Sikkerhet blir viktigere og viktigere i dagens teknologiske samfunn.
Dessverre blir det ikke tatt alvorlig nok av hverken oss brukere eller bransjen. Fire av ti beslutningstakere i IT-bransjen hevder at sikkerhet er nedprioritert hos brukerne.
Det kommer frem en omfattende rapport utarbeidet på oppdrag av VMware.
Alt for få kan sikkerhet
Fagmiljøene kjenner seg i igjen i den beskrivelsen. Professor i informatikk, Kjell Jørgen Hole, ved Universitetet i Bergen (UiB) har i lang tid hevdet at sikkerhet ikke blir tatt alvorlig nok i bransjen.
Ifølge ham kan man få en doktorgrad i informatikk i Norge uten å ha tatt ett eneste studiepoeng i sikkerhet. Det er også situasjonen ved UiB i dag, ifølge ham.
– Dette kan ikke fortsette. Heldigvis ser man nå at dette er i forandring, og man begynner å få en felles forståelse for at dette er viktig på universitetene. Jeg har ikke tall på hvor mange utviklere som er utdannet de siste årene som ikke har nødvendig bakgrunn med sikkerhet for å utvikle trygg og brukervennlig programvare. Dessverre er det nok alt for mange, sier Hole til digi.no.
Utviklere må ta ansvar
Ifølge ham kan man ikke stole på at brukerne selv vil ta initiativ til å lære seg hvordan man opptrer sikkert på en enhet som er tilkoblet internett. Det er litt som å be alle som kjører bil om å sette seg inn hvordan en forbrenningsmotor fungerer, mener han.
– Det nytter jo ikke. Så man må ha utviklere som har nødvendig kompetanse innenfor feltet slik at programvare som utvikles er sikkert nok for brukere som ikke kjenner til hvilke normer og regler som hersker.
Grunnen til at sikkerhet ikke har vært en del av studieprogrammene til teknologene de seneste ti til 15 årene skyldes at det ikke har vært nok midler til å bygge opp kompetente fagmiljøer på universitetene som kan videreformidle denne kunnskapen.
– Sikker koding er et stikkord her. En ting er å designe systemer på papiret, en annen er å realisere dette i kode. Utviklingen må gjøres på riktig måte. Mange av feilene man ser i dag som utnyttes av skadevare skyldes rett og slett bugs i koden. Det nytter ikke å ha godt design, når man ikke koder riktig, sier professoren.
Her lærer studentene seg sikkerhet
Heldigvis er ikke bildet helsvart. På NTNU i Gjøvik har de prioritert å lære studentene å tenke i sikre baner i en årrekke.
– Vi har satset strategisk på sikkerhet siden 2001, og har også bygd opp et godt fagmiljø på feltet. Alt for mange som jobber med IT-drift i dag har ikke et forhold til sikkerhet i det hele tatt. Det er noe av nøkkelproblemet i bransjen, sier førsteamanuensis, Erik Hjelmås, ved avdeling for informatikk og medieteknikk ved NTNU til digi.no.
Derfor har man på NTNU lagd det nye studieprogrammet «IT-drift og informasjonssikkerhet» der man håper å tette igjen noe av kunnskapsgapet.
– Det må signaliseres at det ikke går an å drive med drift uten å tenke på sikkerhet først. Det lærer man best ved å ha nærhet til drift og produksjonstenking. Vi skal sikre oss at fremtidens driftsfolk har sikkerhet i ryggmargen. Programvaresikkerhet er også et obligatorisk emne hos oss, konstaterer Hjelmås.
– Lekker som en sil
Heldigvis er ikke NTNU på Gjøvik alene. På Universitetet i Bergen og på Høyskolen i Oslo og Akershus følger man nå etter pionerskolen i Oppland, opplyser Hjelmås.
Men selv om bransjen sakte men sikkert kommer til å endre seg i årene fremover, kan man nok ikke forvente seg at det samme skjer med sluttbrukeres vonde vaner.
– Det skyldes nok at folk ikke har noe forhold til nettsikkerhet. Vi hører om den ene sikkerhetskatastrofen etter den andre. Det lekkes informasjon som en sil overalt. Tjenester tas ned og det er bare å bestille angrep ved kredittkortet sitt. Det er ingen tvil om at internett er en veldig fiendtlig omgivelse. Det må folk ta inn over seg, sier Hjelmås.
Ifølge UiB-professor Hole må utviklere ha kjennskap til grunnleggende kryptografi hvis de skal designe nye løsninger. Det er også viktig at man benytter seg av velprøvde sikkerhetsløsninger som har vist seg å fungere over tid. Hjemmemekkede løsninger er definitivt ikke veien å gå, ifølge professoren.
– Det som skjer nå er at systemene både er lite brukervennlige og usikrede. Det er viktig i tiden fremover å lage systemer som både er brukervennlige og har et godt sikkerhetsnivå. For å oppnå det må man bli flinkere til å kommunisere med andre fagmiljøer. Det er også svært viktig å teste systemene på skikkelig på sluttbrukere. De er i dag alt for lite involvert når man utvikler systemer og løsninger. Om man ikke tar sikkerheten på alvor i starten av utviklingen, har man et alvorlig problem. Det er nesten umulig å fikse et usikkert system i etterkant, konstaterer Hole.