring lederskap, adferd, tenkning og beslutninger.
Noe vil være opplagtheter, noe vil sette tankene i sving og noe vil forhåpentligvis provosere. Fint om noen har nytte av det jeg skriver men på ingen måte en forutsetning fra min side!
Jeg har selvsagt også en ambisjon om at det jeg skriver skal gjøre potensielle kunder nysgjerrige på next action!

Temaer? Alt som har med lederskap å gjøre! Godt lederskap, dårlig lederskap, uklart lederskap - Det dreier seg om adferd! Lederen kan, som jeg har uttalt utallige ganger, mene hva han eller hun vil om sitt eget lederskap men det er og blir lederens observerbare adferd som definerer vedkommende som leder - Helt uavhengig av hva lederen selv mener.

Jeg regner også med at innleggene ikke vil være ensidig lederskapsorientert men bevege seg langs aksen mellom lederskap (leadership) og ledelse (management).

Den som følger med får se...