Det går inte en dag utan att nya sårbarheter upptäcks. Inte sällan sårbarheter som funnits i decennier. Trots vetskapen om att det kryllar av sårbarheter, merparten sannolikt oupptäckta, utsätts system, resurser, infrastrukturkomponenter m.m. oroväckande ofta för exponering som är allt annat än genomtänkt.
Dagens Nyheters reportageserie ska ha en stor eloge för ovanligt bra journalistik i ämnet. Reportagen är inte alls så leverantörsplanterade som IT-journalistiken i stort är. Den har också fått gemene man att vakna till, men att så många beslutsfattare vaknat till först nu är väldigt oroväckande!
Vad gäller konsumentledet är det ingen nyhet att de lever i allt för god tro, å andra sidan bidrar de enskilt mestadels till en ringa riskspridning. Undantaget är flockbeteendet, såväl medvetet som ometvetet, som utgör en större risk. Jag hoppas att den gruppen inte somnar om allt för hastigt från sitt uppvaknande utan har dragit viss lärdom.
Mest skrämmande är att så många beslutsfattare inte förstår vilken risk de utsätter sin organisation för, och inte minst de informationstillgångar de har ansvar för. I flera fall är det dina och mina, kanske allra mest känsliga, personuppgifter. Det är minst sagt skrämmande.
Inom ramen för vår penetrationstestverksamhet lyfter vi dagligdags ut informationstillgångar, inte sällan känsliga, utan några större problem. Utan autentisering, utan åtkomsträttigheter, utan synliga spår. Listan över ”utan” kan göras sorgligt lång. Det ska poängteras att alla våra uppdrag sker under reglerade former.
Det ska också sägas att flera av uppdragen leder till regelrätt sårbarhetsrapportering enligt gängse normer där tillverkarledet ges viss tid att rätta till sina tillkortakommanden. Tyvärr är tillverkarledet allt för ofta nonchalant och kräver horder av bevisning innan de ens behagar att ta en dialog om funna sårbarheter. De borde skämmas tänker jag många gånger. Speciellt när det är tillverkarledets kunder som betalar för våra och våra branchkollegors insatser för att konstatera alla bristfälligheter i deras leveranser.
Mot bakgrund av att det som tillgängliggörs via media bara är toppen på ett isberg måste besluten fattas på betydligt bättre grunder än vad som sker idag. Kravställningen behöver lyftas ordentligt. Risk finns att det är allt för få som kan leverera vid en skärpt kravställning, men säger inte det i sig något om hur illa det faktiskt är? Jag hör kunder återberätta dialoger med tillverkarledet som får mig att rysa av obehag. Inte sällan vill tillverkarledet lyfta fram sig själv som normerande på området. Tyvärr förstärks den bilden då svaga beställare sväljer tillverkarledets alla argument på hur de möter kraven på att hantera exempelvis en känslig personuppgift.
Det är inte tillverkarledets sak att lösa det ansvar som är förenat med att hantera känslig information. Du är tyvärr tämligen ensam när det börjar blåsa och när informationstillgångarna så småningom hamnat i orätta händer på grund av ogenomtänkta beslut. Ansvaret är och förblir ditt.
Dags att tänka om! Det är dags att börja ställa krav och agera utifrån det faktum att vi lever och verkar med oerhört många IT-relaterade bristfälligheter. Tro inte att nirvana någonsin kommer att infinna sig. Den allt snabbare utvecklingstakten talar tvärtom i motsatt riktning. Hantera inte känsliga informationstillgångar som om det vore publika, hantera heller inte publika informationstillgångar som om det vore känsliga.
Thomas Nilsson
