Artikel top billede

DK-Cert: Sådan bliver banksystemerne mere sikre

Klumme: Det giver gevinst at tænke sikkerheden ind i systemudviklingen lige fra begyndelsen. Nu kommer bankverdenen med på vognen, skriver Shehzad Ahmad fra DK-Cert i denne klumme.

Fremtidens netbanker bliver mere sikre. Det kan blive konsekvensen af en af de mindre omtalte nyheder fra den seneste måned.

Det er i denne tid 10 år siden, at Microsoft begyndte at tage sikkerhed alvorligt.

Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.

Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner.

Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.

Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl.

Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.

Sikker finanssoftware

Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder.

Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.

Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker.

En god del af indholdet er taget direkte fra SDL.

En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.

Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.

I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.

Både SDL og BITS-rammeværket kan hentes gratis.

Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem.

Der er god inspiration at hente - også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.

Microsoft er blevet meget bedre til sikkerhed

Jeg kom til at tænke på SDL, da jeg så den seneste årsrapport fra det danske sikkerhedsfirma Secunia.

Rapporten viser, hvilke sårbare programmer brugere har installeret.

I 2006 stammede 54 procent af sårbarhederne fra Microsoft-programmer.

I 2011 var tallet faldet til 22 procent - 12 procent for styresystemet og 10 procent fra øvrige Microsoft-programmer.

Meget positivt

Det er meget positivt, at Microsoft i den grad har nedbragt mængden af sårbarheder.

Samtidig er funktionen til automatisk opdatering også med til at sikre, at sikkerhedshuller bliver lukket hurtigere end før.

Men tallene fortæller også en trist historie.

Mængden af sårbarheder er nemlig stigende.

Og den store udfordring ligger nu hos Microsofts konkurrenter og partnere.

De tegnede sig for 78 procent af sårbarhederne på brugernes pc'er.

Nogle softwarehuse har allerede gjort noget ved sagen. Adobe, hvis programmer har været en lige så stor sikkerhedsmæssig katastrofe som Microsofts tidligere var, har indført en sikker udviklingsproces.

Ved at bruge sandkasseteknologi har de effektivt bremset udnyttelsen af sårbarheder i Adobe Reader X. Nu er samme teknologi på vej ind i Flash til Firefox.

Opdatering tager ressourcer

Softwarehusene har imidlertid det problem, at deres programmer ikke opdateres automatisk via den indbyggede funktion i Windows.

Derfor er de nødt til selv at udvikle opdateringsfunktioner.

Det sker også. Men det medfører, at der skal køre endnu flere programmer på pc'en: For hvert eneste installeret program skal der køre et program, som tjekker, om der er kommet opdateringer til det.

Det kan gøre computeren langsommere.

Jeg ville derfor ønske, at der kunne udvikles en fælles infrastruktur for softwareopdateringer.

Desværre har Microsoft tidligere afvist at lukke op for tredjepartsprogrammer i Windows Update.

Indtil det sker, kan jeg anbefale, at man bruger et værktøj til at tjekke, at ens programmer er opdateret.

Til enkeltstående pc'er er der gode, gratis løsninger, som oven i købet er danskudviklede.

Der findes også løsninger til at tjekke alle computerne på en virksomheds netværk.

Sikre udviklingsmetoder vil ikke fjerne alle sårbarheder. Men de kan nedbringe antallet af alvorlige sårbarheder og hjælpe til, at fejlene findes og rettes hurtigere.¨

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere