Søg

Vi har brug for mere sikker software

Ikke mere sikkerhedssoftware.

06. juli 2016 kl. 15.19
Artikel top billede

(Foto: Computerworld)

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Overskriften her er et citat fra den rapport, jeg bruger som grundlag for denne artikel, og der er vel ikke mange, som kan være uenige i den betragtning? Rapporten kommer fra Whitehat Security, og det er en rapport, der er udkommet hvert år siden 2006. Rapporten handler om de sårbarheder og huller, der har været i webapplikationer i det forgangne år 2015. Selve rapporten handler udelukkende om huller i websoftware, eftersom der er masser af andre rapporter om sårbarheder og huller i software generelt. Sidst men ikke mindst handler rapporten om de sårbarheder, der opstår i specialudviklede webapplikationer til firmaer. Det vil her sige applikationer, der er udviklet fra bunden af et firma for at tilfredsstille et behov. Så vi taler altså om applikationer, der er udviklet i f.eks. PHP eller ASP.NET, men ikke websider der kører på f.eks. Drupal og lignende.

Usikre webapps har store omkostninger
Det er desværre ikke længere en overraskelse, når vi i dagbladene læser, at et firma igen er blevet udsat for et indbrud i deres webapplikation og har mistet data. Det er ikke en daglig foreteelse, men det er en ugentlig en af slagsen. Det er blevet så almindeligt, at det nu kun er de allerstørste af slagsen, der kommer i aviserne.
Ponemon, der er et institut, der laver uafhængige undersøgelser af forskellige aspekter af sikkerhed, siger, at 45% af alle de indbrud, der sker i webapplikationer, koster $ 500.000 eller små 3 millioner danske kroner eller mere. Det er næsten halvdelen af alle indbrud, der har omkostninger i den størrelsesorden. Det bringer os tilbage til det citat, jeg brugte i overskriften til denne artikel. Vi har brug for mere sikker software ikke mere sikkerhedssoftware. De data, der er blevet brugt til rapporten, er på flere hundrede terabytes og kommer fra titusindvis af websider fra organisationer, der dækker et vidt spektrum af virksomhedstyper og brancher. Men lad os komme i gang med at kigge på de resultater som WhiteHat er kommet frem til.

Kodeanalyse og arkitekturanalyse
For det første findes der ikke et sæt af ’best practices’, der kan bruges overalt for at implementere sikkerhed i koden. Så sikkerheden i koden er altså mere bestemt af de forhold, som koden skal kunne fungere under. Når det så er sagt, så er der metoder, man kan implementere i sin udviklingsproces, som kan hjælpe på sikkerheden. Nogle eksempler er statisk kodeanalyse og arkitekturanalyse, der kan hjælpe med at reducere de sårbarheder, der er i koden, men som f.eks. ikke vil have nogen effekt på den tid det vil tage et udviklerteam at fikse en sårbarhed, når koden først er i produktion. Begge dele skal tages med, når man kigger på sårbarheder.

WhiteHat kunder blev også spurgt om, hvad deres primære grund til at fikse de sårbarheder, de fandt var. Her svarede 35 %, at det var for at reducere risiko. Overraskende nok, så var det tal 20 % mere end dem, der svarede, at det var pga. complience. I 2013 var complience den højeste grund til, at virksomhederne fiskede sårbarheder. Vi må gætte på, at en af grundene til ændringen er, at de virksomheder, der kæmpede med at blive compliant i 2013, er blevet det i mellemtiden. Og alligevel så bliver de store hacks af webapplikationer ved med at komme. At risikoreduktion er blevet den største faktor i 2015 kan kun tolkes som en positiv udvikling. At vide hvad ens risikoeksponering er, gør det markant nemmere at fokusere sine aktiviteter på de områder, hvor risikoen er størst.

 

AOD09_sikkerhedszonen02

Undersøgelsen viste også, at organisationer, der er drevet af et behov for at vise, at de er compliant, finder det laveste antal sårbarheder i deres websites. 12 pr. website. Mens de organisationer, der er drevet af et behov for at reducere risiko, finder 23 sårbarheder. Hvad betyder det? En skeptisk læser kunne tolke det som, at de organisationer, der skal være compliant, leder efter og finder de sårbarheder de skal, mens dem, der er drevet af at minimere risiko, er mere grundige? Et af de sikkerhedsråd jeg altid har fulgt, dukker op her. Hvis du leder efter færre sårbarheder, så finder du også færre.

Man kan også spørge sig selv, om ikke det at fokusere på risikoreducering ikke også betyder, at man samtidigt er compliant? Det skulle man mene, og jeg er sikker på, at når de organisationer, der lige nu fokuserer på compliance kommer videre, så vil også de skifte fokus til risikoreducering. Hvad med den tid som organisationerne bruger på at fikse de sårbarheder, som de eller andre finder? Betyder det noget i det store billede? Her er rapporten meget klar. At implementere et system, der giver udviklerne feedback på de sårbarheder, der bliver fundet, og implementere et sikkerhedsfokus i udviklerafdelingen reducerer antallet af sårbarheder i webapplikationen med 45 %. Samtidigt er den tid, det tager udviklerne at fikse en sårbarhed, reduceret med 13 %. Det er tal, der er til at tage og føle på!

