0
Læs nu

Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon
Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Næste:
Næste:
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Drop den snak om it-sikkerhed

Hackerne er løbet tør for fantasi, så det er hele tiden de samme gamle vira, vores computere angribes af. Det er dårligt for it-branchen.

Kroniken
Læs artiklen senere Gemt (klik for at fjerne) Læst
FOR ABONNENTER

Der er ikke oplæsning af denne artikel, så den oplæses derfor med maskinstemme. Kontakt os gerne på automatiskoplaesning@pol.dk, hvis du hører ord, hvis udtale kan forbedres. Du kan også hjælpe ved at udfylde spørgeskemaet herunder, hvor vi spørger, hvordan du har oplevet den automatiske oplæsning.

Spørgeskema om automatisk oplæsning

Hackerne er løbet tør for fantasi, så det er hele tiden de samme gamle vira, vores computere angribes af. Det er dårligt for it-branchen, skriver virksomhedsrådgiver Martin Thomsen og opfordrer os til selv at tage ansvaret for sikkerheden.

'It-sikkerhed' er big business. Firmaer, der som Symantec har specialiseret sig i antivirusprogrammer, hører til de største softwareproducenter i verden, og selv den største softwareproducent, Microsoft, kan ikke sige sig fri for - med baggrund i den stadige sikkerhedstrussel - at kunne få sine kunder til at følge med i et stadigt opdateringsræs.

Men sikkerhed kræver en fjende og et fjendebillede. Og hvor er fjenden? Fjenden er hackere og virusudviklere, skal man tro softwareproducenterne. Derfor hedder medicinen stadig nye og mere sofistikerede antivirus- og antihackersoftware og -hardwarepakker. Og med mange millioner brugere er der en tønde guld for enden af regnbuen, mindst.

Selvom de store antivirussoftwarefirmaer har været igennem et hårdt år med faldende aktiekurser, er der stadig penge at tjene på sikkerheden.

Problemet har været, at fantasien hos virusudviklerne tilsyneladende er sluppet op. Der kommer stadig nye virusangreb, men de er alle af kendt type. Det vil sige, at antivirusprogrammerne blot skal informeres om, at der er en ny virus, så klarer det gamle program resten. Programmerne i sig selv er ikke ændret i de sidste fem til ti år, og det er jo ikke et godt grundlag for at sælge opdateringer.

Produktudviklingen, der er alfa og omega for alle producenter, om det så er software eller shampoo, man laver, har derfor koncentreret sig om at lave samlede løsninger, så brugeren ikke længere skal købe en serie af programmer for at løse sit sikkerhedsproblem: ét mod virus, ét mod hackere, ét mod trojanske heste og endnu flere, hvis det er et netværk, du skal beskytte. Et samlet program med det hele i, men det er jo gammel vin fra flere flasker i én ny flaske. Og hvor man før kunne få fuld pris for hvert delprogram, må man nu nøjes med en mindre samlet pris. Og det var jo ikke hensigten - fra producentens side.

Som bruger kan man være glad for udviklingen på området. Styr på virusfolkene og hackerne, programmer der kan fange forbryderne - så kan vi gå videre med vores egentlige arbejde. Men spørgsmålet er, om 'it-sikkerhed' er problemet, og om teknologiske software- og hardwareløsninger så er løsningen. Vi må gå lidt tilbage i tiden, for at forstå situationen.

For en 20 år siden blev det den store mode at gå med digitale armbåndsure. De små vidundere, der aldrig var set før i menneskehedens historie, væltede ind over markedet, i begyndelsen dyre som ædelsten, men efterhånden til en pris, der gjorde dem til hvermandseje. Urene kunne mere end vise tiden - egentlig var det der med at vise tiden, det de var dårligst til, og den egentlige årsag til at de i dag er lige så hyppige som dinosaurer - de kunne også vække en om morgenen - hvis man sov med hænderne over dynen - og de kunne lave timeslag, efterhånden også med forskellige melodier som vore dages mobiltelefoner.

Gik man i biografen til syvforestillingen, behøvede man ikke være i tvivl om, hvornår klokken var ved at være otte, allerede nogle minutter i, lød de første timeslag, og de fortsatte til et par minutter over.

Til ejernes glæde og stolthed - havde menneskeheden måske ikke altid haft brug for at vide, hvornår klokken var hel? Til undren og misundelse for os andre, for hvor var blufærdigheden blevet af, og hvor kunne man købe sådan et vidunder?

Efterhånden kom urene også med indbyggede spil, og der bredte sig et overbærende smil, hvis ens ur sagde lyde, mens man sad i et møde - »sidder han nu og spiller igen?«. Og pludselig fandt alle ud af, at man kunne slå lyden fra, og en dag var alle urene borte, og det gode gamle analoge klokkeværk var på plads på underarmen igen. Digitalurene er nu henvist til velegnede nicher: som pulsur for løbere, eller satellitstyrede afstandsmålere. De kan stadig sige lyde, men hvem gider høre på dem?

