NSA skadede tillid til USA, men gavner unge, danske sikkerhedsfirmaer

Tillid er den vigtigste valuta for en it-sikkerhedsleverandør, og den valuta blev devalueret for de amerikanske i kølvandet NSA-overvågningsskandalen. Om amerikanske softwareselskaber har indbygget en bagdør, som NSA kan snige sig ind gennem eller ej, er ikke afgørende. Tvivlen er der.

Den tvivl kan komme danske sikkerhedsleverandører til gode. Det kom frem på konferencen ”Cybersikkerhed – hvordan ruster vi os i Danmark?”, afholdt på DTU i Lyngby i dag. Dagens sidste programpunkt var en præsentation af fire yngre danske it-sikkerhedsfirmaer.

Forsvarsordre

Et af selskaberne var Dencrypt, som i øvrigt netop har fået en ordre fra det danske forsvar.

Dencrypt leverer kryptering af mobilsamtaler, målrettet brug i virksomheder og organisationer, altså ikke forbrugere.

”Vi har ingen bagdøre i vores software, og vi skal aldrig have det. Vi skal aldrig udlevere krypteringsnøgler eller kundedata. Løsningerne er bygget, så det ikke kan lade sig gøre,” fortalte Dencrypts administrerende direktør, Søren Sennels, på konferencen, der var arrangeret af ATV, DTU og Innovationsnetværket for Finans IT.

App, server og dynamisk kryptering

Firmaets løsning, der forudsætter en app på hver mobil samt en bagvedliggende server hos kunden, er baseret på kryptering udviklet og patenteret på DTU af professor Lars Ramkilde Knudsen. Der er tale som såkaldt dynamisk kryptering – krypteringen skifter form.

Der er i modsætning til almindelig kryptering ikke tale om samme nøgler til kodning/afkodning af signalet, ej heller samme metode – altså ekstra sikkerhedslag, der er svære at bryde.

Firmaets konkurrenter er især fra USA, Storbritannien og Israel. Tre lande kendt for efterretningstjenester med meget store beføjelser. Der er også andre konkurrenter, men med løsninger, der ikke er så lette at bruge, fordi der f.eks. kan være ekstra udstyr involveret.

Aflytning i Oslo og Stockholm

Dencrypt har på sin vis fået yderligere medvind grundet to uheldige hændelser. Alt tyder på, at mobiler brugt i det norske Stortinget og den norske statsministers lejlighed har været aflyttet og ligeså Sveriges regering.. Mobilerne er “lokket til” at koble sig på nært beliggende falske såkaldte basestationer, hvorefter samtalens indhold videre på telefonnettet kan aflyttes uhindret af bagmændene.

Men Dencrypt har dog også modvind.

”Vi hører for eksempel argumenter som ”Det, vi siger i telefonen, er ikke særlig vigtig”, og det er jo noget vrøvl,” siger Søren Sennels. Ifølge ham diskuterer folk masser af sensitive ting i telefonen, og det er gefundenes fressen for dem, der bedriver industrispionage.

De lokkende Cloud-tjenester

Hos et andet af firmaerne, der blev præsenteret på dagens konference, Sepior, påpegede den adm. direktør og medstifter Nicolaj Højer Nielsen ligesom Sennels, at NSA-overvågningen havde skadet tilliden til amerikanske leverandører og altså givet Europa en ekstra chance.

Hans firma er opstået i kølvandet på de særdeles populære Cloud-tjenester som f.eks. Dropbox, Google Apps og Microsofts One Drive. Tjenester, der benyttes til enkel deling af dokumenter og anden samarbejdsstøtte.

”Der er masser af Cloud-tjenester, man af sikkerhedsgrunde ikke må bruge i virksomheder, men som medarbejderne bruger alligevel, fordi det er så let. Men jo større disse tjenester bliver, jo større bliver interessen fra hackernes side,” siger Nicolaj Højer Nielsen.

Virksomhedernes sikkerheds-ansvarlige har al grund til at være nervøs for brugen af sådanne, mener han, men når brugen alligevel finder sted, kan der kobles en krypteringslag på. Dermed sikres de uploadede datas ulæselighed for andre, og den krypterering er, hvad Sepior står for. I en cloudbaseret løsning.

Styr på sikkerhedscertifikaterne

Det tredje unge firma, TrustSkill, har fokus på sikkerhedscertifikater – altså elektroniske garantier for, at sikkerheden er til stede. Her er det store amerikanske sikkerhedsselskab Symantec en af de største konkurrenter, men TrustSkill går videre med et dansk element, der også giver en stor fordel på hjemmemarkedet. Selskabet holder styr på NemID-sikkerhedscertifikater.

”Vi automatiserer udstedelse og fornyelse af certifikater, fortæller datalogen Anders Skovgaard, ph.d. fra Aarhus Universitet.

Hvad der sker, når der ikke er styr på sikkerhedscertifikaterne, har de fleste af os nok set. Gælder det f.eks. SSL-certifikatet (Secure Socket Layer – den sikkerhed, der signaleres ved s’et i https://), kan følgende skilt dukke op, hvor man klikker sig ind:

”The sites security certificate has expired.” Videre kommer man ikke. Der er lukket for adgang.

”Da det sket for DSB, måtte man tilmed aflyse tog”, fortæller Skovgaard fra TrustSkills.

Jeg har selv tidligere skrevet om, hvorledes der må have været røde øren hos en mindre bank, da det hændte.

Ifølge Skovgaard ses f.eks. Google og Twitter blandt dem, man har hjulpet med at få et overblik og styring. Korrektion d. 16.1.15: Anders Skovgaard oplyser, at han hjalp Google og Twitter med tjek af sikkerhedsproblemer, men at det var før, han blev ansat hos TrustSkills.

Beskyttelseskåbe for websessioner

Det fjerde selskab, der blev præsenteret, har lidt flere år på bagen. Det er CodeSealer, hvis stifter Martin Boesgaard allerede i 2006 begyndte at arbejde med sikkerhed og da med fokus på online banktjenester. Nu er det blevet til CodeSealer og til udvikling af en slags beskyttelseskåbe for websessioner og transaktioner – en såkaldt Web Session Firewall.

”I dag er forventningen af 80 procent af alle devices har en form for virus. Vores udgangspunkt er, at vi er ligeglade. Vi pakker funktionen ind, men holder øje med, om der sker noget,” siger Tony Rabjerg, der har ansvar for forskning og udvikling hos CodeSealer.

Selskabet tjekker også, om det, der vises på skærmen, er nøjagtig lig det, der kommer fra serveren, og varsler, hvis der er uoverenstemmelser.

Godt med grøde

Det var godt at høre, at der er grøde også i udviklingen af danske it-sikkerhedsfirmaer. Der har over tid været mange, men flest med fokus på tjenester, få med bemærkelsesværdige produkter, få der har evnet at nå ud over Danmarks grænser.

Det bliver interessant at følge dem, og chancerne har vel næppe været større end nu, hvor alle snakker om “cybersecurity” – om industrispionage, kriminalitet og lyttende magter.

Lige nu taler alle om enten behov for mere kryptering – eller som Storbritanniens premierminister David Cameron – på sin vis mindre. Han mener tilsyneladende, at app-producenter skal give efterretningstjenester adgang til krypteringsteknologien, så de kan lytte med.

Lykkes han med det, må DenCrypt sige farvel til det britiske marked. Men det kan vel i sig selv blive et ekstra salgsargument:-)