”Vad gör du?” frågar hon. ”Jag läser en uppsats om Dynamic Protection Structures av B.W. Lampson publicerad 1969.” svarar jag. ”MmmMm… ååkej.” svarar hon. Och nu hamrar jag in sista spiken i samtalet. ”Det är en av många uppsatser, men en tidig sådan, om problematiken att skapa säkra exekveringar av datorprogram i ett fleranvändare- och resursdelat datorsystem.” utvecklar jag. Efter några sekunders tystnad svarar hon “… Är det okej om jag kollar på TV?”

Detta är ett inte helt ovanligt samtal hemma hos mig. När barnen sover och alla övriga husliga åtaganden är avklarade vill jag oftast få koppla av genom att läsa något… inte samtala, åtminstone inte just nu. Och det här med att läsa är ju inte helt enkelt eftersom det finns så mycket att välja från.

I det här inlägget tänkte jag förklara hur jag försöker hantera den ganska så oförlåtande tillströmningen av nyheter, artiklar, tjänster och produkter som alla syftar till att ge oss bättre cybersäkerhet. Det är ett inlägg om personliga principer.

Tjockt med information

Under de senaste åren tycker jag mängden information om cybersäkerhet har ökat avsevärt. Fler utbildningar, fler artiklar i tidningar och bloggar (som den här), fler tjänster och produkter, fler företag som menar att de är experter på ämnet. Branschen har blivit svårare att navigera. Jag skulle vilja beskriva läget som problematiskt eller kanske rentav stressande. Och det säger jag som heltidsanställd cybersäkerhetsspecialist med goda förutsättningar och möjligheter att hålla mig ajour.

I takt med detta ökande inflöde av information har jag också upplevt att ett behov vuxit sig allt starkare och tydligare. Jag måste bli bättre på att prioritera och kanske framförallt aktivt välja bort vad jag tar till mig. För att lösa det här problemet och tillfredsställa det växande behovet har jag försökt tydliggöra vad cybersäkerhet innebär för mig.

För mig handlar svaret delvis om personliga cybersäkerhetsprinciper.

Principiell cybersäkerhet

Principer. För att hantera informationsöverflödet och göra “rätt” prioriteringar i min arbetsvardag försöker jag arbeta efter några personliga principer. Dessa principer har vuxit fram ganska så naturligt men detta är första gången jag försöker sätta ord på dem.

Genom ett principiellt styrt cybersäkerhetsarbete får jag verktygen och möjligheten att fokusera på vad som är rätt för mig. Det ger mig vägledning när jag behöver prioritera mellan A och B.

Vilka är då mina principer?

Personliga principer

Den första principen handlar om att jag i möjligaste mån ska ha välunderbyggda rekommendationer och slutsatser. Och kan jag inte det ska jag på något sätt visa min osäkerhet eller var i slutsatserna det kan finnas utrymme att behöva tänka lite extra.

Den andra principen handlar om att se världen från en angripares perspektiv.  Det handlar om att betrakta verkligheten för vad den är, inte vad vi vill att den ska vara.

Låt mig förklara i några fler ord än så här.

Princip 1 – Objektiv, rationell och välunderbyggd cybersäkerhet

Det ska inte handla om min åsikt, eller uppfattning, om åtgärder för tillräcklig cybersäkerhet. Det ska handla om underlagen som ligger till grund för en tillräcklig cybersäkerhet. Objektiva underlag som i möjligaste mån försöker ta hänsyn till våra kognitiva fallgropar. Rationella underlag som undanröjer känlomässigt styrda agendor om “rätt” åtgärder. Underlag som förklarar på vilka data och information de baseras och var osäkerheten finns avseende slutsatser och rekommendationer.

Den här principen är egentligen inte särskilt kontroversiell men kan nog däremot upplevas som jobbig att efterleva. Den andra principen kan kanske däremot upplevas som mer kontroversiell.

Princip 2 – Se först din värld genom en angripares perspektiv, därefter genom ditt perspektiv

Den här principen har sina rötter i mitt arbete med att förstå och kartlägga hotbilder, vilka typer oönskade händelser som oftast drabbar organisationer osv. Det handlar om att förstå vad som driver “fienden” i cyberrymden och hur denna förståelse relaterar till vår verklighet.

Principen innebär bland annat att jag inte med gott samvete skulle kunna rekommendera att en organisation lägger resurser på en informationssäkerhetspolicy eller genomförandet av informationsklassificeringar, åtminstone inte initialt. Den yttre världen kommer inte vänta på att ansvar är stipulerade och fördelade, inte heller väntar den på att du försöker definiera skadenivåer för en given informationsmängd.

Ska du börja någonstans är det alltså inte där utan du ska först och främst förstå hur din värld ser ut genom en angripares perspektiv. På vilka sätt är ni intressanta för en angripare?

Observera att denna princip handlar om vad jag först bör tänka på. Det innebär inte att jag helt ska ignorera teoretiska hot eftersom de ännu inte existerar i verkligheten. Principen är en riktning, en första väg att gå och utforska.

Avslutande ord

Principerna jag nämner i det här inlägget är ett resultat av min förståelse för och uppfattning av essensen av cybersäkerhet. Det är ett ställningstagande, absolut. Men det är inte ett absolut ställningstagande. Min uppfattning är som en hypotes och kan givetvis falsifieras. Det är t.o.m högst troligt att den kommer göra det. Men någonstans måste jag få tro att välunderbyggda påståenden, rekommendationer och slutsatser leder till bättre cybersäkerhet.

Kanske föranleder dessa ord en diskussion och det välkomnar jag. Kanske förstärks min acceptans av hypotesen om hur ett effektivt cybersäkerhetsarbete ska bedrivas, eller så falsifieras den genom ny information och förståelse. Oavsett skulle det innebära att jag kan bedriva ett bättre och mer välgrundat cybersäkerhetsarbete, och det vinner väl ändå alla på?