Sikkerheden i it-systemer bliver ikke bedre, men værre over tid, til trods for, at der hele tiden kommer nye sikkerhedsprodukter på markedet.
Det mener den amerikanske it-sikkerhedsekspert Bruce Schneier, som onsdag talte på Dansk IT's årlige konference om it-sikkerhed.
Bruce Schneier har udviklet flere anerkendte krypterings-algoritmer, skrevet adskillige bøger om IT-sikkerhed og er grundlægger af selskabet Counterpane, der kombinerer fysisk og elektronisk overvågning af netværk.
- Sikkerhedsprodukterne svigter, antivirusprodukterne virker ikke, siger Bruce Schneier.
- Selv om der bliver ofret millioner i research, er det stadig gammelkendte problemer som buffer-overløb, vi kæmper med - og de har eksisteret lige så længe som internettet, forklarer han.
Offeret bliver anklaget
Ifølge Bruce Schneier bliver det hele tiden lettere for selv uøvede hackere at forvolde angreb, samtidig med at ødelæggelserne spredes hastigere og hastigere.
Han finder det urimeligt, når en sikkerhedsbyrde, som skyldes fejl i software, væltes over på brugerne.
- Microsoft vil sige, "det er din egen skyld, at du blev angrebet", hvis man ikke har installeret alle patches. Men det er nonsens, bullshit. Microsoft installerer jo ikke engang selv alle sine egne patches, fremhæver Bruce Schneier.
Han kunne derfor ikke drømme om at kræve af kunder, at de installerer alle de sikkerhedsrettelser, der kommer fra softwareselskaberne.
Hellere features end sikkerhed
Dels mener han slet ikke, at det er realistisk at forvente, at virksomheder bruger tid på at udvælge de rette patches, teste, om de har utilsigtede virkninger på andre systemer, og dernæst installerer dem på alle systemer.
Dels har han bygget sin egen forretning på en model, hvor eventuelle angribere opdages, når de er undervejs, og derefter bliver ekspederet ud af systemerne.
Når kompleksiteten i software stiger, skaber det uvægerligt flere sikkerhedsproblemer. Derfor vil it-systemer, som kan løse flere problemer for brugerne, også være mindre sikre. Og når softwareselskaberne skal vælge mellem to sider af det paradoks, vinder kompleksiteten.
- Vi vil aldrig høre Microsoft stille sig op og sige: Her er det nye operativsystem, det kan færre ting end det forrige, men det er mere sikkert, siger Bruce Schneier.
Problemet forværres efter hans mening af, at softwareproducenterne ikke bliver stillet til ansvar for sikkerheden i deres produkter.
- Hvis bilproducenterne ikke blev stillet til ansvar for deres produkters sikkerhed, så ville vores biler køre meget hurtigere og være udstyret med tv, telefon og en masse andre smarte features, sammenligner Bruce Schneier.
Kun økonomiske hensyn tæller
Han mener, at softwareselskaber som Microsoft udelukkende ser på, hvad der giver økonomisk mening i forhold til softwareudvikling. Begynder det at regne med sagsanlæg, vil tingene ændre sig.
- Men også den senere tids dårlige omtale har skadet Microsoft. Man ser flere kontrakter gå til Linux, og selskabets aktier har lidt under det. Så på sin vis klarer markedskræfterne det af sig selv, siger Bruce Schneier.
Counterpane er repræsenteret i Danmark via et samarbejde med selskabet Bridicum, som kalder sig selv "den digitale vægter" og leverer 24 timers person-overvågning af it-systemer. Blandt Bridicums kunder er Dansk Tipstjeneste, som får overvåget sine onlinesystemer via Counterpanes systemer.
Bruce Schneier udgiver hver måned nyhedsbrevet Crypto-Gram, der beskæftiger sig med sikkerhed - både fysisk og elektronisk.
