Sikkerhedssoftware er den ultimative bagdør for hackere og spioner – kan du stole på din leverandør?

ComputerViews: Sikkerhedsbranchen buldrer derudad, og der er blevet fuldstændig forretningskritisk at have styr på it-sikkerheden. Men er sikkerhedsfirmaerne egentlig selv sikre? Det kan vi ikke længere være sikre på.

Sikkerhedsbranchen har kronede dage, og flere og flere virksomheder investerer mere og mere i cybersikkerhed for at beskytte sig mod hackere, der konstant bliver dygtigere og mere professionelle.

Det er et veletableret faktum, at man ikke kan sikre sig 100 procent - og foruroligende nok ser det nu ud til, at den sandhed også gælder sikkerhedsfirmaerne selv.

For nylig kunne amerikanske medier fortælle, at israelske spioner hackede Kaspersky Lab i 2015 og blandt andet fandt ud af, at statsstøttede russiske hackere brugte den kompromitterede sikkerhedssoftware til at stjæle hemmeligheder fra NSA.

Det kan du læse mere om her: Israel hackede Kasperskys netværk og fandt beviser: Russere brugte sikkerhedssoftware til stjæle fra NSA

Hvem vogter vogterne?
Hvad de israelske spioner i øvrigt lavede på Kasperskys netværk melder historien ikke noget om, men det er nærliggende at spørge sig selv: Hvem vogter egentlig vogterne?

For kompromitterede sikkerhedsfirmaer er en skræmmende tanke.

Vi stoler på dem, og deres produkter skal ofte have uhindret adgang til alle filer på de computere og servere, de beskytter.

En bedre bagdør findes ikke, og sikkerhedsfirmaerne er derfor oplagte mål for de mere eller mindre uofficielle statshackere.

Kold it-krig
Den største it-trussel mod både virksomheder og myndigheder er ikke længere it-kyndige ballademagere i mors kælder.

Nationalstater gør flittigt brug af hackere til alt fra politisk meningspåvirkning til statssponsoreret industrispionage, og det trækker store veksler på sikkerhedsbranchens integritet.

Sikkerhedsfirmaerne presses, og situationen minder om en ny kold krig.

Spillerne hedder stadig Rusland, Kina og USA, men krigen udkæmpes med digitale våben.

I stedet for at bruge mange år på at få placeret en spion i et andet lands efterretningstjeneste, hacker man nu emails og bryder ind på netværk.

Hvis man som udenlandsk virksomhed vil sælge sikkerhedssoftware i Rusland eller Kina, kræver begge landes myndigheder kildekode til gennemsyn - og det krav er tilsyneladende ikke ualmindeligt at efterkomme.

For nylig kom det eksempelvis frem, at HPE troskyldigt har ladet russerne gennemgå kildekoden til en software, der også bruges til at beskytte Pentagons netværk.

Men hvor tryg kan man som europæisk eller amerikansk kunde være ved at bruge sikkerhedsprodukter, som de russiske myndigheder haft adgang til, når mange af de hackerangreb, man gerne vil beskytte sig mod, stammer fra netop Rusland?

Og hvor trygge kan russerne eller kineserne i øvrigt være ved at købe amerikansk software, når det er en kendt sag, at amerikanske myndigheder er mere end ivrige efter at få bagdøre til virksomhedernes produkter?

Kan it-sikkerheden holde til storpolitik?
Amerikanske Symantec har for nylig så godt som givet afkald på det russiske marked ved at melde ud, at man af frygt for russiske stats-hackere ikke længere vil udlevere kildekode til gennemsyn.

Det kan du læse mere om her: Symantec frygter russiske statshackere: Nægter at udlevere kildekode til gennemsyn

Det er en fornuftig beslutning, da Symantec i forvejen ikke sælger meget i Rusland, og virksomheden nu kan fremstå som duks hjemme i USA.

Men det illustrerer også, at staternes stigende interesse i hacking gør det ekstremt komplekst at købe it-sikkerhed.

For der er meget på spil for sikkerhedsfirmaerne.

Symantec kan fint afskrive et marked, man i forvejen ikke tjener det store på, men som HPE-eksemplet illustrerer, er det ikke alle, der har den luksus.

Hvis det russiske marked er vigtigt, og Kreml kræver kildekode som adgangsbillet, så er det svært at sige nej.

Problemet går naturligvis begge veje, for hvem vil sige nej til det amerikanske marked i den modsatte situation?

Beviserne for slet spil er i sagens natur meget svære at skaffe, og sikkerhedsfirmaerne er sandsynligvis lige så meget gidsler i dette her, som kunderne er.

Langt de fleste agerer stensikkert helt efter bogen i god tro, men det politiske spil har alligevel meget reelle konsekvenser for virksomhederne.

Kaspersky Lab har store problemer i USA – og denne skribent tør godt lægge hovedet på blokken og forudsige, at de russiske sikkerhedseksperter ikke vil være at finde på en indkøbsaftale med den danske stat lige foreløbig. Beviser eller ej.

Læs også: Kaspersky forbudt hos amerikanske myndigheder: Beordret til at slette softwaren senest om 90 dage



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Premium
IBM efter overtagelsen af 300 KMD-medarbejdere: "Vi har ikke planer om at indføre tryghedsaftaler"
Interview: IBM ønsker ikke at indføre tryghedsaftaler. Det er meldingen fra selskabets kommunikationschef, Benedicte Strøm, der understreger, at selskabet vil overholde sine forpligtelser over for de 300 KMD-ansatte, der overflyttes til virksomheden fra begyndelsen af oktober.
Computerworld
KMD tæt på milliardaftale med IBM: Klar til at outsource infrastruktur og hundredevis af medarbejdere
Ifølge Computerworlds oplysninger er KMD tæt på at outsource selskabets infrastruktur og driftsopgaver til IBM. Det betyder, at flere hundrede medarbejdere vil blive berørt af den flerårige aftale, som har en årlig værdi på omkring 500 millioner kroner.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
Står din infrastruktur i vejen for virksomhedens udvikling? … her er de 10 vigtigste overvejelser
Oplever du, at din virksomheds it-infrastruktur er en stopklods for udviklingen af forretningen, digitalisering og konkurrencekraft? Måske er svaret hyperkonvergeret infrastruktur, hvor software og hardware smelter sammen i én konkurrencedygtig enhed, som er nem at administrere. Men der er 10 meget vigtige overvejelser at gøre sig, før man vælger en løsning. Læs dette whitepaper fra Lenovo og bliv klædt bedre på til at vælge rigtigt. 10 Key Considerations for Selecting Hyper-Converged Infrastructure - What to Know Before You Choose a Solution, Lenovo, 18 sider på engelsk.