Artikel top billede

Kære medier: Skru ned for sensationen

Klumme: Når vi informerer om nye trusler, skal vi undgå skræmmebilleder og dommedagsretorik, skriver Shehzad Ahmad i denne klumme.

"Eksperter: Det er et spørgsmål om uger, før Explorer-virus rammer danskerne."

Sådan lød en af overskrifterne om den sårbarhed i Internet Explorer, der var blandt de største sikkerhedshistorier i sidste måned.

Andre medier talte om "Kæmpehul i Explorer." Flere brugte ordet "virus."

Når sikkerhedseksperter opdager en alvorlig sårbarhed, stiller det krav både til os i sikkerhedsverdenen og til medierne. Vi skal i fællesskab sørge for at kommunikere ordentligt om sagen.

I dette tilfælde synes jeg, at nogle medier skruede rigeligt op for sensationen.

Ja, sårbarheden var alvorlig. Men der findes ingen virus, der udnytter den - forstået som et program, der automatisk spreder sig til sårbare computere.

Historien om et hul

Historien om hullet i Internet Explorer er denne:

I august var der meget fokus på et nyopdaget hul i Java. Det blev udnyttet aktivt til angreb.

Et af angrebene foregik fra en webserver, som en sikkerhedsforsker undersøgte nærmere. Her fandt han en mappe med nogle mystiske filer.

Det viste sig, at filerne udnyttede et hidtil ukendt hul i Internet Explorer.

Det skrev han om på sin blog. Dagen efter bekræftede Microsoft, at der ganske rigtigt var tale om en sårbarhed i Internet Explorer.

For at blive offer for sårbarheden skulle man altså besøge et websted, hvorpå der lå et program, som udnyttede den.

Der var ingen orm eller virus, der udnyttede den.

Det pågældende websted ser ud til at have været brugt i målrettede angreb. Det vil sige, at det sandsynligvis har ramt få, nøje udvalgte ofre.

Det skal folk vide

Samtidig med at sårbarheden blev kendt, udsendte folk fra Metasploit-projektet et angrebsprogram, der udnytter den.

Dermed blev det let at lave websider, der angriber besøgende med sårbare pc'er.

I Dk-Cert var vores udfordring derfor, at vi skulle formidle følgende oplysninger:

- Internet Explorer har en alvorlig sårbarhed.

- Den har hidtil kun været udnyttet til begrænsede angreb.

- Der er potentiale for, at den vil kunne udnyttes bredere.

- Man kan undgå at blive ramt, hvis man undlader at bruge Internet Explorer.

- Man kan beskytte sig ved at sætte sikkerhedsniveauet til "Høj" for zonen Internet.

Der manglede jo en oplysning

Der var også mere teknisk krævende beskyttelsesmetoder, men ovenstående var dem, som vi skønnede, at almindelige pc-brugere kunne håndtere.

De råd gav vi videre.

Og inden længe hørte jeg fra folk, der havde ændret sikkerhedsniveauet til "Høj."

Da de så opdagede, at deres netbank ikke virkede længere, satte de niveauet tilbage til "Mellem" - og var dermed ubeskyttede igen.

For det manglede jo en oplysning:

Hvis man vil bruge websider med aktivt indhold, efter at man har sat sikkerhedsniveauet for Internet-zonen til "Høj", skal man tilføje de websider til zonen Pålidelige websteder.

Vi vil få folk til at handle

Jeg nævner disse detaljer for at illustrere, hvor svært det er at informere dækkende om sikkerhedstrusler.

Det er nemt nok at sige: Katastrofe, verden går under!

Det er langt sværere at informere sagligt, så man får de nødvendige detaljer med, uden at det bliver uforståeligt.

Målet med kommunikationen er, at folk skal forstå, hvad truslen går ud på. De skal vide, om deres computer kan være i farezonen.

De skal vide, hvad de kan gøre for at beskytte sig.

Og allerhelst skal de også gøre det!

Udfordring vokser

At kommunikere virkningsfuldt om sikkerhedstrusler er en af de sværeste opgaver, vi sikkerhedsfolk har. Og den bliver større i fremtiden.

I dag er de fleste trusler stadig på pc-platformen.

Men vi har set de første eksempler på skadelige programmer til mobiltelefoner.

Det er kun et spørgsmål om tid, før der er sårbarheder i og trusler mod tavlecomputere, tv-apparater, harddiskoptagere, digitalkameraer, GPS'er og al den anden elektronik, vi omgiver os med.

Det stiller endnu større krav til os om at kommunikere sagligt, forsvarligt og forståeligt.

Når overdrivelse ikke fremmer

Til slut vil jeg indrømme, at jeg selv kan falde for fristelsen til at smøre for tykt på i min udmelding om en ny trussel.

Det er vi flere sikkerhedsfolk, der gør.

Årsagen er nok, at vi tror, det er nødvendigt at overdrive for at få opmærksomhed om en reel trussel.

I dag kan vi ikke klage over, at it-sikkerhed ikke får nok opmærksomhed. Så der er ingen grund til at overdrive, medierne skal nok dække de nye trusler.

Det er godt. Men både sikkerhedsbranchen og medierne skal blive bedre til at informere.

Vores mål skal være: Saglig, neutral og handlingsanvisende information, der får modtagerne til at handle.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Ministeriet for Børn og Undervisning.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere