DEBATT

Sikkerhet handler ikke om hvilke servere du har

At en driftsleverandør fremsnakker serverne de selger, er ikke overraskende, men de bør holde seg for gode til å komme med lovnader om sikkerhet som de ikke kan holde.

Christer Berg Johannesen, leder for teknisk sikkerhetsrådgivning i Defendable, kritiserer i innlegget uttalelser fra Embriq.
Christer Berg Johannesen, leder for teknisk sikkerhetsrådgivning i Defendable, kritiserer i innlegget uttalelser fra Embriq. Foto: Defendable
Christer Berg Johannesen, leder for teknisk sikkerhetsrådgivning i Defendable
15. mars 2023 - 10:43

I et intervju med Digi 6. mars snakker Tore Thon i Embriq varmt om IBM Power-plattformen og hvordan den visstnok er på vei tilbake med full kraft.

Hva slags prosessorarkitektur en organisasjon skal velge, er ikke noe vi som sikkerhetsselskap legger oss opp i – men når driftsleverandører som selger disse kommer med sikkerhetslovnader som i beste fall fremstår som uvitende og i verste fall som villedende, ser vi oss nødt til å si fra.

Det er flere ting å påpeke i det Thon sier, men det viktigste er dette: Uansett hvilken prosessorarkitektur, serverleverandør, OS eller brannmur du velger å bruke, er ikke det noe som løser sikkerhetsutfordringene dine.

«PowerVM i kombinasjon med operativsystemene AIX eller «IBM i» er det mest robuste og sikreste som finnes», hevder Thon i artikkelen.

Å stole på at sikkerheten er ivaretatt fordi man kjøper en spesifikk virtualiseringsløsning, er helt feil tilnærming til moderne sikring.

Det handler derimot om en helhetlig tankegang, hvor valg av teknologi er én av svært mange brikker.

Rapporterte sikkerhetshull ≠ antall sikkerhetshull

Å uttale oss om den faktiske sikkerheten i IBMs Power-plattform kan vi ikke gjøre uten å ha gjennomført faktiske og grundige analyser. Det vi imidlertid kan si noe om, er holdningen Embriq viser ved å si at det er tryggere fordi det er rapportert færre sikkerhetshull i plattformen.

At selskaper oppdager og rapporterer sikkerhetshull i plattformene sine, er ikke negativt – tvert imot. Det bør være betryggende for alle at produsenter jobber aktivt for å avdekke sikkerhetshull i egne produkter og at de publiserer informasjon om eventuelle svakheter så fort som mulig. Det er også en tillitserklæring at flere produsenter tar imot varsler fra utenforstående, tetter eventuelle hull, utbedrer innrapporterte svakheter og deretter publiserer nødvendige oppdateringer.

– Gammeldags tankegang

«Det vi snakker om, er serverne som aldri kan gå ned og aldri skal bli hacket», er en annen uttalelse fra Thon. Disse kravene er ikke spesielt unike, og det er ikke hva slags prosessor som sitter i serveren i bakkant, som avgjør om det skjer.

Det er en gammeldags tankegang som i verste fall kan utsette Embriqs kunder for risiko og vitner om liten forståelse for jobben som faktisk bør legges ned for å være sikker nok.

I tillegg trekker Embriq og Thon frem mangelen på kompetanse i markedet. Maskinvaren i serverne er avhengig av programvare for å levere tjenestene de skal, og med en stor mangel på utviklere blir både kunnskapsdelingen og den samlede sikkerhetskompetansen hos disse desto mindre enn for andre plattformer.

Vi tar gjerne en prat med Thon om hvordan vi sammen kan sørge for at både hans kunder og resten av Norge kan bli tryggere på veien mot et enda mer digitalt samfunn. I mellomtiden håper vi han kan moderere salgsargumentene sine så de faktisk tar hensyn til hva som kreves for å sikre et moderne system.

Hovedkort fra Gigabyte.
Les også

Sikkerhetsselskap: Millioner av hovedkort ble solgt med bakdør som kan brukes av hackere

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.