I dag er IT-sikkerhet noe du og jeg ikke tar inn over oss – til tross for at antallet virus- og hackerangrep aldri har vært høyere enn nå.
Den tradisjonelle måten å beskytte seg på er ved hjelp av antivirusprogrammer og brannmurer, men metodene kommer til kort når det gjelder mer komplekse datasystemer spredt rundt på mange servere.
Heller ikke programutviklere er eksperter. Med stor konkurranse og raske endringer i bransjen, blir sikkerheten noe som kommer nederst på lista.
Datasystemer blir ofte sikret i ettertid gjennom at man hekter på noe ekstra på eksisterende program. Dette er både dyrt og fungerer dårlig.
Med dette som bakteppe har EU startet opp en rekke større prosjekt rundt sikker IKT-infrastruktur. Norske forskere fra SINTEF IKT deltar i fem av prosjektene.
Tilpasser seg angrep
-Vi har som mål å få til mer robuste, driftssikre IT-tjenester, enten du skal bestille billetter til en konsert eller levere selvangivelsen din, og vi vil at tjenestene skal tilpasse seg når de blir angrepet.
Brukeren skal slippe å lukke et program og starte pånytt når de får beskjeder om at "tjenesten er ikke tilgjengelig for øyeblikket". Dataprogrammene skal overvåkes mens de kjøres, og svakheter skal kunne byttes ut – helst før angrepet skjer, forteller SINTEF-forsker Per Håkon Meland.
Analogien forskerne bruker er bildet av en bil som skal bringe oss fra A til B. På veien punkterer det ene dekket, men vi vil unngå stopp. Vi ønsker at bilen skal fortsette å kjøre- og at dekket byttes mens vi er i fart.
Stole på – eller ikke?
Hva er det som gjør at en sluttbruker finner en IT-tjeneste tillitsvekkende eller ikke? Hvordan kan en bruker stole på en programvare (f.eks en app) som firma A, B eller C tilbyr?
Tradisjonelt har sikkerheten på et produkt blitt slått fast gjennom stempel og sertifisering – en dyr og ressurskrevende metode. Produktutviklere kan også øke sikkerheten gjennom å involvere sluttbrukeren, men hyppige spørsmål om godkjenninger og oppdateringer kan bli et irritasjonsmoment for brukerne.
–Mange av oss vil bare klikke "yes" hver gang det kommer noe på skjermen uten å tenke så mye over hva vi svarer på, sier Meland.
Omdømme
IKT-forskerne studerer også hvordan sikkerhetsomdømme eller ryktet til en datatjeneste kan måles ut fra historikk og trender. Man kan for eksempel se på hvor mange sikkerhetshull som er blitt oppdaget, hva konsekvensene av angrep har vært, og hvor lang tid det tok å reparere dem.
Mange kjenner allerede tilsvarende omdømmemekanismer fra eBay og Google PageRank der brukerne er med på å påvirke og selv blir påvirket av andres vurderinger av omdømme. Alle selgerne får et rykte, og man velger ofte fra den som har det beste omdømmet.
Tanken til forskerne er at en metode som on-line omdømme også kan benyttes til å markedsføre god IT-sikkerhet. – I de prosjektene vi jobber med, vil vi kunne tilby test av software-komponenter – og vi kan gjøre det on-line, sier Meland.
Mange deler
Per Håkon Meland viderefører eksemplet med bilen som består av mange deler fra flere ulike leverandører.
–Når støtfangeren er defekt, byttes den ut. På samme vis er en datatjeneste satt sammen av deltjenester fra mange ulike selskaper. Også her vil ønsket være å kunne bytte ut en sårbar del så raskt og billig som mulig Men det er ekstra utfordring: I motsetning til bildeler endrer datasystemene seg hyppig, og nye angrepsmetoder dukker opp til stadighet.
Fra bunnen av
IT-forskerne vil at ting skal bli laget sikkert fra bunnen av, og forbli sikkert selv om omgivelsene/brukerne m.m. endrer seg.
– Vi velger å snu den tradisjonelle utviklingsrekkefølgen. Vi arbeider med sikkerheten fra starten av – med nye designmetoder, gode verktøy og utviklingsmetoder. Datasystemet må for eksempel være laget slik at det er mulig å bytte ut en sårbar del raskt og billig, sier Meland.
–De nye systemene vil da si fra om det oppdages sikkerhetsbrudd på en komponent gjennom en varslingstjeneste på komponentene.
Forskerne på SINTEF er ikke i tvil om at løftet som nå gjøres på feltet IT-sikkerhet, vil gi resultater.
- Målet vårt er å ligge foran hackerne. Det gjør vi gjennom å sørge for gode verktøy og gevinster til sluttbruker og til de som lever av å tilby sammensatte datatjenester.
Av Åse Dragland
FAKTA:
IT-sikkerhet er et aktuelt tema som prioriteres sterkt i EU. SINTEF IKT har jobbet lenge med problematikken og deltar nå i fem pågående prosjekter i det 7. rammeprogram.
Aniketos (2010 – 2014) Ramme på 14mill. Euro. Sintef har prosjektledelse og staker ut den tekniske retningen- på prosjektet samt lager pilottjenester.
De andre prosjektene er Nessos, Secure Change, A4Cloud og Optet. (http://www.aniketos.eu/; http://www.nessos-project.eu/; http://www.securechange.eu/)