Snakeoil.dk's juleønsker for 2002

Publiceret: 14. november 2002
Revideret: 15. november 2002

Kære virksomhedsledere og politikere.

Julen er jo tiden hvor man skal være rare ved hinanden, og i år har vi brug for, at I er meget rare ved os. Derfor følger en liste over vores juleønsker. Det er meget at forlange, men vi vil faktisk gerne have alle ønskerne opfyldt, og helst i det kommende år. Vi har nemlig flere ønsker end disse!

Vi ønsker os, at virksomheder og organisationer påtager sig ansvaret for at sikre deres IT systemer. Det skulle egenligt være sket for nogle år siden, og det bekymrer os, at vi bliver nødt til at fremsætte juleønsker om forbedring.

Vi ønsker os, at virksomheder og organisationer køber sig til kompetent råd og vejledning før og under design, udvikling og idriftsættelse af kritiske systemer eller systemer med høj risiko for misbrug. Erfaringen viser, at mange systemer sælges og sættes i drift selvom der ikke er gjort en minimumsindsats for at sikre imod fejl på et helt banalt niveau.

Vi ønsker os, at virksomheder som tilbyder interaktive, følsomme tjenester beskriver deres sikkerhedsprocedurer offentligt, samt giver kunderne mulighed for at anmelde sikkerhedsfejl eller stille spørgsmål om samme. Forbrugere med IT kundskaber kan derved drage deres egne konklusioner, og forbrugere uden IT kundskaber kan spørge om kvalificeret vejledning fra en de stoler på.

Vi kunne tænke os, at den stigende tendens til at skyde budbringeren ophører. Hvis en person finder et sikkerhedshul hos en virksomhed og efterfølgende deler ud af sin viden, bør der kvitteres med "tak for det, vi retter fejlen med det samme", ikke med en politianmeldelse eller tilsvining i medierne. Det er ledelsens skyld at fejlen var der til at begynde med. Undlad venligst at opføre dig som et forurettet barn hvis du bliver afsløret som sjusket eller det der er værre. F.eks. er sagen om Antipiratgruppen der lækkede email adresser er et glimrende eksempel på hvordan en organisation ikke skal reagere. Antipiratgruppens advokat, Morten Lindegaard, gav opdageren af "sikkerhedshullet" skylden for at konkurrencen nu var slut. Han antog at det var skolebørn der nød at finde sikkerhedsfejl hos APG. Det kunne jo også være en ganske almindelig IT-kyndig forbruger som med bekymring i sinde måtte indse at APG i dette tilfælde ikke formåede at behandle følsomme oplysninger korrekt.

Lad det være klart, at vi er stærkt imod elektroniske indbrud og andre former for misbrug, men den nuværende tilstand gør det for let at misbruge vores informationssamfund. For hvert år der går bliver vi mere afhængige af systemer der ikke kan overleve på fjendtlige netværk som internettet. Vi ser hellere, at nogen bryder loven nu og går til medierne med deres beviser på inkompetence og sjusk, end at der skal een eller flere kæmpe katastrofer til før der sker en forbedring.

Vi håber og anbefaler at de som finder det nødvendigt at afsløre usikre systemer afholder sig helt fra at slette eller modificere oplysninger. Den slags handlinger afgør, fra et etisk synspunkt, om man har godsindede eller ondsindede hensigter.

Vi tilråder at der bruges ugyldige eller harmløse kommandoer når der ledes efter sikkerhedsfejl, f.eks. kunne man bruge ordet SNAKEOIL i stedet for den kommando man ønsker skal sendes til systemet. Dette giver mulighed for at se hvornår systemet fejler ved at brokke sig over en ugyldig kommando. Når man har fundet en fejl kan det være nødvendigt at udføre harmløse kommandoer der viser navnet og versionsnummeret på det system man taler med, og evt. en oversigt over filer eller resourcer en ondsindet angriber ville kunne tilgå. Kun i extreme tilfælde bør det være nødvendigt at tage kopier af de data man kan tilgå. Vi fraråder det kraftigt. Ovenstående råd kan hjælpe til eget forsvar hvis man bliver politianmeldt som "tak" for sin indsats. Det er stadigt ulovligt at bryde ind i fremmede systemer, men forhåbningen er, at virksomheden er mindre motiveret til at anmelde en person der udelukkende hjælper dem.

Vi ønsker os, at banker og lignende systemer med høj risiko for misbrug tilbyder meget mere relevant information om sikkerhed til deres kunder.

Vi ønsker os, at f.eks. PBS stiller strengere og mere konkrete sikkerhedskrav til butikker der vil benytte deres online betalingssystem. Ideelt så vi at en revision af kravene fandt sted i de kommende måneder, hvorefter butikker som er kunde hos PBS fik en tidsramme til at indordne sig under de nye krav. Ved fristens udløb ville de som ikke overholder kravene miste retten til at opkræve betalinger gennem PBS.

Næsten samtlige virksomheder inden for den økonomiske sektor har et sikkerhedsdokument på deres hjemmeside som beskriver overfor kunden hvordan der vælges et godt kodeord, samt hvordan SSL eller TLS bruges til at beskytte information mens det sendes over nettet. Størstedelen af disse dokumenter er utilstrækkelige. Vi ønsker os, at der bliver foretaget en revision der inkluderer links til virksomhedens procedurer for udvikling af sikre programmer, virksomhedens procedurer for hvordan sikkerhedsannonceringer modtages og behandles, samt hvordan rettelser af sikkerhedsupdateringer testes og sættes i produktion.

Vi ønsker os, at denne slags redegørelser gøres lovpligtige inden for visse industrier og anvendelseskategorier. Vi håber det bliver muligt i større omfang at straffe virksomheder som enten ikke følger deres procedurer eller som udformer utilstrækkelige ditto. Det er ulovligt at sløse med f.eks. regnskabet eller vedligeholdelse af bygninger. Vi forstår ikke hvorfor det samme ikke er gældende for IT-systemer som bliver mere og mere kritiske.

Prisen for de fleste af vores ønsker er lav -- eller, den burde være det. Faktum er, at mange virksomheder ikke har den dokumentation vi efterlyser, og aldrig har gjort sig vedvarende tanker om hvordan de skal forholde sig til sikkerhedstrusler. Situationen bliver kun værre jo længere der går. Der er alt for få mennesker med den tilstrækkelige kompetence til at løse problemerne. Allerede i dag er mangelen på kompetence skyld i, at der bliver brugt sikkerhedsprodukter som selv er sårbare pga. trivelle fejl, og at der bliver brugt lappeløsninger der holder problemet fra døren i stedet for at løse det grundlæggende problem.

Langt de fleste sikkerhedsfirmaer i danmark sælger færdige produkter af en art, ikke specialiserede konsulentydelser. Kun ganske få af disse firmaer har kompetence til at arbejde med de mange aspekter af sikkerhedspolitik og processforbedring som skal til for at forbedre situationen. Jo længere den nuværende situation får lov at fortsætte, jo dyrere bliver det for samfundet og den individuelle virksomhed med et sikkerhedsproblem som de har brug for at få løst. Efterhånden som problemerne bliver mere og mere alvorlige, jo længere tid tager det at løse eet problem før man kan gå videre til det næste.

Der er mange andre ting vi gerne så forbedret, men der skal også være noget til næste års liste. Vi er håbefulde. Vi tror på at vores liste bliver helt anderledes næste år, men jeres hjælp er hårdt påkrævet. Vi ville være kede af at skulle fremvise nøjagtig den samme liste næste år.

Tak for jeres opmærksomhed og god jul,
Snakeoil.dk

Overskrifter der kan og bør undgås