Stadige oppdateringer og stor utbredelse har gjort Java til en populær vektor for spredning av skadelig programvare på nett. (Bilde: Colourbox)

5 SPØRSMÅL OM IT-SIKKERHET

5 spørsmål om IT-sikkerhet

– BankID fjerner nå Java fra sine produkter på grunn av sikkerhetshull. Hva er egentlig problemet med Java og finnes det ingen løsninger for det?

– Det er flere utfordringer med Java, og disse har økt i omfang etter hvert som Java har utviklet seg gjennom årene. Et tydelig tegn på dette er Oracle, som sier at Java 8 blir forsinket, da de velger å korrigere sårbarheter og svakheter i eksisterende versjoner.

– I mange år fantes det ingen automatisk oppdateringsmulighet i Java, og nye versjoner ble installerte parallelt med gamle versjoner. Dette opptok unødig diskplass og fjernet egentlig ikke muligheten for at kriminelle kunne utnytte sårbarheter i eldre versjoner på din maskin.

– I tillegg har stadige oppdateringer, ofte utenfor planlagt syklus, bidratt til lengre etterslep på oppdatering hos sluttbrukere. Selv om Java kjører sin kode i en «sandkasse», har utallige sårbarheter vist at skadelig kode klarer å bryte seg ut av denne og angripe det underliggende operativsystemet. I tråd med utbredelsen og populariteten til Java har også den kriminelle interessen økt. Der hvor det er mange brukere, er det antagelig også penger å stjele.

– I dag regnes Java som kanskje den største spredningsvektoren for skadelig programvare på nett, noe blant annet BankID har fått lide under. Gitt utbredelsen av Java lar det seg simpelthen ikke gjøre å redesigne på nytt, og man ender opp med det lappverket som det i dag fremstår som rent sikkerhetsmessig.

Les også: 102.000 nordmenn har vært utsatt for ID-tyveri

– Norske informatikkstudenter har de siste 15 årene måttet lære Java først av alle programmeringsspråk. Er vi sist ute med å droppe Java her i landet?

– Norske informatikkstudenter har de siste 15 årene måttet lære Java først av alle programmeringsspråk. Er vi sist ute med å droppe Java her i landet?Sikkerhetsrådgiver Per Thorsheim i God Praksis.

– Det er ikke snakk om å droppe Java som programmeringsspråk, til det er utbredelsen og nytteverdien altfor stor. I tillegg gir utbredelsen muligheter for oppdatering og merutvikling av nye applikasjoner et marked i svært mange år fremover. Dette blir mer et spørsmål om å fokusere mer på sikker utvikling, i kombinasjon med god risikovurdering og bruk av alternative verktøy der dette viser seg mulig og lønnsomt.

– Hvilke sikkerhetsutfordringer gir Bring Your Own Device? Hva skal til for at fremtidens studenter også kan tilknytte egne enheter til skolens IT-systemer, eller vil dette forbli et gode forbeholdt arbeidslivet?

– Slik jeg ser det, er de juridiske begrensningene det viktigste aspektet. Datatilsynet er tydelig på at en arbeidsgiver ikke har innsynsrett i jobbdata lagret på privateid utstyr. Det er heller ikke tillatt å inngå en avtale mellom arbeidstaker og arbeidsgiver for slikt innsyn.

– Bruk av privateid utstyr til jobbformål gjør også at arbeidsgiver i større grad ikke lenger har en sentralt lagret kopi (backup) av data, ei heller kan arbeidsgiver ta for gitt at backup av privateid utstyr i det hele tatt eksisterer. Dette vil selvfølgelig ikke være noe problem før det går galt, og da vil det forståelig nok få mer alvorlige konsekvenser.

Les også: – Trojanere og spyware truer sikkerheten på Mac

– Mye av datateknologien i Norge kjøpes inn fra utlandet. Hvordan påvirker det sikkerheten?

– Uten å ta noen spesielle utenrikspolitiske standpunkt, bør man alltid foreta en vurdering av sikkerhetsaspekter før innkjøp av datateknologi, uavhengig av opphavssted. Pris, leveranseevne og kvalitet er selvfølgelig viktige faktorer, men mer rendyrkede sikkerhetsaspekter, som mulighet for revisjon/kontroll, leverandør-, produkt- og tjenestesertifisering, bør også inngå i vurderingene.

– I takt med globaliseringen av tjenesteleveranser øker nok behovet for standardisering og kvalitetssikring, og som kjent kan språklige og kulturelle forskjeller utgjøre store utfordringer i seg selv.

– Hva mener du er den største IT-trusselen i Norge i dag?

– Jeg har vanskelig for å peke ut et enkelt område foran andre. Totalbildet er komplekst. Som så mange andre før meg vil jeg påpeke mangelen på samarbeid, åpenhet og rapportering av hendelser som klare svakheter i vår evne til å takle en digital hverdag. Dette synes å forbedre seg, om enn svært sakte.

– Mangelen på oppdatering av programvare, standard installasjoner uten tilstrekkelig sikkerhet fra leverandør og ikke minst vår evige ignorering av sikkerhetsadvarsler for å få gjort jobben vår er nok blant de truslene som vi ser hver eneste dag, og her har vi alle en jobb å gjøre.

Les også:

PST advarer mot gratis minnepinner

Dette kan bli nøkkelen din til Google

Ingen grunn til å ha Java i nettleseren