- Sikkerhet er en av de fundamentale byggeklossene for Internett, som alt på nettet avhenger av. Likevel er Internett mindre sikkert enn nesten alt annet man kan sammenligne det med, sier sikkerhetseksperten Bruce Schneier, som var på besøk i Norge i forrige uke. Under et foredrag arrangert av Mnemonic, fortalte han blant annet om hvorfor vi stadig opplever flere problemer med IT-sikkerhet.
- Selv om det stadig kommer bedre sikkerhetsløsninger, øker angrepene, skadene og tapene. Dette skyldes til dels at Internett får stadig flere brukere. De aller fleste nye brukerne er ikke-teknologier - teknologene har brukt Internett lenge, hevder Schneier.
Han forteller at sikkerhetsproblemer som overflytsfeil i buffere har eksistert i 40 år, og at de fleste angrepsmetodene har eksistert i minst et tiår.
- De økte problemene skyldes at angriperne stadig får tilgang på bedre angrepsverktøy, samtidig som det kreves mindre for å se sette i gang angrepene.
- Selv barn kan skrive virus, uten at de behøver å være spesielt dyktige, sier Schneier.
Likevel mener kompleksiteten er sikkerhetens verste fiende.
- Internett blir mer kompleks raskere enn vi kan fikse det, sier han.
Andre trusler mot sikkerheten Schneier nevner, er stadig økende kodestørrelse på grunn av mer funksjonalitet, løsningenes tilkoblings- og utvidelsesmuligheter, samt behov for interaksjon og avhengighet.
Når det gjelder den andre enden, mulighetene for å få tatt og straffet de som står bak angrepene, mener Schneier at midlene man har til rådighet, er for dårlige.
- Mens oppklaring og straffeforfølgelse fungerer i resten av verden, fungerer dette dårlig på nettet. Internett er på mange måter lovløst, et samfunn styrt av krigsherrer, hvor de rike har råd til privat sikkerhet, mens vi andre ikke har det, sier Schneier.
Han mener Internett må bli et samfunn styrt av lover, men nevner flere vanskeligheter:
- det er vanskelig å spore angrep
- det er vanskelig å bevise angrep, siden det ofte er et skille mellom angriper og angripende maskin
- frykt for feilaktig straffeforfølgelse
- Internasjonaliseringen gjør det hele enda verre, sier Schneier.
Han konkluderer med at sikkerhetsrisikoene innen Internett og IT generelt ikke kommer til å forsvinne - akkurat som i resten av verden.
- Slik er det bare. Sikkerhetsproduktene vil heller ikke kunne løse alle problemene med Internett-sikkerhet. Også dette er akkurat som i den virkelige verden. Risikohåndtering er dermed det beste vi kan gjøre.
Les også hva Schneier mener kan gjøres for å øke IT-sikkerheten i bedrifter.
