Det giver gevinst at tænke sikkerheden ind i systemudviklingen lige fra starten. Nu kommer bankverdenen med på vognen, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Fremtidens netbanker bliver mere sikre. Det kan blive konsekvensen af en af de mindre omtalte nyheder fra den sidste måned.
Det er i denne tid ti år siden, at Microsoft begyndte at tage sikkerhed alvorligt.
Firmaet havde dengang med rette ry for at fremstille produkter, der satte brugervenlighed højere end sikkerhed. Programmer som Internet Explorer og IIS (Internet Information Services) var fyldt med alvorlige sikkerhedshuller.
Men med initiativet Trustworthy Computing besluttede Bill Gates at gøre op med de dårlige vaner. Det mest synlige resultat blev Security Development Lifecycle (SDL), som er et sæt best practices for sikker systemudvikling.
SDL er et stort og komplekst rammeværk. Men det virker. En rapport fra analysefirmaet Forrester udarbejdet på vegne af Microsoft viste for et år siden, at en investering i SDL kan give direkte økonomiske gevinster.
Det skyldes, at software med færre sårbarheder giver færre udgifter til at finde og rette fejl. Endvidere gør en metodologi som SDL det muligt at få produkter hurtigere på markedet, fordi den afsluttende test finder færre fejl.
Sikker finanssoftware
Den gode nyhed som jeg indledte denne klumme med, kommer fra organisationen Financial Services Roundtable, der består af USA's største finansvirksomheder. Deres division for teknologi, BITS, har netop udsendt BITS Software Assurance Framework.
Det nye rammeværk er en overordnet beskrivelse af, hvordan finansielle virksomheder kan gøre deres systemudvikling mere sikker. En god del af indholdet er taget direkte fra SDL.
En vigtig pointe i både SDL og BITS-rammeværket er, at sikkerhed er en væsentlig dimension af ethvert udviklingsprojekt.
Sikkerhed er ikke noget, man klistrer på til sidst, når programmet er skrevet færdigt.
I stedet skal sikkerheden tænkes ind lige fra starten som en integreret del af systemudviklingsprocessen.
Både SDL og BITS-rammeværket kan hentes gratis. Jeg vil opfordre alle med ansvar for systemudvikling til at kigge dem igennem. Der er god inspiration at hente – også selvom man ikke driver en udviklingsorganisation med hundredvis af programmører.
Microsoft er blevet meget bedre til sikkerhed
Jeg kom til at tænke på SDL, da jeg så den seneste årsrapport fra det danske sikkerhedsfirma Secunia. Rapporten viser, hvilke sårbare programmer brugere har installeret.
I 2006 stammede 54 procent af sårbarhederne fra Microsoft-programmer.
I 2011 var tallet faldet til 22 procent – 12 procent for styresystemet og 10 procent fra øvrige Microsoft-programmer.
Meget positivt
Det er meget positivt, at Microsoft i den grad har nedbragt mængden af sårbarheder. Samtidig er funktionen til automatisk opdatering også med til at sikre, at sikkerhedshuller bliver lukket hurtigere end før.
Men tallene fortæller også en trist historie. Mængden af sårbarheder er nemlig stigende. Og den store udfordring ligger nu hos Microsofts konkurrenter og partnere. De tegnede sig for 78 procent af sårbarhederne på brugernes pc'er.
Nogle softwarehuse har allerede gjort noget ved sagen. Adobe, hvis programmer har været en lige så stor sikkerhedsmæssig katastrofe som Microsofts tidligere var, har indført en sikker udviklingsproces.
Ved at bruge sandkasseteknologi har de effektivt bremset udnyttelsen af sårbarheder i Adobe Reader X. Nu er samme teknologi på vej ind i Flash til Firefox.
Opdatering tager ressourcer
Softwarehusene har imidlertid det problem, at deres programmer ikke opdateres automatisk via den indbyggede funktion i Windows.
Derfor er de nødt til selv at udvikle opdateringsfunktioner.
Det sker også. Men det medfører, at der skal køre endnu flere programmer på pc'en: For hvert eneste installeret program skal der køre et program, som tjekker, om der er kommet opdateringer til det. Det kan gøre computeren langsommere.
Jeg ville derfor ønske, at der kunne udvikles en fælles infrastruktur for softwareopdateringer. Desværre har Microsoft tidligere afvist at lukke op for tredjepartsprogrammer i Windows Update.
Indtil det sker, kan jeg anbefale, at man bruger et værktøj til at tjekke, at ens programmer er opdateret. Til enkeltstående pc'er er der gode, gratis løsninger, som oven i købet er danskudviklede. Der findes også løsninger til at tjekke alle computerne på en virksomheds netværk.
Sikre udviklingsmetoder vil ikke fjerne alle sårbarheder. Men de kan nedbringe antallet af alvorlige sårbarheder og hjælpe til, at fejlene findes og rettes hurtigere.
Oprindelig offentliggjort på Computerworld Online den 24. februar 2012
LINKS
BITS Software Assurance Framework (PDF-format)
State of Application Security: Immature Practices Fuel Inefficiencies, but Positive ROI Is Attainable, rapport fra Forrester (PDF-format)
Denne klumme på Computerworld Online