Morale? Moralen er, at vi får en ny teknologi, der vælter ind over os og ser ud til at bemægtige sig os. Den vender op og ned på nedarvede måder at være sammen på, men efter et stykke tid får vi tingene på plads, opbygger en kultur, der lader os udnytte de anvendelige sider af teknologien, og får ryddet op i alle de idiotier, der hver gang følger i kølvandet på den hype, der altid omgiver nye teknologiske gennembrud.

Eller lad os tage mobiltelefonerne. Jeg fik min første for elleve år siden og var før det en af de sidste businessfolk uden. Dengang startede et møde eller en kursusdag med, at man satte sig og lagde sin - tændte! - mobiltelefon ved siden af sin notesblok. Varede mødet eller kurset mere end en time, kunne man være sikker på, at telefonen ville ringe mindst en gang. Onde tunger hviskede om, at der faktisk fandtes firmaer, hvor man kunne bestille opkald til bestemte tidspunkter.

Signalværdien var klar: mobilerne var dyre, og naturligvis var man uundværlig hjemme i firmaet. I løbet af få år skiftede holdningen 180 grader: ringer ens mobiltelefon under et foredrag, kan man risikere, at foredragsholderen beder en om at rejse sig op, så alle kan se en mand, der ikke har råd til at få nogen til at passe telefonen, mens han er til møde.

Moralen? Den samme som før: Vi bliver lagt ned af ny teknologi, men vi formår at opbygge en kultur omkring den og gøre den nyttig.

At det ser ud til at have lange udsigter med en mobilkultur, der forebygger, at jeg skal have indsigt i mine medpassagerers underlivssygdomme i S-toget, er en anden sag. Det er ikke fornuften, der styrer, og det er ikke til på forhånd at vide, hvilken kultur, der vil opstå og hvornår.

Selv har jeg forsøgt mig som spåmand og forudsagt, at et nyt teknologisk produkt aldrig ville have en chance: brugerinterfacet var helt umuligt - små knapper, hvor brugeren skulle trykke et forskelligt antal gange, alt efter hvilket bogstav man skulle bruge, og så med en målgruppe, der knap kunne stave - og som ikke en gang kunne finde rundt på et almindeligt tastatur. Opfindelsen hed SMS. Og er i dag en af de - få - succeser, teleindustrien har haft i de senere år.

Med en brugerkultur, et brugersprog, en fast plads i ungdomskulturen - og med en attraktionsværdi, der kan få selv den sløveste teenager til at lære at stave, om ikke andet så til :-) eller :-(

Tilbage til IT-sikkerheden. Internettet er forbløffende nyt. Godt nok har det eksisteret siden tresserne, men for den almindelige bruger starter internettet først i 1995.

Syv år har vi haft til at lære at leve med det, og det har jo ikke stået stille imens. Før internettet havde vi computerbrugere også sikkerhedsproblemer. Virus er faktisk ikke opstået med internettet. Før 1995 var den væsentligste smittekilde disketter, der havde været ude i noget snavs. Og vi har desværre glemt fra dengang, hvordan man forhindrede smitte: Man kunne købe en hængelås, der blokerede diskettedrevet, en slags kyskhedsbælte.

Og det er det ultimative svar, hvis vi kun vil tale om 'it-sikkerhed': hiv dog stikket ud af din internetopkobling - eller endnu bedre: Sluk for maskinen. Så er du sikker på ikke at blive angrebet.

Men hvis du ikke vil det, så må du holde op med at tro på, at it-sikkerhed er løsningen på dine og vores problemer. Vores problem er at opbygge den kultur omkring internettet, der skal til, for at vi kan leve med det - og få noget nyttigt ud af det. Og kultur handler først og fremmest om mennesker, ikke om teknik, og der er ingen, der kan tage patent på, hvad denne kultur vil komme til at indebære; vi må i fællesskab arbejde os frem til den. Men der tegner sig nogle konturer:

Først må vi stoppe med hele tiden at finde splinten i andres øjne - vi må påtage os ansvaret. Du er selv spiller på rouletten, og hvordan opfører du dig? Internettet er en stor og vildt voksende organisme, som ingen længere påstår at kunne overskue, og det er heller ikke meningen.

