Det här kan vi lära oss efter Heartbleed


2014-10-08, 13:37 Publicerat av: Bengt Berg

Ställ rätt krav om du vill ha säkra system!

Heartbleed synliggjorde flera säkerhetsrisker – med rätt tillvägagångssätt kan man minska dem radikalt.

Heartbleed, den nyligen upptäckta superbuggen i OpenSSL, visade att även säkerhetscentral opensource-kod kan innehålla kritiska sårbarheter. Ett utmärkt exempel på hur viktigt det är att ta ett helhetsgrepp på säkerhet, menar Cybercoms Bengt Berg.

Bengt Berg, Head of Compliance Management services på Cybercom.

– Man måste ställa sig frågan: Är det rimligt att tro att en inhyrd konsult kommer att hitta alla sådana sårbarheter inom den budget jag har tillgänglig? Kanske borde man använda system för att testa rationellt?

”Oroad över utvecklingen”

Bengt Berg som är Head of Compliance Management services på Cybercom är oroad över utvecklingen. Idag vinner leverantörer affärer genom att bara leverera vad kunden uttryckligen beställt, utan att ta hänsyn säkerhet och risk. Något som kan bli både kostsamt och osäkert i slutändan.

– Det är ett stort problem som har en enkel lösning.  Man måste kravställa säkerhet i alla sina IT-relaterade upphandlingar. Gör man det får man som köpare in säkerheten tidigt i processen, till en bråkdel av kostnaden av att få in säkerhet i ett senare skede, menar Bengt Berg.

Vår nya uppkopplade värld bjuder möjligheter att både behandla, dela och distribuera information som gjort att kraven på såväl tillgänglighet som integritet och säkerhet ökat. Cybercoms affärsområde Secure Connectivity handlar om att hantera risker och skapa säkra it-lösningar. För att möta de utmaningar vår samtid ställer väljer man att använda alla verktyg i lådan snarare än bara något enstaka. Ett av dem är just att hjälpa kunden sluta köpa osäkra system.

– Det är viktigt att kunden engagerar sig redan från start och kravställer säkerheten. Man får inte se det som en självklarhet som leverantören ska leverera, för då hamnar man fel i både sin säkerhetsambition och i anbudsvärderingen, säger Bengt Berg.

Flera angreppsvinklar

Det är svårt att bygga säkra system. Men när det kommer till säkerhetstester blir det ännu svårare. En traditionell metod är att ta in en konsult som med hacker-metoder testar systemet för sårbarheter och luckor. Men det räcker ofta inte hela vägen.

– Det krävdes en maskin för att hitta Heartbleed, konstaterar Bengt Berg. 

Maskinen som hittade felet stod hos finska Codenomicon som också är partner till Cybercom.

– Det var förstås ingen slump att just Codenomicon hittade Heartbleed-buggen. De utvecklar programvara som maskinellt letar säkerhetshål av just det här slaget.

Men vissa tester låter sig kanske inte helt göras med maskiner, utan kräver mänsklig granskning. I en värld där tester följer samma standardiserade metoder och genomförs med samma programvaror i allt högre utsträckning handlar kvalitetsbegreppet således om antal timmar som sätts in. Det är en av flera anledningar till att Cybercom etablerat sitt testcenter i Polen.

Cybercoms logik handlar om att testa stora komplexa system maskinellt och komplettera med manuell granskning där det är nödvändigt. Då räcker testbudgeten till fler timmars arbete. Först i tredje hand väljer man de traditionella testmetoder som också övriga marknaden erbjuder.

Kundernas pengar ska räcka långt

Bengt Berg menar att det finns all anledning att ställa ordentliga ”hygienkrav” när det kommer till säkerheten, att inte se någonting som en självklarhet.

– Koden ska vara granskad, systemet ska vara immunt mot kända webbangrepp, det ska vara bra inloggning, man vill att system ska uppgraderas och man vill ha backup. De är viktigt att man engagerar sig på redan i kravställningsfasen och att man ser till att testa leverantörens arbete grundligt och metodiskt.

Om ett system har 100 säkerhetsbrister behöver en hacker bara ett enda för att bryta sig in. Säkerhetstesterna måste alltså upptäcka alla 100. Maskinellt teststöd och många arbetade timmar inom ramen för existerande budget är den bästa vägen framåt.


comments powered by Disqus