Undrar om den här sajten har tillräckliga inmatningskontroller? Undrar om det där kortet är manipulerbart? Undrar vad åtkomst till det där öppna reglersystemet får för konsekvenser? Detta ständiga letande efter sårbarheter verkar vara en alltid pågående och högst naturlig process i min och mina kollegors hjärnor. Ärligen har jag inte reflekterat nämnvärt över det. Det har för mig varit fullständigt självklart att när vi kollegor samlas, så väl professionellt som privat, gemensamt analysera sårbarheter i lösningar, system, infrastruktur, rutiner och annat som råkar passera. Tillsammans med mina kollegor är det för mig högst naturligt. Men, i min vänskapskrets inser jag att det ibland sticker ut…
Jag har i större grad försökt betrakta beteendet som en utomstående betraktare och en annan bild växer ibland fram. Det är inte svårt att uppfatta detta ständiga letande efter sårbarheter som negativa och kanske destruktiva tankar. Paranoid, skulle kanske någon säga. I samvaro med mina kollegor är dessa tankar allt annat än negativa och destruktiva. De är tvärtom oerhört stimulerande och bidrar i allra högsta grad till syftet att ständigt förbättra. Det kanske är den avgörande skillnaden, att syftet är just att förbättra. Förbättra verksamhetssystem, styrsystem, infrastruktur och alla andra IT-baserade lösningar som vardagen i allt större utsträckning kantas av, och har allt starkare beroende till.
Om denna läggning, eller kanske jag ska uttrycka det som passion, får fortsatt spelutrymme, gärna i den mest kreativa formen, så vågar jag påstå att det fortsatt leder till nyttor som sällan uppmärksammas. Vem uppmärksammar osårbara system, osårbara lösningar eller osårbara infrastrukturkomponenter. Vågar jag säga få eller ingen. Men, motsatsen brukar få omvänd effekt.
Det krävs inte mycket letande för att konstatera att missutnyttjade sårbarheter leder till massmedial uppmärksamhet, se bara på exemplet med attackerna mot Sony. Vi tror att illvilligt påvisande av funna sårbarheter kommer att öka på alla tänkbara sätt. Betänk det allt starkare beroendet till IT som samhället har och att antalet sårbarheter har långt ifrån minskat i IT-systemen. Vår uppfattning är att vi upptäcker allt fler och grövre sårbarheter som för den illvillige bara är knapptryckningar från att iscensätta en mer eller mindre krisartad händelse.
För att motverka att vi lever i allt starkare beroenden som kantas av IT-relaterade sårbarheter krävs att allt fler tänker utanför ramarna. Vad händer om jag matar in något oväntat i ett formulär som vi är på väg att publicera? Vad händer om jag… Tanken behöver tänkas oftare, inte minst i de utvecklingsprojekt som i tidsbrist genar så till den milda grad att varken acceptanstester eller penetrationstester hinns med innan release.
Din insats kan göra skillnad. Stor skillnad!
Thomas Nilsson
