Artikel top billede

DK-Cert: Sådan bliver banksystemerne mere sikre

Klumme: Det giver gevinst at tænke sikkerheden ind i systemudviklingen lige fra begyndelsen. Nu kommer bankverdenen med på vognen, skriver Shehzad Ahmad fra DK-Cert i denne klumme.

Fremtidens netbanker bliver mere sikre. Det kan blive konsekvensen af en af de mindre omtalte nyheder fra den seneste måned.

Det er i denne tid 10 år siden, at Microsoft begyndte at tage sikkerhed alvorligt.

Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.

Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner.

Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.

Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl.

Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.

Sikker finanssoftware

Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder.

Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.

Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker.

En god del af indholdet er taget direkte fra SDL.

En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.

Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.

I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.

Både SDL og BITS-rammeværket kan hentes gratis.

Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem.

Der er god inspiration at hente - også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.

Microsoft er blevet meget bedre til sikkerhed

Jeg kom til at tænke på SDL, da jeg så den seneste årsrapport fra det danske sikkerhedsfirma Secunia.

Rapporten viser, hvilke sårbare programmer brugere har installeret.

I 2006 stammede 54 procent af sårbarhederne fra Microsoft-programmer.

I 2011 var tallet faldet til 22 procent - 12 procent for styresystemet og 10 procent fra øvrige Microsoft-programmer.

Meget positivt

Det er meget positivt, at Microsoft i den grad har nedbragt mængden af sårbarheder.

Samtidig er funktionen til automatisk opdatering også med til at sikre, at sikkerhedshuller bliver lukket hurtigere end før.

Men tallene fortæller også en trist historie.

Mængden af sårbarheder er nemlig stigende.

Og den store udfordring ligger nu hos Microsofts konkurrenter og partnere.

De tegnede sig for 78 procent af sårbarhederne på brugernes pc'er.

Nogle softwarehuse har allerede gjort noget ved sagen. Adobe, hvis programmer har været en lige så stor sikkerhedsmæssig katastrofe som Microsofts tidligere var, har indført en sikker udviklingsproces.

Ved at bruge sandkasseteknologi har de effektivt bremset udnyttelsen af sårbarheder i Adobe Reader X. Nu er samme teknologi på vej ind i Flash til Firefox.

Opdatering tager ressourcer

Softwarehusene har imidlertid det problem, at deres programmer ikke opdateres automatisk via den indbyggede funktion i Windows.

Derfor er de nødt til selv at udvikle opdateringsfunktioner.

Det sker også. Men det medfører, at der skal køre endnu flere programmer på pc'en: For hvert eneste installeret program skal der køre et program, som tjekker, om der er kommet opdateringer til det.

Det kan gøre computeren langsommere.

Jeg ville derfor ønske, at der kunne udvikles en fælles infrastruktur for softwareopdateringer.

Desværre har Microsoft tidligere afvist at lukke op for tredjepartsprogrammer i Windows Update.

Indtil det sker, kan jeg anbefale, at man bruger et værktøj til at tjekke, at ens programmer er opdateret.

Til enkeltstående pc'er er der gode, gratis løsninger, som oven i købet er danskudviklede.

Der findes også løsninger til at tjekke alle computerne på en virksomheds netværk.

Sikre udviklingsmetoder vil ikke fjerne alle sårbarheder. Men de kan nedbringe antallet af alvorlige sårbarheder og hjælpe til, at fejlene findes og rettes hurtigere.¨

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Bliv klar til AI Act: Det vil påvirke både din udvikling, drift og organisation

Fordelene ved at anvende kunstig intelligens bliver stadig mere udtalte, og både som virksomhed og myndighed er det i stigende grad uholdbart ikke at udforske mulighederne. Men der er også risici forbundet på den nye teknologi, og på dette formiddagsseminar ser vi på, hvordan verdens første regulatoriske kompleks – EUs kommende AI Act – adresserer behovet for en etisk, ansvarlig og kontrolleret anvendelse af AI.

20. august 2024 | Læs mere


Det Digitale Produktpas

Kom med og hør om, hvordan du kommer i gang med at sikre din virksomhed er klar til Det Digitale Produktpas. Vi sætter fokus på, hvordan du bliver klædt på til at få styr og struktur på dine data, samt hvilke krav du skal sætte til dine leverandører og andre i din værdikæde, for at sikre den nødvendige information er tilgængelig.

21. august 2024 | Læs mere


Cyber Security Summit 2024

På Cyber Security Summit får du indsigt i det aktuelle trusselslandskab, overblikket over de nyeste værktøjer og trends indenfor sikkerhedsløsninger, indsigt i de relevante rammeværktøjer og krav samt de bedste løsninger og værktøjer til at sikre effektiv drift og høj compliance.

27. august 2024 | Læs mere