Trusselvurdering fremlegges fredag: Næringslivet ser forverring i dataangrep

[NTB - digi]

Trusselvurdering fremlegges fredag: Næringslivet ser forverring i dataangrep

[Samms]

Ja korleis passord blir brukt og lagra betyr noko. Enno meir betyr det å stille krav til leverandør av programvare at dei leverer sikre produkt.  

Eit punkt om erstattningsansvar i kontrakta i tilfelle dårleg sikkerheit i programvare om kjøper blir ramma motiverer kanskje programvareleverandør til å levere sikre program.

[Selvstendigsaas]

Samms skrev (2 timer siden):

Ja korleis passord blir brukt og lagra betyr noko. Enno meir betyr det å stille krav til leverandør av programvare at dei leverer sikre produkt.  

Eit punkt om erstattningsansvar i kontrakta i tilfelle dårleg sikkerheit i programvare om kjøper blir ramma motiverer kanskje programvareleverandør til å levere sikre program.

Den dagen man skal straffe ofre for økononisk kriminalitet har vi avskaffet det lille vi har igjen av en rettstat. Det er veldig merkelig at man skal legge skylden på programvareleverandører fordi noen andre begår kriminalitet både mot dem som leverandør men også deres kunder.
Logikken din blir som å si at man burde straffe restauranter om de etablerer seg i et kriminelt område og en eller flere av deres kunder blir ranet til/fra deres restaurant.

Men du kommer til å få det som du vil og om noen år er internett som vi kjenner det avskaffet,  bare fordi folk har skreket opp om enda mindre frihet og enda mer statlig kontroll. 

[Samms]

40 minutes ago, Selvstendigsaas said:

Den dagen man skal straffe ofre for økononisk kriminalitet har vi avskaffet det lille vi har igjen av en rettstat. Det er veldig merkelig at man skal legge skylden på programvareleverandører fordi noen andre begår kriminalitet både mot dem som leverandør men også deres kunder.
Logikken din blir som å si at man burde straffe restauranter om de etablerer seg i et kriminelt område og en eller flere av deres kunder blir ranet til/fra deres restaurant.

Men du kommer til å få det som du vil og om noen år er internett som vi kjenner det avskaffet,  bare fordi folk har skreket opp om enda mindre frihet og enda mer statlig kontroll. 

Feil døme med resturangeigar og ingen logikk i det.

Tenk at du kjøper ei ytterdør med lås. Du stiller då krav til kva døra skal tåle før nokon kan bryte den opp og kor lang tid det tar før nokon kan dirke opp låsen. På same måte, ved kjøp av dataprogram bør kjøper kunne stille krav til sikkerheit mot innbrudd.

Programvareleverandø bør på same måte som leverandør av dør og lås kunne lever innbruddsikring etter spesifikasjon. Og bryter nokon seg inn og det er tydeleg at innbruddsikring ikkje var som spesifisert så har programvareleverndør ikkje levert etter spesifikasjon og må kunne haldast økonomisk ansvarleg.

Paralellen er butikkeigaren som etablerer seg i eit kriminelt belasta område og for å sikre seg handler inn solid dør, gitter og låser med klare spesifiasjoner på bruksområde og kva sikringstiltaka skal tåle. Om det då viser seg at låser kan opnast med ein binders og gitter enkelt skubbes til sides så er det levert eit mangelfult produkt. Og leverer ikkje seljar til avtalt spesifikasjon så risikerer seljar eit økonomisk ansvar.

Tilsvarande med datamaskiner tilkopla internett. Internett er i større eller mindre grad eit kriminelt belasta område, då må programvareleverandørar levere produkt med sikkerheitsnivå tilpassa dette.

Endret 10. februar 2022 av Samms

[Pop]

Tror problemet er minst todelt. Det ene er når kunder kjøper ett enkelt produkt og stoler på at produktet i seg selv har tilstrekkelig sikkerhet. Det andre er når man kjøper en pakke (enten flere produkter sammen i en portefølje) eller moduler og man putter dette i en levert tjeneste. Da forventer man i større grad at leverandør/utvikler har en mer totaloversikt. Så har vi mange eksempler på bedrifter i Norge som har kjøpt sistnevnte, men av en leverandør som ikke engang klarte å anbefale MFA (multifaktorautentisering). Enten fordi de ikke har fokus på kundens sikkerhet, antok kunde kunne dette fra før, ikke bryr seg om annet enn salgstallene osv.

Ser man på enkeltprogrammers sikkerhet er det dessverre ofte slik at et ekstra knepp på sikkerheten man skrur, fjerner funksjonalitet som sluttbruker vil ha, innfører et ekstra trinn til pålogging osv, som da blir tatt dårlig i mot. Som regel siden bedriften ikke har kulturbygging mot en sikkerhetskultur. Man anskaffer ting og i siste del av implementasjon "må man innføre noen tiltak for sikkerhet", istedet for å bygge en sikker grunnplattform som man kan se gir flere muligheter med de rette etablerte tiltak.