Rapport: - IT-sikkerheten blir stadig dårligere

- I forhold til hvor stor trusselen er, er vår evne og vilje til å møte den betraktelig redusert, heter det blant annet.

Rapporten peker på at kyberangrep mot utvalgte dataanlegg kan ødelegge for kommunikasjon, strømforsyning, transporttjenester og finansielle transaksjoner, og føre til tyveri av store beløp. Den frykter spesielt kombinasjonen av kyberangrep og klassisk voldsterror.

- Et vellykket kyberangrep mot systemet som kontrollerer lufttrafikken, koordinert med flykapringer, kunne ført til en langt større katastrofe enn den vi erfarte 11. september 2001, kommenterer ekspertene i CSTB og konstaterer at det er en allmenn motvilje mot å investere i IT-sikkerhet, og at prestisje og andre hensyn fører til at det ikke er noen effektiv rapportering av kyberangrep. Selv om teknologien lider av store mangler, er det allmenne sikkerhetsnivået langt dårligere enn det man kunne oppnådd ved å utnytte verktøyene som faktisk finnes.

Rapporten viser til at den amerikanske regjeringen selv har gått i spissen for dårlige holdninger, og viser blant annet til det mislykkede Orange Book-programmet: "Myndighetene gikk først i bresjen for krav om sikre IT-systemer. Men når bransjen produserte sikrere systemer, nektet myndighetene å kjøpe dem, fordi de hadde dårligere ytelse og funksjonalitet enn usikrede systemer på markedet."

Det som trengs, ifølge ekspertene, er at markedsbetingelsene for IT-sikkerhet må endres. Det innebærer ny lovgivning slik at de som leverer utstyr og tjenester kan stilles til økonomisk ansvar som følge av tap knyttet til utilstrekkelig sikkerhet. Ekspertene foreslår også endringer i forsikringsvilkår slik at uaktsomhet i forhold til IT-sikkerhet straffes økonomisk.

Samtidig mener ekspertene at det må stilles harde krav til leverandørene. De stempler brukergrensesnittet til sikkerhetssystemer som "totalt uforståelig i nesten alle dagens systemer", og krever dette forholdet utbedret. De krever nye verktøy for automatisk overvåkning av systemkonfigurasjon, brukerautentisering gjennom smartkort eller annen maskinvare, og rigorøs testing mot sårbarheter - slik at betalende kunder ikke utnyttes til betatesting.

Brukerne må bidra ved å sørge for at sikkerhetsverktøy er tilgjengelige, at folk kan bruke dem, at det holdes hyppige ikke forhåndsannonserte sikkerhetsøvelser, at kjente sårbarheter fikses straks, og at passord avskaffes til fordel for mer robust autentisering.

Kommentarene i amerikansk presse peker på at eventuell lovgivning som gjør leverandører og brukere økonomisk ansvarlige for brudd på IT-sikkerhet strider mot de vedtatte reglene som begrenset deres ansvar i forbindelse med datoproblemene knyttet til overgangen til år 2000. Når det gjelder rapportering av datainnbrudd, har myndighetene gått med på at dette skal skje konfidensielt til bestemte spesialiserte organer.

Det er også kommet fram tvil om hvorvidt en leverandør kan straffes for å selge usikre produkter, når brukeren velger dem framfor mer avanserte systemer. Det vises blant annet til at biler med luftputer var tilgjengelig i mange år før de egentlig ble allment etterspurt.