Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 30. januar 2004.
Blaster og Sobig gav lydhørhed i top og bund over for it-sikkerhed. Men der skal sandsynligvis en kæmpekatastrofe til, før der kommer lovkrav om sikker software og dermed sikkerhedsstandarder, mener flere.
De it-ansvarlige har omsider fået lydhørhed, når de taler om it-sikkerhed, men prisen har været høj. Nævn blot ord som Blaster og Sobig, og alle frygter, hvad de næste typer af angreb byder på. At de bliver værre, er ingen i tvivl om. Der er for længst gået sport i at få lammet flest mulige på kortest mulige tid.
I 2003 gik højt respekterede firmaer i både ind- og udland som bekendt i knæ som følge af blitzangreb med ondartet kode. Oveni kommer, at de helt dominerende banker herhjemme gav og giver omverdenen flere klokkeklare illustrationer af, hvor sårbar forretningen er over for forstyrrelser i it-driften.
Den pludselige lydhørhed fremhæves af en række af de it-chefer, der var med til at sætte sikkerhed øverst på 2004-dagsordenen i Dansk IT's undersøgelse, som omtales nærmere på side 10.
- Folk er blevet mere klar over, hvad dårlig sikkerhed kan medføre, både brugere og topchefer, unge som gamle, siger en af it-cheferne, Michael Bo Larsen, koncern it-chef for Roulunds Fabriker. Koncernen, der producerer gummiprodukter såsom kileremme og transportbånd, har datterselskaber i 16 lande.
It-chefen kom til det A.P. Møller-ejede selskab for et år siden og har tidligere arbejdet for vinduesfabrikken Velux samt på den anden side af bordet, nemlig hos softwareleverandøren Intentia. Og han hilser lydhørheden velkommen.
- Vi it-folk har forgæves forsøgt at råbe alle op i årtier, men i dag det faktisk lettere for mig at få bevillinger til it-sikkerhed end for eksempel til et nyt kundesystem, siger Michael Bo Larsen.
Forsvarsværker
It-ansvarlige verden over bruger kræfter på at få gjort systemerne til et fort, beskyttet på alle leder og kanter, men det er umuligt. For hvem er dum nok til at bolte vindebroen fast i opret tilstand, så ingen kan komme ind og ud? Og hvem er klog nok til at se folk an, så der kun ansættes engle?
Som Roulunds Michael Bo Larsen påpeger, så er det store problem, at forsvarsværkerne kun afværger de kendte angreb. Den tid, der går mellem, at der afsløres en usikkerhed i softwaren, til det nye forsvar er på plads, kan udnyttes ekstremt effektivt af hackerne.
Meget kan gøres internt via sikkerhedspolitikker og uddannelse, men ikke nok.
- Det eneste, der for alvor batter, er når softwareproducenterne omsider bliver professionelle nok til at udvikle sikker software, siger Michael Bo Larsen og tilføjer:
- Der findes jo viden om, hvorledes man kan udvikle langt mere sikker software, end det vi i dag bydes på. Men softwarefirmaerne har haft for travlt med at få nye versioner frem for at skaffe mere omsætning, på trods af, at vi kunder ikke har afkrævet dem nye versioner.
Forsinker software
Softwarefirmaerne har imidlertid læst skriften på væggen. Microsoft har for eksempel sat sine programmører på skolebænken igen, og produkter er bevidst forsinket for at få sikkerheden bedre på plads. Det gælder blandt andet styresystemet Windows Server 2003. Det store spørgsmål er så, i hvilken stand den næste generation af Microsoft-arkitektur, .Net Server, er, når den frigives.
Softwaregiganten har også skrevet et helt nyt kapital i bogen om sikkerhed ved at tage dusører i brug som våben mod ondartet kode. Foreløbig har Microsoft sat to gange en kvart million dollars på spil for at få identificeret og retsforfulgt bagmændene bag Blaster og Sobig.
Men koncernen får stadig skrammer i troværdigheden på grund af nyopdagede sårbarheder i den nuværende software. En af de seneste blev noteret bredt, og ikke så underligt. Sårbarheden gør det muligt på relativ enkel vis at ændre indholdet i et Word-dokument, der ellers er underlagt en password-beskyttelse. Perspektivet i, at hackere kan ændre i alt fra kontrakter til sikkerhedsforskrifter, var skræmmende.
