DEBATT: IT-sikkerhet: Fra gjesp til gisp

[Redaksjonen.]

DEBATT: IT-sikkerhet: Fra gjesp til gisp

[Karstein H]

Sitat: "Vi tror ikke det er sannsynlig å få innført CE-aktig merking eller annen form for sertifisering på IT-utstyr og programvare med det aller første".

Har aldri hørt om CE merking av programvare, men at det ikke finnes sertifiseringer er helt feil.

Det finnes mange sertifiseringsordninger, som f.eks. Common Criteria - CC, og FIPS.

Problemet med disse, er at de er så omfattende og dyre, at det er umulig å følge opp annet enn hvis du selger til kunder som krever det, som Forsvar og offentlig forvaltning, for sikkerhetsgraderte systemer. Realiteten er at selv for sertifiserte produkter, gjøres ikke resertifisering annet enn sporadisk når produktene oppdateres.

Det er ønskelig med sertifiseringsordninger, men disse er nødt til å være basert på relativt rimelige og raske test- og evalueringskriterier. Helst basert på automatisere tester.

Ellers vil produktene bli for dyre til å kunne konkurrere, samt at de ikke vil retestes når det er nødvendig.

Uansett vil testing ikke kunne avdekke alle feil.

Gode standarder, sammen med produsentenes deklarasjon av hvilke standarder som er fulgt, er nok et svært godt første steg. Da vil produsenten kunne holdes ansvarlig for brudd på standard.

 

[Karstein H]

"Men i mellomtiden, i mangel av tydelig regelverk, må kunder og leverandører selv ta ansvaret – ved henholdsvis kravstille og levere sikre produkter og tjenester"

De færreste kunder er dessverre i stand til å definere gode og relevante sikkerhetskrav.

Og det viser seg dessverre, at uten relevante standarder, er produsentene sjanseløse mtp å lage sikre produkter. Selv Common Criteria sertifiserte produkter kan ha alvorlige sikkerhetsfeil. Det er det mange eksempler på.

Sitatet tilfører dessverre ingen verdi.

[Karstein H]

"I likhet med smittevern er heller ikke det digitale økosystemet bedre enn det svakeste ledd".

Dette var et av de største problemene ifm å få godkjent løsninger på graderte plattformer for noen år siden. Man så seg blind på å måtte dekke alle svakheter. Konsekvensen ble at man alltid levde med ikke godkjente eller midlertidig godkjente løsninger.

Man må alltid vekte de ulike svakhetene, og løse de viktigste først.

Hvordan denne vektingen gjøres, vil måtte variere med virksomhetens krav og formål, hvor eksponerte de er, sammen med eventuelle avbøtende tiltak.