Liggandes i tandläkarstolen i går såg jag den ena parallellen efter den andra passera där likheterna mellan en tandläkare och en nätsäkerhetsspecialist blev allt tydligare. Den första likheten är att de båda letar efter kända hål.
Inledningsvis vill jag poängtera att jag inte var bedövad i någon form utan tankarna var helt klara. Jag vill också inflika att jag har respekt för tandläkaren och den pina han eller hon kan utsätta mig som patient för. Detta är också några olikheter som jag fann i mitt dagdrömmande.
Mitt första tandläkarbesök som resulterade i ett nedslående resultat skedde i 10-års ålder. Tandläkaren hade upptäckt karies! Detta var det enda jag som 10-åring trodde att tandläkaren letade efter. Idag, ett antal decennium senare, är jag fullt medveten om att tandläkaren inte bara letar efter karies utan letar efter andra brister och sårbarheter som mina tänder och dess omgivning kan vara utsatta för. Denna insikt beror dels på den erfarenhet som en 10-åring har fått ett antal decennier senare, dels på resultatet av forskning inom området. Ser ni likheterna till nätsäkerhetsområdet?
De flesta av oss går till tandläkaren för en återkommande kontroll. Tandläkaren, med en arsenal av kunskap, erfarenhet och verktyg, kan på mycket kort tid se om vi har några kända brister i tänderna eller dess omgivning. Det samma gäller för flera, tyvärr allt för få, som exponerar resurser mot Internet. De anlitar en nätsäkerhetsspecialist, med en arsenal av kunskap, erfarenhet och verktyg, som på mycket kort tid kan se om det finns några kända brister i de exponerade resurserna eller dess omgivning. Gemensamt är inte bara den återkommande kontrollen, utan även att vetskapen om att verktyg har en underordnad betydelse framför såväl kunskap som erfarenhet.
Tandläkaren hittade inte oväntat en del att anmärka på i olika allvarlighetsgrader. En parallell jag fann här är sättet att bedöma anmärkningar. Tack och lov framförde tandläkaren inte några anmärkningar av typen högrisk, men några anmärkningar som kan kategoriseras som medium- eller lågrisk. En kategorisering som är mycket vanlig i nätsäkerhetssammanhang.
Slutligen såg jag en parallell som inte är helt ovanlig. En del av de anmärkningar jag delgavs försökte jag sopa under mattan. Likt en struts gömde jag huvudet i sanden. Det bästa som kan hända är att jag får samma anmärkning nästa gång, det näst bästa är att anmärkningen har ändrats från lågrisk till medium- eller högrisk. Det sämsta, och där kommer strutsbeteendet in, är att den upptäckta sårbarheten nyttjas av någon och det i sin tur resulterar i en skada som både blir kostsam och smärtsam. Det kan väl aldrig hända mig?
I nästa alster kanske ni får läsa parallellen med bilbesiktningen? Skämt åsido, den parallellen drar ni säkert bättre själva. Däremot, nästa gång ni ligger i tandläkarstolen för kontroll, kan ni fundera på när ni kontrollerade era exponerade resurser mot Internet senast. Lägg där till att det som sker med en tand på ett år kan ske över en natt i ett exponerat system. Ändå går fler till tandläkaren och framför allt betydligt oftare, än vad de kontrollerar sina exponerade resurser mot Internet.
© 2004 Thomas Nilsson, Certezza AB
Thomas Nilsson
