Henrik Walker Moe skrev 17. mars om behovet for sikkerhetsutviklere. Han har helt rett, men overser noe viktig: dårlig kommunikasjon mellom ledere og utviklerteam.
Etter mange år i IT-bransjen har vi sett konsekvensene av dårlig kommunikasjon altfor ofte. Vi snakker mye om trygge servere, flerfaktorautentisering, sterke passord og oppdatering av enheter for å tette sikkerhetshull, men en like viktig, men oversett trussel er dårlig kommunikasjon mellom utviklere, mellomledere og toppledere. Mange store sikkerhetshendelser kunne vært unngått dersom de tre nivåene kommuniserte bedre.
Noen ganger står det på viljen, men oftere er det mangel på kunnskap som truer sikkerheten. Det gjelder dessverre både utviklere og produktsjefer. Utviklerne må lære å flagge sårbarheter, og produktsjefer trenger økt sikkerhetskompetanse for å gi utviklerne tid og rom til å håndtere dem. Videre trenger virksomheter produktsjefer som har selvtillit nok til å løfte sikkerhetsgjelden i møte med toppledelsen og andre som gjør prioriteringer. Det er ofte en hard kamp. Sikkerhet og godt personvern tar tid, og det er mindre moro enn å utvikle nye produkter.
– Det var jeg som hacket skolesystemet
Sårbarheter som dårlig autentisering og kryptografifeil har vært på OWASP Top 10-listen i mange år, og er kjente for mange utviklere. Men hvor mange mellom- og toppledere er lydhøre når utviklere påpeker slike sårbarheter? Vår erfaring er at alt for få blir tatt seriøst, og at sikkerhet forblir en fotnote i utviklings- og designprosesser.
Walker Moe gjør rett i å etterlyse sikkerhetskompetanse i utviklerteam. Vi vil legge til at sikkerhetsgjelden vil forbli ubetalt om ikke ledere på alle nivåer blir kjent med risikoene, støtter utviklerne og tar risikoene på alvor. Både ledere og utviklere må lære seg hvordan de kriminelle tenker. Først da vil toppledere ta dem seriøst.
Telenor legger ned fasttelefonen: Kan være godt nytt for selskap med fire ansatte