Også i det mere idealistisk-indstillede open source-samfund giver hackere anledning til røde øren. For eksempel har kernen i Linux-styresystemet været udsat for angreb.
Digitalt Pearl Harbor
I USA tales om, at hvis sikkerheden nogensinde skal komme ordentligt på plads, så kræves, hvad der kaldes "et digitalt Pearl Harbor" med reference til skammens dag den 7. december 1941, hvor japanske militærfly sønderbombede den amerikanske flådestation. Militæret havde ikke evnet at opsnappe et eneste varsel.
Katastrofen, der skal ramme it-systemer, skal bevirke, at nedbruddet skal lamme samfundet bredt, langvarigt og med alvorlige økonomiske konsekvenser. Ellers batter det ikke siger debattører til det amerikanske CIO-magasin.
Som mulige årsager til katastrofen nævnes et terroristangreb eller et angreb styret af en slags loge for computereksperter, der søger spænding. Men katastrofen kan også forårsages af blot en kædereaktion af små hændelser, der til sidst får alt til at kollapse.
Debattørerne henviser til, at der typisk har skullet katastrofer til, før lovgivning og sikkerhedsstandarder kommer på plads. De små hændelser er ikke nok. Det illustreres for eksempel af det faktum, at selv om en softwarefejl i et fly sendte fire amerikanske marinesoldater i døden for fire år siden, gav det ikke for alvor genlyd. Ingen gik højlydt ud med krav om mere sikker software.
Titanic gav lovindgreb
Det er katastrofer i Titanic-størrelsesordenen, der skal til. Da Titanic gik på et isbjerg og sank i 1912, skyldtes det først og fremmest, at telegrafoperatørerne om bord fik varslerne om isbjerge for sent. Relæerne var for belastet af trafikken fra horder af glade radioamatører. Derfor blev der i 1912 gennemført en lovgivning om, hvem der måtte sende på hvilke bølgelængder.
Debattørerne nævner også, at der skulle et krak på Wall Street i 1929 til, før det amerikanske børstilsyn, Securities and Exchange Commission, blev født.
Nogle påstår, at der ikke kan lovgives for it, fordi teknologien er så meget anderledes end andre områder, der reguleres, men det samme blev sagt om olie, påpeger debattørerne. Først da lovgivningen kom på plads på oliefronten, kom der ordnede forhold inden for den begyndende olieindustri.
Og debattørerne nævner den senere lovgivning for medicinalindustriens dokumentationskrav, og den relativt nye regnskabslov, Sarbanes-Oxley, som opstod i kølvandet på Enron-regnskabsskandalen og de øvrige.
Efter lovgivning kommer typisk standarderne. På it-fronten vil de udgøre det længe savnede fælles, entydige sprog om it-sikkerhed. Og kunder vil i kontrakter kunne kræve, at sikkerhedstandarderne er overholdt.
Efterlyser erstatningskrav
Hos Roulunds it-chef Michael Bo Larsen vækker tankerne om det "digitale Pearl Harbour" en vis genklang.
- De mindre nedbrud batter sandsynligvis ikke. Man ser jo, at banker og andre kan overleve, selv om deres it-systemer er nede i flere dage. Der skal mere til, før der sættes ind med lovgivning.
Men Michael Bo Larsen mener også, at softwarebranchens totale ansvarsfraskrivelse har bidraget til miseren.
- Det er jo noget mærkeligt noget. Tænk hvis bilproducenterne kunne fraskrive sig ansvaret for bilens kvalitet. Det er jo forståeligt, at de ikke påtager sig ansvar for ulykker forårsaget af den måde, som chaufføren kører, siger Michael Bo Larsen.
Billedtekst:
Softwarebranchens totale ansvarsfraskrivelse for konsekvenser af fejl i software er en medvirkende årsag til, at de ikke har taget sikkerhed alvorligt nok, mener Michael Bo Larsen, koncern it-chef for Roulunds Fabriker. Virksomheden fremstiller kileremme, transportbånd og andre produkter af gummi.
Foto: Alex Tran