Jeg nævnte statisk kodeanalyse tidligere i artiklen, og rapporten har yderligere at sige om den form for analyse. De udviklingsteams/organisationer, som tager statisk kodeanalyse til sig, og laver analysen dagligt, er ca. 96 dage om at fikse en sårbarhed. Dem, der ikke bruger statisk kodeanalyse, er op til 157 dage om at fikse en sårbarhed. Det er to måneder mere end dem, der bruger det.

AOD09_sikkerhedszonen03

Hvor ligger sårbarhederne?
Her til sidst, så lad os kigge på nogle af de figurer, der er inkluderet i rapporten. På figur 1 kan du se en oversigt over de forskellige områder, som sårbarheder kommer fra. De fleste af dem er områder, som vi kender i forvejen, men jeg vil godt knytte en kommentar til den søjle, der hedder ’Information Leakage’ på figur 1. Den søjle dækker over de sårbarheder som pga. konfigurerings- eller kodefejl lækker oplysninger. Jeg synes, det er trist at lige præcis den søjle er så høj, som den er. Specielt set i lyset af, at alle de store hacks, som vi har hørt om i de seneste år, har lækket enorme mængder af oplysninger om fuldstændigt uskyldige borgere rundt omkring i verden.

Figur 2 viser, hvordan sårbarhederne i figur 1 er fordelt på forskellige brancher. Læg mærke til, at de fleste brancher ligger inden for 10 % afstand til hinanden, så det ser ud til, at de alle sammen har de samme problemer med at udvikle sikker software og vedligeholde den.

Hele rapporten er på 30 sider, og jeg vil anbefale dig at downloade og læse den, hvis du har interesse i, hvad status er på sikkerheden i specialudviklede webapplikationer. Du kan finde den til download på http://www.infosecurity-magazine.com/. God læsning!

 

 

Læses lige nu

    Seneste nyt

    |Vis seneste uge

    Annonce

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Specialister til Overvågning, sikkerhed og compliance til Forsvarets nye Digital Backbone

    Midtjylland

    Netcompany A/S

    IT Consultant

    Nordjylland

    Region Midtjylland

    AI-specialist med både teknisk dybde og overblik

    Midtjylland

    Forsvarets Efterretningstjeneste

    Telekommunikationsingeniør til Afdeling for Elektronisk Indhentning

    Københavnsområdet

    Se flere it-stillinger
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Platform X 2026: Forretning, teknologi og transformation

    It-løsninger | København V

    Platform X 2026: Forretning, teknologi og transformation

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    Årets CIO 2026

    Andre events | Kongens Lyngby

    Årets CIO 2026

    Vi samler Danmarks stærkeste digitale ledere til en dag med viden og visioner. Årets CIO 2026 fejrer 21 års jubilæum, og NEXT CIO sætter spotlight på næste generation. Deltag og bliv inspireret til at forme fremtidens strategi og eksekvering.

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    Digital transformation | Hellerup

    Roundtable: Stærkere data og skarpere beslutninger i en AI-æra

    AI kræver data, ledelsen kan stole på. Computerworld samler digitale ledere til en fortrolig rundbordssamtale om datagrundlag, beslutninger og skalering af AI i organisationen. Få konkrete erfaringer og nye perspektiver. Ansøg om en plads.

    Se alle vores events inden for it

    Computerworld

    Opinion

    Navnenyt fra it-Danmark

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura

    Mohamed El Haddaoui, er pr. 7. april 2026 ansat hos Dafolo A/S som IT-systemudvikler. Han skal især beskæftige sig med udviklingsopgaver relateret til Brugerklubben SBSYS. Han er nyuddannet datamatiker og har erfaring med udvikling af REST API'er og integreret databaser. Nyt job

    Mohamed El Haddaoui

    Dafolo A/S

    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job

    Louise Sara Baunsgaard

    Guardsix

    Se mere fra navnenyt

    Mest læste

    1 Nets ramt af kæmpe-nedbrud: Kortbetalinger afvises over hele landet
    2 Nets er tilbage i normal drift og peger på intern fejl som årsag til nedbrud: ”Vi beklager"
    3 Vi tester normalt ikke gadgets: Men når en af slagsen kan lindre myggestik, gør vi en undtagelse
    4 Efter endnu et kæmpe Nets-nedbrud: Resiliens er noget vi har i Danmark - så længe alting virker
    5 Lenovos nye lækre bærbare computer er en ekstrem letvægter - vejer lidt over 900 gram
    6 Morgen-briefing: Pär Fors bliver CEO i Iver Group / Danskere siger nej tak til chatbots / Verdensmester i hotdogspisning - fordi AI-svar kan manipuleres
    7 Ransomware-angreb mod it-leverandør rammer flere danske kommuner: Persondata om børn er stjålet
    8 Reportage: AI-blodbad får SAP til at øge tempo og love selvkørende virksomheder

    Se seneste uge