Artikel top billede

DK-Cert: Sådan bliver banksystemerne mere sikre

Klumme: Det giver gevinst at tænke sikkerheden ind i systemudviklingen lige fra begyndelsen. Nu kommer bankverdenen med på vognen, skriver Shehzad Ahmad fra DK-Cert i denne klumme.

Fremtidens netbanker bliver mere sikre. Det kan blive konsekvensen af en af de mindre omtalte nyheder fra den seneste måned.

Det er i denne tid 10 år siden, at Microsoft begyndte at tage sikkerhed alvorligt.

Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.

Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner.

Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.

Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl.

Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.

Sikker finanssoftware

Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder.

Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.

Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker.

En god del af indholdet er taget direkte fra SDL.

En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.

Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.

I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.

Både SDL og BITS-rammeværket kan hentes gratis.

Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem.

Der er god inspiration at hente - også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.

Microsoft er blevet meget bedre til sikkerhed

Jeg kom til at tænke på SDL, da jeg så den seneste årsrapport fra det danske sikkerhedsfirma Secunia.

Rapporten viser, hvilke sårbare programmer brugere har installeret.

I 2006 stammede 54 procent af sårbarhederne fra Microsoft-programmer.

I 2011 var tallet faldet til 22 procent - 12 procent for styresystemet og 10 procent fra øvrige Microsoft-programmer.

Meget positivt

Det er meget positivt, at Microsoft i den grad har nedbragt mængden af sårbarheder.

Samtidig er funktionen til automatisk opdatering også med til at sikre, at sikkerhedshuller bliver lukket hurtigere end før.

Men tallene fortæller også en trist historie.

Mængden af sårbarheder er nemlig stigende.

Og den store udfordring ligger nu hos Microsofts konkurrenter og partnere.

De tegnede sig for 78 procent af sårbarhederne på brugernes pc'er.

Nogle softwarehuse har allerede gjort noget ved sagen. Adobe, hvis programmer har været en lige så stor sikkerhedsmæssig katastrofe som Microsofts tidligere var, har indført en sikker udviklingsproces.

Ved at bruge sandkasseteknologi har de effektivt bremset udnyttelsen af sårbarheder i Adobe Reader X. Nu er samme teknologi på vej ind i Flash til Firefox.

Opdatering tager ressourcer

Softwarehusene har imidlertid det problem, at deres programmer ikke opdateres automatisk via den indbyggede funktion i Windows.

Derfor er de nødt til selv at udvikle opdateringsfunktioner.

Det sker også. Men det medfører, at der skal køre endnu flere programmer på pc'en: For hvert eneste installeret program skal der køre et program, som tjekker, om der er kommet opdateringer til det.

Det kan gøre computeren langsommere.

Jeg ville derfor ønske, at der kunne udvikles en fælles infrastruktur for softwareopdateringer.

Desværre har Microsoft tidligere afvist at lukke op for tredjepartsprogrammer i Windows Update.

Indtil det sker, kan jeg anbefale, at man bruger et værktøj til at tjekke, at ens programmer er opdateret.

Til enkeltstående pc'er er der gode, gratis løsninger, som oven i købet er danskudviklede.

Der findes også løsninger til at tjekke alle computerne på en virksomheds netværk.

Sikre udviklingsmetoder vil ikke fjerne alle sårbarheder. Men de kan nedbringe antallet af alvorlige sårbarheder og hjælpe til, at fejlene findes og rettes hurtigere.¨

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team.

I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere