Danske virksomheder afhængige af Java - kan ikke deaktivere

Enten var det umuligt, for svært - eller ikke relevant. En ikke-videnskabelig rundspørge viser, at kun få virksomheder deaktiverede Java, indtil et kritisk sikkerhedshul var blevet lappet.

"11-01-2013: Angreb udnytter et åbent sikkerhedshul i Java. DKCERT anbefaler, at man slår Java fra, indtil hullet er lukket."

Sådan lød udmeldingen fra den statslige it-sikkerhedsorganisation DK-Cert, efter et meget omtalt sikkerhedshul blev offentligt kendt i midten af januar.

Men virksomhederne lod i stort omfang hånt om den officielle anbefaling. Det viser en rundspørge i et netværk for it-sikkerhedschefer, som Version2 har initieret.

Rundspørgen indikerer nemlig, at kun få virksomheder deaktiverede Java efter nyheden om, at en ikke-patchet sårbarhed blev udnyttet aktivt af it-kriminelle. Og det kommer ikke bag på Ingrid Colding-Jørgensen, der er bestyrelsesmedlem i både Dansk IT og Rådet for Digital Sikkerhed.

»Det er nok ganske få virksomheder, der reelt deaktiverede Java, indtil hullet blev lukket, for rigtig mange forretningssystemer er afhængige af Java. Virksomhederne er nødt til at løbe kalkulerede risici og kan ikke råbe 'Holdt! Ulven kommer', hver gang der offentliggøres et zero-day exploit i en applikation. Hvert minuts stilleståen kan koste millioner af kroner,« siger Ingrid Colding-Jørgensen, der også har hjulpet Version2 med at få spørgsmålene i rundspørgen sendt ud.

I stedet for at deaktivere Java fra centralt holde skrev mange virksomheder om sårbarheden på intranettet og rådgav brugerne om at slå Java fra, hvis de ikke skulle bruge det. Nogle rådgav også om at bruge alternative browsere, Firefox eller Chrome, hvor ”Click-to-play”-funktionaliteten kan aktiveres og dermed spørge brugeren, før eksempelvis Java eller Flash afvikles.

Endelig meldte en tredjedel af virksomhederne tilbage, at de ikke gjorde noget, fordi man ikke var sårbar over for det aktuelle sikkerhedshedshul.

Om det skyldes, at virksomhederne enten ikke har installeret Java på firma-pc'erne, eller om de bruger en gammel Java-version, der ikke var ramt af det aktuelle hul, melder rundspørgen ikke noget om.

Både hos det offentlige, i de private virksomheder og ikke mindst blandt almindelige mennesker var der stor tvivl om, hvordan man løste dilemmaet med, at man blev opfordret til at slå Java fra - men samtidig havde brug for Java.

»Hver gang vi laver den slags anbefalinger (som at deaktivere Java, red.), får vi rigtig mange henvendelser. Generelt er det ikke 'bare lige sådan' for virksomheder at deaktivere et produkt, for dermed risikerer de at afskære sig selv fra forretningskritiske systemer,« siger lederen af DK-CERT og næstformand i Rådet for Digital Sikkerhed, Shehzad Ahmad, til Version2.

Og Ingrid Colding-Jørgensen går skridtet videre og kalder Danmark for et Java-afhængigt land:

»Jeg er bange for, at samfundet er blevet så afhængigt af Java, at det i praksis ikke lader sig gøre at følge en anbefaling om at deaktivere Java. Det gælder både for virksomheder og for privatbrugere,« siger Ingrid Colding-Jørgensen.

Opdateret 21.14: Div. titler på kilder justeret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#5 Janus Holmgaard

Absolut ikke en mulighed for de fleste virksomheder. Java er desværre i dag så udbredt, som Ingrid påpeger, at stort alle virksomheder mellemstore og opefter ikke bare kan deaktivere eller begynde at lave GPO for trusted sites mv. Java bliver i dag brugt både internt på forskelligt hardware, software, internet osv... At vi så her i forummet kan blive enig om at Java rigtige sted er på møddingen sammen med flash og Adobe Reader formindsker desværre ikke problemet...

Kendsgerningen er at alt størstedelen af verdens virksomheder er afhængige af Java... og endnu mere sørgeligt som regel de gamle versioner... Tag f.eks. selv et kig på www.skat.dk... sad sad sad

  • 0
  • 0
Log ind eller Opret konto for at kommentere