Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 4. november 2005.
RSA COnference Regningen for sikkerhedsproblemer betales af andre end dem, der er årsag til den. Bedre it-sikkerhed kræver ændret opførsel fra softwareproducenterne og vore mødre, fremgik det af en debat.
Et teknisk perspektiv er ikke nok, hvis vi skal løse problemerne med it-sikkerhed. I stedet skal vi lære af den samfundsøkonomiske videnskab.
Det var hovedbudskabet i det foredrag, krypteringseksperten Bruce Schneier holdt på RSA Conference. Et enkelt begreb gik som en rød tråd gennem hans indlæg: Eksternaliteter.
En eksternalitet er en udgift, der betales af en anden end den, der er årsag til den. I lærebøger om samfundsøkonomi illustreres det ofte med et eksempel i form af en forurenende fabrik: Fabrikken forurener et vandløb. Beboerne langs vandløbet bliver syge. De får udgifter til lægehjælp og medicin. Fabrikkens forurening medfører altså en udgift, men det bliver ikke fabrikken, der skal betale den.
- De fleste udgifter i forbindelse med fejlslagen sikkerhed er eksternaliteter. Hvis et udbredt program har et sikkerhedshul, medfører det sikkerhedsproblemer for brugerne. Men de kommer selv til at dække udgifterne, mens softwareproducenten aldrig ser regningen, siger Bruce Schneier.
Som et andet eksempel nævner han, at mobiltelefonselskaberne gør sig stor umage for at forhindre, at folk kan stjæle taletid. Derimod gør de mindre for at sikre samtaler mod aflytning. Det skyldes efter hans mening, at udgifter ved aflytning er en eksternalitet, mens selskaberne direkte mærker udgiften ved stjålen taletid på pengepungen.
- Traditionelt er der to metoder til at udrydde eksternaliteter: Konkurrence og lovgivning. Gennem lovgivning kan man gøre eksternaliteten til en intern udgift, for eksempel ved at indføre et erstatningsansvar. Konkurrencen har vi allerede set virke: Udfordringen fra Linux har gjort Windows mere sikker, siger han.
Spørgsmålet om lovgivning og produktansvar var emnet for en animeret rundbordsdiskussion på konferencens sidste dag. Bruce Schneier lagde ud med at argumentere for produktansvar:
- I et system, hvor virksomheder handler ud fra et mål om at skabe profit, gør de naturligvis det, der er i deres egen interesse. De skal ikke opføre sig som velgørenhedsorganisationer. Derfor må vi ændre udgiften til sikkerhed fra at være en eksternalitet for softwareproducenterne til at blive en intern udgift. Men det er ikke let. Det vil medføre, at software bliver dyrere. Til gengæld betaler vi så for bedre sikkerhed, hvor vi i dag betaler angriberne, sagde han.
Harris Miller, der leder brancheorganisationen Information Technology Association of America, advarede mod risikoen for, at innovationen forsvinder, hvis branchen udsættes for lovgivning:
- Se bare på telebranchen! Der har I et eksempel på en stramt styret branche, og resultatet er manglende innovation og nytænkning.
Michael Colao, sikkerhedsansvarlig i investeringsbanken Dresdner Kleinwort Wasserstein, gav ikke Harris Miller ret i skrækscenariet om den forsvundne innovation:
- Investeringsbranchen er en af de mest regulerede, og alligevel er der masser af innovation. Men samtidig vil lovgivning medføre flere udgifter end det vil spare, hvis det ikke gøres rigtigt - og jeg kan ikke forestille mig, at alverdens regeringer bliver enige om en fornuftig måde at regulere det her område på, sagde han.
Bruce Schneier gav de andre debattører ret i, at der er udgifter ved at indføre lovgivning:
- Men der er udgifter ved alle mulighederne: For øjeblikket betaler kunderne. Hvis vi indfører produktansvar, går pengene til advokaterne. Jeg er ikke nogen fan af lovgivning, men jeg kan godt lide tanken om produktansvar. Det afgørende for mig er, at vi får fjernet eksternaliteten, ikke hvordan det gøres, sagde han.
Harris Miler påpegede, at det offentlige allerede har stor indflydelse på it-produkter i kraft af, at det er den største enkeltkunde. Hvis det offentlige stiller krav til leverandørerne, lytter de, sagde han.
Bruce Schneier argumenterede for, at ubegrænset innovation ikke nødvendigvis er det bedste, når man også skal se på sikkerheden.
- Software bliver stadig mere kompleks, og kompleksitet er en fjende af sikkerhed. Måske kunne vi lære af medicinalbranchen, hvor man har langsommere innovation, der er under skarp kontrol, sagde han.
Debatten kom også ind på andre end leverandørerne, for hvem sikkerhed er en eksternalitet: Debattørernes mødre.
- Problemet er ikke de store virksomheder, de har rimeligt styr på sikkerheden. Problemet er min mor og hendes venner, der ikke holder deres software opdateret, sagde Michael Colao.
- Det er endnu et eksempel på et økonomisk problem: Jeres sikkerhed er afhængig af min mors sikkerhed. Hvis hun har en usikker pc, bliver den misbrugt til at angribe andre. Men den udgift mærker hun ikke, den er en eksternalitet, svarede Bruce Schneier.
Boks:
Ti tendenser i it-sikkerhed
Bruce Schneier ser disse tendenser som fremherskende inden for it-sikkerhed:
1 Informationer har en økonomisk værdi.
2 Netværk er en kritisk infrastruktur.
3 Tredjeparter kontrollerer information.
4 Forbrydere trives på nettet.
5 Kompleksiteten øges hele tiden.
6 Langsommere sikkerhedsrettelser og hurtigere angrebsprogrammer.
7 Automatiserede orme bliver mere sofistikerede.
8 Vi kan ikke stole på bruger-pc'erne.
9 Slutbrugeren som angriber.
10 Lovgivningsmæssigt pres.
