Artikel top billede

Kære medier: Skru ned for sensationen

Klumme: Når vi informerer om nye trusler, skal vi undgå skræmmebilleder og dommedagsretorik, skriver Shehzad Ahmad i denne klumme.

"Eksperter: Det er et spørgsmål om uger, før Explorer-virus rammer danskerne."

Sådan lød en af overskrifterne om den sårbarhed i Internet Explorer, der var blandt de største sikkerhedshistorier i sidste måned.

Andre medier talte om "Kæmpehul i Explorer." Flere brugte ordet "virus."

Når sikkerhedseksperter opdager en alvorlig sårbarhed, stiller det krav både til os i sikkerhedsverdenen og til medierne. Vi skal i fællesskab sørge for at kommunikere ordentligt om sagen.

I dette tilfælde synes jeg, at nogle medier skruede rigeligt op for sensationen.

Ja, sårbarheden var alvorlig. Men der findes ingen virus, der udnytter den - forstået som et program, der automatisk spreder sig til sårbare computere.

Historien om et hul

Historien om hullet i Internet Explorer er denne:

I august var der meget fokus på et nyopdaget hul i Java. Det blev udnyttet aktivt til angreb.

Et af angrebene foregik fra en webserver, som en sikkerhedsforsker undersøgte nærmere. Her fandt han en mappe med nogle mystiske filer.

Det viste sig, at filerne udnyttede et hidtil ukendt hul i Internet Explorer.

Det skrev han om på sin blog. Dagen efter bekræftede Microsoft, at der ganske rigtigt var tale om en sårbarhed i Internet Explorer.

For at blive offer for sårbarheden skulle man altså besøge et websted, hvorpå der lå et program, som udnyttede den.

Der var ingen orm eller virus, der udnyttede den.

Det pågældende websted ser ud til at have været brugt i målrettede angreb. Det vil sige, at det sandsynligvis har ramt få, nøje udvalgte ofre.

Det skal folk vide

Samtidig med at sårbarheden blev kendt, udsendte folk fra Metasploit-projektet et angrebsprogram, der udnytter den.

Dermed blev det let at lave websider, der angriber besøgende med sårbare pc'er.

I Dk-Cert var vores udfordring derfor, at vi skulle formidle følgende oplysninger:

- Internet Explorer har en alvorlig sårbarhed.

- Den har hidtil kun været udnyttet til begrænsede angreb.

- Der er potentiale for, at den vil kunne udnyttes bredere.

- Man kan undgå at blive ramt, hvis man undlader at bruge Internet Explorer.

- Man kan beskytte sig ved at sætte sikkerhedsniveauet til "Høj" for zonen Internet.

Der manglede jo en oplysning

Der var også mere teknisk krævende beskyttelsesmetoder, men ovenstående var dem, som vi skønnede, at almindelige pc-brugere kunne håndtere.

De råd gav vi videre.

Og inden længe hørte jeg fra folk, der havde ændret sikkerhedsniveauet til "Høj."

Da de så opdagede, at deres netbank ikke virkede længere, satte de niveauet tilbage til "Mellem" - og var dermed ubeskyttede igen.

For det manglede jo en oplysning:

Hvis man vil bruge websider med aktivt indhold, efter at man har sat sikkerhedsniveauet for Internet-zonen til "Høj", skal man tilføje de websider til zonen Pålidelige websteder.

Vi vil få folk til at handle

Jeg nævner disse detaljer for at illustrere, hvor svært det er at informere dækkende om sikkerhedstrusler.

Det er nemt nok at sige: Katastrofe, verden går under!

Det er langt sværere at informere sagligt, så man får de nødvendige detaljer med, uden at det bliver uforståeligt.

Målet med kommunikationen er, at folk skal forstå, hvad truslen går ud på. De skal vide, om deres computer kan være i farezonen.

De skal vide, hvad de kan gøre for at beskytte sig.

Og allerhelst skal de også gøre det!

Udfordring vokser

At kommunikere virkningsfuldt om sikkerhedstrusler er en af de sværeste opgaver, vi sikkerhedsfolk har. Og den bliver større i fremtiden.

I dag er de fleste trusler stadig på pc-platformen.

Men vi har set de første eksempler på skadelige programmer til mobiltelefoner.

Det er kun et spørgsmål om tid, før der er sårbarheder i og trusler mod tavlecomputere, tv-apparater, harddiskoptagere, digitalkameraer, GPS'er og al den anden elektronik, vi omgiver os med.

Det stiller endnu større krav til os om at kommunikere sagligt, forsvarligt og forståeligt.

Når overdrivelse ikke fremmer

Til slut vil jeg indrømme, at jeg selv kan falde for fristelsen til at smøre for tykt på i min udmelding om en ny trussel.

Det er vi flere sikkerhedsfolk, der gør.

Årsagen er nok, at vi tror, det er nødvendigt at overdrive for at få opmærksomhed om en reel trussel.

I dag kan vi ikke klage over, at it-sikkerhed ikke får nok opmærksomhed. Så der er ingen grund til at overdrive, medierne skal nok dække de nye trusler.

Det er godt. Men både sikkerhedsbranchen og medierne skal blive bedre til at informere.

Vores mål skal være: Saglig, neutral og handlingsanvisende information, der får modtagerne til at handle.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

DK-CERT er en tjeneste fra UNI-C, en styrelse under Ministeriet for Børn og Undervisning.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hjemmearbejdets påvirkning på trivsel, helbred og arbejdsmiljø

Fremtidens arbejdsplads er hybrid, det er der ingen tvivl om. Men hvad fører det egentlig med sig? Og hvordan omstiller du og din arbejdsplads sig til det? Det kan du blive klogere på, på denne digitale konference.

02. februar 2022 | Læs mere


GDPR - persondatabeskyttelse i praksis

Håndteringen af persondata og GDPR er for længst blevet hverdag hos de danske organisationer, men derfor er det til stadighed vigtigt og altafgørende, at den løbende overholdelse af GDPR er på plads. Vær med og hør, hvordan du ved hjælp af processuelle greb, værktøjer og systemer kan sikre dette.

08. februar 2022 | Læs mere


Analytics, BI og data science: Data-behandling i realtid

Datadrevne løsninger er godt på vej til at vinde indpas i næsten alle industrier - og med god grund. For der er store muligheder i at kunne forstå, fortolke og reagere lynhurtigt på de store datamængder, som alle organisationer genererer. På dette seminar kan du høre om nogle af de bedste eksempler inden for praktisk anvendelse af avanceret data-analyse, hvordan du kommer i gang, og hvordan du kan høste udbytte.

22. februar 2022 | Læs mere






CIO
Sådan tager top-CIO Pernille Geneser livtag med 40 år gamle it-systemer i Stark Group med 10.000 medarbejdere