Sikkerhetseksperten Bruce Schneier var på besøk i Norge i forrige uke. Under et foredrag arrangert av Mnemonic, fortalte han blant annet om hvordan han mener IT-sikkerheten i bedrifter kan bedres.
- Sikkerhetsproblemene vi opplever, skyldes menneskene, ikke teknologien. Løsningene fungerer nemlig i labben.
Spesielt legger Schneier skylden på toppledelsen i selskapene.
- Inntil IT-sikkerhet kan monetiseres, vil ikke de administrerende direktørene bry seg. Det er funksjonaliteten som er viktigst for selskapene i dag. Dårlig IT-sikkerhet gir ingen umiddelbare konsekvenser for et selskap, bare mulige konsekvenser, hvis man ser bort fra utgiftene god IT-sikkerhet fører med seg, sier han.
- Mens økt IT-sikkerhet fører til høyere kostnader, mindre funksjonalitet og irriterte brukere, er ulempene med dårlig IT-sikkerhet bare en viss fare for negativ PR og noen sinte kunder. De fleste selskapet gjør som konkurrentene, ikke mer og ikke mindre.
Større selskaper vil i tillegg måtte bruke store ressurser på både å evaluere og å installere sikkerhetsoppdateringer, mens bare økt sikkerhetsrisiko er resultatet hvis oppdateringene ikke installeres. Schneier mener at sannsynligheten for at et selskap ikke installerer de siste sikkerhetsoppdateringene til programvaren det benytter, øker med størrelsen. Han mener også at selskapene i det vesentligste forsøker å holde sikkerhetsspørsmål så hemmelige som mulig. Dette for å være mindre utsatt for søksmål.
- For å gjøre IT-sikkerheten i bedriftene bedre, må den administrative ledelsen begynne å bry seg. Da vil det skje noe, sier Schneier. Han mener at ledelsen bryr seg om selskapets rykte, forpliktelser og konkurransefordeler.
- Noen må holdes ansvarlige når ting går galt. I dag fører dårlig sikkerhets ikke med seg noen virkelige konsekvenser for de som burde være ansvarlige. Alle skylder på andre, mener Schneier. Han mener at den som kan fikse problemet, også skal ha ansvaret.
- Det best hvis programvareleverandøren er ansvarlig, siden dette er den som har best mulighet til å rette problemet, sier han.
Han mener likevel at ingen kan være hundre prosent ansvarlige - det er umulig.
- Et sted mellom null og hundre prosent er fornuftig, men noen må avgjøre dette.
Schneier medgir at dette er et komplekst problem, ikke minst hvis en slik ordning skal gjennomføres internasjonalt. Han mener også at uavhengige leverandører og utviklere av gratis eller fri programvare ikke vil ha muligheten til å ta et slikt ansvar alene.
Han vil derimot åpne for at aktørene kan overføre ansvaret til andre, for eksempel ved å spre ansvaret utover en gruppe, i praksis gjennom et forsikringsselskap.
- Den faste utgiften ved forsikring er noe administrerende direktører kan forholde seg til. Forsikring er et verktøy for risikohåndtering, sier Schneier, som mener at forsikringsordninger er blant det som driver sikkerheten framover i den virkelige verden.
- Forsikringsselskapene er derimot nødt til å forholde seg til standard risikomodeller med standard beskyttelsesprofiler.
- Forsikringsselskapene vil da sette krav om at kunden benytter for eksempel en spesifikk brannmur fra kundens Internett-leverandør, ellers vil det ikke tilbys noen forsikring.
- Standardisert sikkerhet vil gi bedre muligheter for outsourcing, sier Schneier, som mener at all infrastruktur bør kunne settes ut på denne måten.
- Dette løser utfordringene til bedriftene uten at bedriftene selv må forholde seg til detaljene. Også forsikringsbransjen foretrekker dette, mener Schneier.
- Forsikring skaper et sikkerhetsmarked. I tillegg vil leverandørene fokusere mer på sikkerheten, ikke bare sende ut "tomme" pressemeldinger, fordi det motsatte vil føre til tap av salg.
Han mener at en slik IT-sikkerhetsforsikring vil bli like vanlig som for eksempel brannforsikring. Slik forsikring tilbys i dag blant annet i USA og Japan.
Les også hva Schneier mener er årsaken til at sikkerheten på Internett stadig blir utfordret.