Men som bruger kunne man få en fornemmelse af, at man sidder på sidelinien og ser til, mens de store leger. Det er ikke rigtigt. Vi er så skolede i, at der er ting og personer, der er mere centrale end andre: embedsværket i forhold til den enkelte borger, skolelæreren i forhold til eleven, brugeren i forhold til it-afdelingen, at vi ikke kan forestille os os selv som ligeværdige spillere - og så i verdensmålestok. Mange internetbrugere søger derfor også ly i forskellige portaler, der foregiver at give en indgang til alt det væsentlige på internettet. Ingen portal dækker mere end en ringe procentdel, men de giver os illusionen om, at vi 'bare' er modtagere, ikke medspillere, vi er bare med på en 'kigger'. Men sådan er det ikke, et enkelt eksempel anskueliggør det:

Du modtager en mail en dag - tilsyneladende fra en god ven. Du åbner den, og straks har du startet et program, der leder dine adresselister igennem og sender en mail til alle dine venner med en virus, der ødelægger modtagerens data - fotos, regnskaber, kærestebreve, alt er væk. Du bliver naturligvis meget sur på ham, der har sendt dig mailen.

Men hvordan føler du det i forhold til dem, der har modtaget 'din' mail? Ja, ikke sandt, der skal gåseøjne om 'din', for du synes ikke, det er din mail; du har jo bare modtaget den. Så for dig er det let at placere ansvaret: det er vennen, du modtog mailen fra, eller det er antivirusprogrammet, du har købt i dyre domme, og som ikke kendte den virus, eller også er det de lede virusudviklere.

Og her er det, vi må tænke os om. Hvis du har et sygt barn, vil du vel aldrig slå dig til tåls med, at det er børnehavens skyld med al den smitte, eller det er lægens skyld, for han skulle have forudset faren, eller - din kones skyld, for hun kunne have ladet være med at få barnet. Det er for absurd, ikke? Du ville sørge for, at barnet fik den optimale behandling, og du ville føle dig dybt ansvarlig for, at barnet blev rask igen.

Men hvorfor forsvinder så vores ansvar, når vi sidder bag skærmen? Og svaret er: Vi er for unge endnu. Vi må først lære, at ansvaret er vores: Det er mit ansvar som bruger, at der er antivirusprogram på min maskine. Det er mit ansvar, at virusdefinitionerne er opdateret. Det er mit ansvar at være mistænksom over for mystiske mail. Vi har endnu ikke set en retssag, hvor en bruger er blevet stillet til ansvar for at have videreformidlet virus - i menneskeverdenen har vi et helt lovsæt for viderebringere af livsfarlig smitte, men ikke i internetverdenen - lovgivningen afspejler jo niveauet for vores ansvarsfølelse, ikke omvendt. Men en dag vil den første retssag komme.

Og du kan ikke betale dig fra dit ansvar, selvom reklamerne lover det modsatte. Et eksempel: Du går til frokostpause, og din maskine er tændt som sædvanlig. Din kollega har sin elleveårige nevø med. Han kan det der med tastaturet, sletter dine breve og besøger en hjemmeside, der ringer op til en fræk tjeneste på St. Helena på et betalingsnummer til en formue. Kort sagt, du er ikke venligtsindet, da du opdager det. Og naturligvis har du ret i, at det er en irriterende unge; det er for groft med St. Helena, kan de ikke bombes eller i det mindste få kappet ledningerne til fastlandet? Men hvad med dit eget ansvar? Du kunne jo bare slukke for maskinen, du kunne jo bare sætte en pauseskærm på, der lukker med password efter ti minutters pause - og nej, det er ikke it- afdelingen, der skulle have tænkt på det. Du er spilleren.

Bare ét til eksempel: dit firma har alle tiders sikkerhedssystem - folk kommer rejsende langvejsfra for at beundre det. Der ER pauseskærme med password; der ER tvunget skift af password hver måned - de er ret dygtige i it-afdelingen. Men en dag bliver du ringet op af en Per fra it-afdelingen, der siger, at de lige skal tjekke din konto, de er bange for, at der er en virus under udvikling i dine filer. De har af sikkerhedsgrunde ikke dit password, så det må du lige give dem. Du giver Per dit password. Ti minutter efter kommer den nye vinduespudser - og du kan selv fortsætte historien. Men i modsætning til de andre eksempler har du ikke det primære ansvar her. Det har din direktør, for her er helt klart ført en sikkerhedspolitik, hvor man har forsøgt at klare problemerne ad teknologisk vej, og ikke har indset, at det ikke handler alene om teknologisk sikkerhed, men om menneskelig ansvarlighed.

Og dermed er vi tilbage ved udgangspunktet. Drop den snak om it-sikkerhed som udelukkende et teknologisk problem. Så længe vi afviser at påtage os ansvaret for udviklingen, vil hver ny teknologisk 'løsning' blot fremkalde nye onder, og vi vil føle os som evigt uskyldigt forfulgte af hackere, virusmagere, pornobølger, pædofile, trojanske heste, elleveårige nevøer og fjendelandet St. Helena.