It-sikkerhedsekspert: Myndigheder løber fra ansvar
Selv om det bliver tungere for hver dag, der går, fortsætter både myndigheder og softwareudviklere med at skubbe ansvaret for it-sikkerheden over på de sagesløse it-brugeres skuldre.
Omtrent sådan lyder diagnosen fra Dan Klein, selvstændig it-sikkerhedskonsulent og berygtet spambekæmper.
Klein var hovedtaler på Open Source Days i København for nylig og leverede i den anledning en hård kritik af ansvarsfordelingen på sikkerhedsområdet:
»Både danskernes og amerikanernes problem er, at vores systemer stadig bliver designet på en måde, hvor 'the bad guys' ikke kan undgå at vinde. Producenter og forbrugere er naive i forhold til sikkerhedstruslen, og det kan kun være myndighedernes ansvar at stramme op,« advarede han.
Ifølge Klein burde danske og udenlandske myndigheder droppe deres forestilling om, at 'den bedste firewall sidder mellem brugerens ører' og i stedet satse på skrappere sikkerhedscertificeringer end de Common Criteria-krav, der findes i dag.
Common Criteria er en internationalt anerkendt ISO-standard for design og sikkerhedscertificering af it-produkter. Common Criteria angiver en systematisk metode til design af sikkerhedsfunktioner og tvinger leverandøren igennem en række overvejelser. Men med de seneste års vækst i både spam-mails og cyberkriminalitet er der et akut behov for at samle ansvaret for sikkerheden, mener Dan Klein.
»Opfattelsen er stadig, at det handler om at uddanne brugerne, så de for eksempel lader være med at åbne attachments, der inficerer deres maskiner. Men, hvorfor kan man overhovedet blive inficeret på den måde?,« spørger han og kommer selv med et bud på løsningen:
»Nogen er nødt til at sikre, at brugerne kan åbne lige de filer, de har lyst til, uden at der sker noget med deres maskine.«
Det har længe været klart, at brugerne ikke selv kan stå for sikkerheden, mener Klein.
»For at slå spammerne er vi for eksempel nødt til at om-designe en stor del af vores e-mailinfrastruktur,« siger han.
»Det er en stor proces, og det kan kun gøres, hvis myndighederne fører an.«
De seneste uger har der været flere tiltag mod en centralisering af it-sikkerhed: Sikkerhedsfirmaet F-Secure har foreslået oprettelsen af en international it-politistyrke, og herhjemme anbefalede en arbejdsgruppe under Teknologirådet, at danske myndigheder designede en firewall til alle danske brugere.
Flemming Faber, kontorchef i It- og Telestyrelsen, vil heller ikke udelukke, at sikkerhedscertificeringer kan hjælpe på langt sigt. It-sikkerhedskomitéen, der er nedsat af Videnskabsministeren, ser i øjeblikket på potentialet i flere indgreb - blandt andet strammere certificeringer.
»Men vi mener bestemt, at ressourcerne er godt brugt på oplysning - på at få borgerne til selv at holde øje med, hvad der kommer forbi deres computere,« siger Faber.
»Vi ser også på muligheder i at styrke borgernes it-sikkerhed gennem andre kanaler, men vores hovedfokus er at gøre den enkelte bruger bevidst om sin egen sikkerhed,« siger han.
Tilføj kommentar