Microsoft har været alt for længe om at revidere sin egen opfattelse af, hvad der er vigtigt i software. Det mener Morten Strunge Nielsen, der anses for en af de største danske kendere af Microsoft.
- Microsoft-produkterne er ikke sikre nok, fordi man har fokuseret på funktionaliteter frem for sikkerhed. Det kedelige ved sikkerhed er, at det altid vil være det modsatte af funktionalitet, siger han.
Han har netop udgivet en bog om sikkerhed i Windows-miljøer, som udgør et dagligt arbejdsredskab i cirka 98 procent af danske virksomheder.
Microsofts Windows-software er kommet under voldsom beskydning i medierne, i takt med at orme og virusser har gnavet sig vej ind i virksomhedssystemer og private pc'er på grund af diverse sikkerhedshuller.
Tager tid at vende skuden
Problemerne er ikke opstået fra dag til dag, og en markedsledende softwareproducent kan ikke tillade sig at ignorere sikkerheden så længe, som Microsoft har gjort. Derfor mener Morten Strunge Nielsen, at det er fair at skyde på softwaregiganten for den fejlslagne sikkerhedsstrategi.
Men han mener også, at Microsoft har taget nogle meget store skridt i den rigtige retning med blandt andet Safe Computing-initiativet og en række tiltag, som først vil se lyset med udgivelsen af Longhorn-versionen af Windows tidligst i 2006. Men det tager meget lang tid at vende en skude, der så længe hellere har sejlet ud på nye eventyr end mod den sikreste havn.
- I de nye produkter forsøger Microsoft at tænke sikkerheden ind, men kodebasen er så stor, at det ikke er så lige til. Det vil mindst tage de næste 10 år, siger Morten Strunge Nielsen.
Han mener klart, at der er tale om store problemer, når eksempelvis servicepakkerne til Windows XP indeholder mere end 30 alvorlige sikkerhedsrettelser ad gangen.
- Det tager en helvedes tid, og er man sat op i et usikkert miljø, kan man blive ramt af virus imens. Så hvis de ikke kan nedbringe antallet af patches, så må de gøre det nemmere at installere dem, siger han.
Sikkerhed kommer indefra
Men alligevel mener Morten Strunge Nielsen, at det for virksomhederne er langt vigtigere at vende blikket indad, hvis man vil afværge IT-mæssige sikkerhedskatastrofer.
- Microsoft kan skydes meget i skoene, men det er ikke deres opgave at lære os om sikkerhed, siger han.
Det allerstørste problem, som Microsoft ingen indflydelse har på, er nemlig ifølge Morten Strunge Nielsen, at alt for få virksomheder har udarbejdet en effektiv sikkerhedspolitik, og ikke har taget stilling til, hvad de egentlig har grund til at frygte.
- Den offentlige sektor har på mange måder det bedste sikkerhedsniveau, fordi de ved, hvad de beskytter sig imod. Og det er at havne på forsiden af Ekstra Bladet, siger Morten Strunge Nielsen.
IT-chefer får tæsk efter noder
I det private erhvervsliv tegner der sig et langt mere uensartet billede, som dog alligevel i grove træk viser, at fokus på sikkerheden øges med virksomhedens størrelse.
Morten Strunge Nielsen forstår ikke, at IT-cheferne accepterer at være skydeskive for alle bebrejdelserne, når det går galt - og der er ikke tale om "hvis" understreger han i bogen, som giver en konkret opskrift på at etablere en sikkerhedspolitik for Windows-miljøer.
- IT-cheferne har det ikke sjovt, for de får tæsk efter noder, når det går galt, siger han og påpeger, at de ender med at påtage sig et ansvar, som burde ligge længere oppe i hierarkiet.
I stedet må de tvinge ledelsen til aktivt at være med til at definere det sikkerhedsniveau, menneskeligt som teknisk, der passer virksomheden bedst. Og der findes ingen gylden standard, mener han.
- For nogle er det bedst at være helt åbne, og så have en god reaktiv politik, når det går galt, siger han.
Bogen "Sikkerhed i Windowsmiljøer" af Morten Strunge Nielsen er udgivet på forlaget Gordion.