Stadige oppdateringer og stor utbredelse har gjort Java til en populær vektor for spredning av skadelig programvare på nett. Illustrasjonsfoto: Colourbox
5 SPØRSMÅL OM IT-SIKKERHETHvordan sørge for datatrygghet?
Vi spør sikkerhetsrådgiver Per Thorsheim i God Praksis.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Artikkelen fortsetter under annonsen
– BankID fjerner nå Java fra sine produkter på grunn av sikkerhetshull. Hva er egentlig problemet med Java og finnes det ingen løsninger for det?
– Det er flere utfordringer med Java, og disse har økt i omfang etter hvert som Java har utviklet seg gjennom årene. Et tydelig tegn på dette er Oracle, som sier at Java 8 blir forsinket, da de velger å korrigere sårbarheter og svakheter i eksisterende versjoner.
– I mange år fantes det ingen automatisk oppdateringsmulighet i Java, og nye versjoner ble installerte parallelt med gamle versjoner. Dette opptok unødig diskplass og fjernet egentlig ikke muligheten for at kriminelle kunne utnytte sårbarheter i eldre versjoner på din maskin.
Les også: Slik blir Java-fri BankID
– I tillegg har stadige oppdateringer, ofte utenfor planlagt syklus, bidratt til lengre etterslep på oppdatering hos sluttbrukere. Selv om Java kjører sin kode i en «sandkasse», har utallige sårbarheter vist at skadelig kode klarer å bryte seg ut av denne og angripe det underliggende operativsystemet. I tråd med utbredelsen og populariteten til Java har også den kriminelle interessen økt. Der hvor det er mange brukere, er det antagelig også penger å stjele.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
Sikkerhetsrådgiver Per Thorsheim i God Praksis.
– I dag regnes Java som kanskje den største spredningsvektoren for skadelig programvare på nett, noe blant annet BankID har fått lide under. Gitt utbredelsen av Java lar det seg simpelthen ikke gjøre å redesigne på nytt, og man ender opp med det lappverket som det i dag fremstår som rent sikkerhetsmessig.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenLes også: 102.000 nordmenn har vært utsatt for ID-tyveri
– Norske informatikkstudenter har de siste 15 årene måttet lære Java først av alle programmeringsspråk. Er vi sist ute med å droppe Java her i landet?
– Det er ikke snakk om å droppe Java som programmeringsspråk, til det er utbredelsen og nytteverdien altfor stor. I tillegg gir utbredelsen muligheter for oppdatering og merutvikling av nye applikasjoner et marked i svært mange år fremover. Dette blir mer et spørsmål om å fokusere mer på sikker utvikling, i kombinasjon med god risikovurdering og bruk av alternative verktøy der dette viser seg mulig og lønnsomt.
Artikkelen fortsetter under annonsen– Hvilke sikkerhetsutfordringer gir Bring Your Own Device? Hva skal til for at fremtidens studenter også kan tilknytte egne enheter til skolens IT-systemer, eller vil dette forbli et gode forbeholdt arbeidslivet?
Les også: BankID kutter Java
– Slik jeg ser det, er de juridiske begrensningene det viktigste aspektet. Datatilsynet er tydelig på at en arbeidsgiver ikke har innsynsrett i jobbdata lagret på privateid utstyr. Det er heller ikke tillatt å inngå en avtale mellom arbeidstaker og arbeidsgiver for slikt innsyn.
– Bruk av privateid utstyr til jobbformål gjør også at arbeidsgiver i større grad ikke lenger har en sentralt lagret kopi (backup) av data, ei heller kan arbeidsgiver ta for gitt at backup av privateid utstyr i det hele tatt eksisterer. Dette vil selvfølgelig ikke være noe problem før det går galt, og da vil det forståelig nok få mer alvorlige konsekvenser.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
Les også: – Trojanere og spyware truer sikkerheten på Mac
– Mye av datateknologien i Norge kjøpes inn fra utlandet. Hvordan påvirker det sikkerheten?
– Uten å ta noen spesielle utenrikspolitiske standpunkt, bør man alltid foreta en vurdering av sikkerhetsaspekter før innkjøp av datateknologi, uavhengig av opphavssted. Pris, leveranseevne og kvalitet er selvfølgelig viktige faktorer, men mer rendyrkede sikkerhetsaspekter, som mulighet for revisjon/kontroll, leverandør-, produkt- og tjenestesertifisering, bør også inngå i vurderingene.
– I takt med globaliseringen av tjenesteleveranser øker nok behovet for standardisering og kvalitetssikring, og som kjent kan språklige og kulturelle forskjeller utgjøre store utfordringer i seg selv.
– Hva mener du er den største IT-trusselen i Norge i dag?
– Jeg har vanskelig for å peke ut et enkelt område foran andre. Totalbildet er komplekst. Som så mange andre før meg vil jeg påpeke mangelen på samarbeid, åpenhet og rapportering av hendelser som klare svakheter i vår evne til å takle en digital hverdag. Dette synes å forbedre seg, om enn svært sakte.
Artikkelen fortsetter under annonsen– Mangelen på oppdatering av programvare, standard installasjoner uten tilstrekkelig sikkerhet fra leverandør og ikke minst vår evige ignorering av sikkerhetsadvarsler for å få gjort jobben vår er nok blant de truslene som vi ser hver eneste dag, og her har vi alle en jobb å gjøre.
Les også:
PST advarer mot gratis minnepinner
