Kapital, September 2008
Gaute Lien og Pejman Bagheri, Sikkerhetseksperter i Accenture Technology Consulting. Facebook, Wiki, Flickr, Blogger og andre varianter av samhandlingsapplikasjoner bør tvinge frem nye evalueringer av risikobilde. “IDC mener at Web 2.0-baserte tjenester vil bli den største sikkerhetsrisikoen i 2009” i følge en artikkel på digi.no Det er faktisk ikke mer enn 3 år siden at sikkerhetstrusler av samme type lå helt i startgropa i hypekurven til Gartner. Men allerede i fjor hadde blant annet SANS rangert sårbarheter rundt Web 2.0 på åttende plass i ti-på-topp sikkerhetsrisikoer for 2008. I RSA Conference sin undersøkelse fra noen måneder tilbake vedrørende sikkerhetstrusler frem til medio 2009 kom det frem at bedrifter anser datalekkasje som sikkerhetstrussel nummer en, mens skadevare via e-post kom på nummer to og skadevare via web på nummer tre, noe som kan underbygge deler av IDC sin undersøkelse. Web 2.0 er i utgangspunktet ikke en ny teknologi, men heller en videreutvikling av tradisjonell web-teknologi. Siden det ikke er en ny teknologi, introduserer den derfor heller ingen egenartede nye trusler. Men videreutviklingen har ført til større angrepsvektor og mer komplekse tjenester. Det er altså snakk om de samme sårbarhetene som før, men på nye og uvante steder og som en blanding av to applikasjonsparadigmer. Man får alle sårbarhetene til begge sider, samt nye kombinasjoner. Det er mange aktører som du skal beskytte og beskytte deg mot. Antall aktører og grensesnitt gjør løsningen komplisert, og det er tilsvarende komplisert å finne og sikre alle nødvendige sårbarheter i løsningen. Som en følge av dette er det behov for ny evaluering av risikobildet uten at en slik oppgave bør komme som en bombe på noen. Facebook, Wiki, Flickr, Blogger og andre varianter av samhandlingsapplikasjoner på web har allerede vært nevnt i variasjoner av sikkerhetsdebatten som pågår. DA Å tenke på sikkerhet som man har gjort med tidligere websystemer duger ikke lenger alene. Det er mange flere å beskytte seg mot, samt at ansvaret for å beskytte også inkluderer brukeren. Vi har tidligere anbefalt økt oppmerksomhet mot interne trusler, og mener at selskaper fortsatt bør prioritere dem. Dette er ofte truslene med potensial til å gjøre aller størst skade. Fortsatt blir interne trusler som menneskelig feil, uærlige tjenere, eller sosial manipulering av egne brukere nedprioritert i forhold til eksterne angrep via Internett eller andre kanaler. Med god hjelp av Web 2.0 ser vi at privat og arbeidsmessig bruksmønster går i hverandre, og man kan ikke lenger effektivt skille mellom jobb- og privatbruk. Skillet mellom interne og eksterne trusler viskes derfor ut og tidslinja mot en mulig større skandale blir ditto kortere. Det er kanskje ”en facebook sikkerhetsskandale” som må til for å gi et skifte i fokus fra eksterne til interne trusler? Vi har også tidligere snakket om Web 2.0 type løsninger, for eksempel i 2006 da Accentures teknologiglasskule identifiserte RIA (Rik Internett Applikasjon) som en av de 10 viktigste nye teknologitrendene frem til 2010. Sett i lys av IDC sine konklusjoner rundt sikkerhet i år, så har faktisk også Forrester rangert nettopp sikkerhet som utfordring nummer en for utviklerne av slike rike internettjenester. Tradisjonelt skal organisasjoner som utvikler applikasjoner og tjenester, integrere sikkerhet som en naturlig del av utviklingssyklusen. For Web 2.0 ligger det ikke et unntak fra dette, tvert imot er det et tema som beviselig må tas mer alvorlig. For organisasjoner som utvikler tjenester for Web 2.0 er det derfor også ekstra viktig å sørge for at helhetlige basis sikkerhetsprinsipper fortsatt blir etterlevd. Her må man ikke falle i den fellen at man glemmer tradisjonelle områder som risikovurderinger, tilgangskontroll, god kodeskikk, overvåking på utgående trafikk og forhindring av datatap, standard sikkerhetsopplæring og kontinuerlig sikkerhetsbevisstgjøring blant ansatte i organisasjon, også i forhold til nye trusler som Web 2.0. Organisasjoner og sluttbrukere bør derfor kjenne sin besøkelsestid. Noe av den produktivitetsgevinsten som oppnås ved bruk av Web 2.0 bør pløyes tilbake i form av hvordan dette skal skje på et sikkert vis, på samme måte som ved benyttelse av hvilket som helst sett av "nye" teknologier. Gaute Lien og Pejman Bagheri, Sikkerhetseksperter i Accenture Technology Consulting. Til toppen |