Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 9. december 2005.
Hos DK-CERT og Secunia kan virksomheder få skræddersyet sikkerhedsinformationen til deres it-miljø. Selve patchningen må virksomheden selv tage ansvar for.
It-sikkerhedsfirmaerne Secunia og DK-CERT vil gerne give sikkerhedsinformation og -råd til danske virksomheder, men vil ikke begynde at installere patches og opgradere systemerne hos deres kunder.
Både DK-CERT og Secunia registrerer løbende de sårbarheder, der registreres i styresystemer, databaser og applikationer. Med en stadig strøm af nye sårbarheder kan mængden af information om trusler mod it-systemer være overvældende.
Derfor tilbyder de to firmaer at filtrere informationsmængden, så den tilpasses den enkelte virksomheds behov. Kun information om sårbarheder, der findes i et firmas it-systemer, bliver sendt til firmaets it-afdeling.
Hos Secunia holder man eksempelvis en database opdateret med oplysninger om sikkerhedstrusler mod flere end 6.000 forskellige softwareprodukter. Hvis Secunia ved, hvilken software en virksomhed anvender, kan Secunia udsende sikkerhedsbulletiner til virksomheden, hvis der registreres en sårbarhed i et af de softwareprodukter, som virksomheden anvender.
- Kunderne indrapporterer deres operativsystemer og andet software via internettet. Informationen lægges ind i Secunias database, og så snart der registreres en sårbarhed, bliver kunden kontaktet, siger Michael Kristensen, teknisk direktør hos Secunia.
Oplysningen om sårbarheden suppleres med information om, hvor en eventuel patch kan downloades. Hvis der ikke er nogen patch, beskriver Secunia en workaround, så kunden kan undgå sårbarheden ved eksempelvis at rekonfigurere sit system.
Her stopper Secunias service. Selve arbejdet med at patche systemerne og sørge for at minimere truslen overlades til virksomhederne selv.
- Vi specialiserer os i trusselsoplysninger. Her og nu har vi ingen planer om at gå ind i patchmanagement. Vi vil gerne være leverandøruafhængige, og der kunne potentielt være en interessekonflikt ved at gå ind i patchmanagement, siger Michael Kristensen.
Hvis Secunia skulle stå for patchning, ville de formentlig anvende et patchmanagementsystem, og det kunne skade troværdigheden.
- Vi vil helst heller ikke anbefale produkter, da vi ikke vil beskyldes for at være i lommen på en leverandør. Vi vil meget gerne samarbejde med de forskellige leverandører, men vi holder ikke mund, hvis der er sårbarhedsproblemer, siger Michael Kristensen.
Heller ikke en anden leverandør af it-trusselsinformation, DK-CERT, ønsker at gå ind og sørge for, at virksomhedernes it-systemer rent faktisk bliver opgraderet og patchet efter de forskrifter, som DK-CERT sender ud.
- Vi har da overvejet at tage skridtet videre og stå for den egentlige patchning. Men det er en svær proces, som vi ikke vil gå ind i. Vi fortæller, hvilke trusler der er, hvor der kan findes patches, og hvad virksomhederne ellers skal gøre for at imødegå truslen. Derefter lader vi det være op til virksomhederne at vurdere, hvad de vil gøre, siger chefkonsulent Preben Andersen fra DK-CERT.
Hvis man eksempelvis installerer en ny patch til et styresystem, kan det medføre, at nogle applikationer ikke fungerer. Det er en af årsagerne til, at DK-CERT ikke vil gå ind på det område.
- En ordentlig patchning kræver, at man tester effekten på de forskellige systemer. Man skal være sikker på, at applikationerne kan køre efter patchningen. Det kan være en større operation, som er for kompliceret for os. Vi kunne risikere at få sagsanlæg, siger Preben Andersen.
Han mener desuden, at de fleste it-ansvarlige foretrækker at have ansvaret for patchning og opgradering. De anvender så patchmanagementsystemer fra forskellige leverandører som IBM, CA og Microsoft.
Både DK-CERT og Secunia henviser til forskellige konsulentfirmaer, hvis virksomhederne ønsker, at andre skal stå for opgradering og patchning af it-systemerne.