Sådan lød udmeldingen fra den statslige it-sikkerhedsorganisation DK-Cert, efter et meget omtalt sikkerhedshul blev offentligt kendt i midten af januar.
Men virksomhederne lod i stort omfang hånt om den officielle anbefaling. Det viser en rundspørge i et netværk for it-sikkerhedschefer, som Version2 har initieret.
Rundspørgen indikerer nemlig, at kun få virksomheder deaktiverede Java efter nyheden om, at en ikke-patchet sårbarhed blev udnyttet aktivt af it-kriminelle. Og det kommer ikke bag på Ingrid Colding-Jørgensen, der er bestyrelsesmedlem i både Dansk IT og Rådet for Digital Sikkerhed.
»Det er nok ganske få virksomheder, der reelt deaktiverede Java, indtil hullet blev lukket, for rigtig mange forretningssystemer er afhængige af Java. Virksomhederne er nødt til at løbe kalkulerede risici og kan ikke råbe 'Holdt! Ulven kommer', hver gang der offentliggøres et zero-day exploit i en applikation. Hvert minuts stilleståen kan koste millioner af kroner,« siger Ingrid Colding-Jørgensen, der også har hjulpet Version2 med at få spørgsmålene i rundspørgen sendt ud.
I stedet for at deaktivere Java fra centralt holde skrev mange virksomheder om sårbarheden på intranettet og rådgav brugerne om at slå Java fra, hvis de ikke skulle bruge det. Nogle rådgav også om at bruge alternative browsere, Firefox eller Chrome, hvor ”Click-to-play”-funktionaliteten kan aktiveres og dermed spørge brugeren, før eksempelvis Java eller Flash afvikles.
Endelig meldte en tredjedel af virksomhederne tilbage, at de ikke gjorde noget, fordi man ikke var sårbar over for det aktuelle sikkerhedshedshul.
Om det skyldes, at virksomhederne enten ikke har installeret Java på firma-pc'erne, eller om de bruger en gammel Java-version, der ikke var ramt af det aktuelle hul, melder rundspørgen ikke noget om.
Både hos det offentlige, i de private virksomheder og ikke mindst blandt almindelige mennesker var der stor tvivl om, hvordan man løste dilemmaet med, at man blev opfordret til at slå Java fra - men samtidig havde brug for Java.
»Hver gang vi laver den slags anbefalinger (som at deaktivere Java, red.), får vi rigtig mange henvendelser. Generelt er det ikke 'bare lige sådan' for virksomheder at deaktivere et produkt, for dermed risikerer de at afskære sig selv fra forretningskritiske systemer,« siger lederen af DK-CERT og næstformand i Rådet for Digital Sikkerhed, Shehzad Ahmad, til Version2.
Og Ingrid Colding-Jørgensen går skridtet videre og kalder Danmark for et Java-afhængigt land:
»Jeg er bange for, at samfundet er blevet så afhængigt af Java, at det i praksis ikke lader sig gøre at følge en anbefaling om at deaktivere Java. Det gælder både for virksomheder og for privatbrugere,« siger Ingrid Colding-Jørgensen.
Opdateret 21.14: Div. titler på kilder justeret.
