Akseptér usikkerhet - for sikkerhets skyld!
5%av alle bilister kjører uten belte. Turister ‘pusher’ grenser – og omkommer. Fly faller ned. Data mistes, tappes eller går tapt. Slik har det vært, slik vil det alltid være. Er vår streben etter topp sikkerhet bortkastet?
Temaet er hyperaktuelt. Ikke bare på grunn av Heartbleed, en mediestorm uten sidestykke og uten virkelighetsforankring (se Heartbleed: Storm i et vannglass). Når stormen legger seg, fortsetter hele verden som før. Ingen ting er endret. Konklusjon: Sikkerheten er god nok. Risikoen er akseptabel.
Den andre årsaken er nettlesere. De er risikable. Ikke like, men utsatt. Bakover i tid observerte vi en hel verden som tviholdt på Microsofts IE6 i årevis, til tross for at den funksjonelt, sikkerhetsmessig og ytelsesmessig var en katastrofe. I dag er situasjonen bedre. Konkurranse skaper forbedring og utvikling. IE er fortsatt verst, men ingen av de 5 store kan kalles ‘veldig sikre’ – i beste fall ‘ganske sikre’.
Og ‘ganske sikkert’ er tydelig godt nok for markedet. Sikre alternativer finnes, men brukes lite og sjelden. Ikke bombesikre, men vesentlig sikrere enn de store. Fagpublikasjonen Network World gikk nylig gjennom de viktigste. Årsaken til at de ikke velges eller velges bort er ikke deres egenskaper, men at terskelen er for høy. Safari, IE, Firefox, Opera eller Chrome er lettere tilgjengelige, har bredere funksjonalitet og oppfattes som ‘sikre nok’.
Observasjonene burde stimulere til pragmatisme. For eksempel: Hvor stor er sjansen for at våre Androide dingser har Heartbleed-bugs som vil bli utnyttet? Så liten at det skal særdeles spesielle verdier og ekstreme omgivelser til for å kvalifisere tiltak. Med andre ord: Kvalifiseringen av sikringstiltak må bli mer pragmatisk, mindre opportunistisk. Vi kan ikke la media styre våre stategier, ikke på sikkerhet, ikke på andre områder.
At pressen blåser over med en eller annen trussel betyr ikke at den er relevant for oss, kanskje ikke i det hele tatt. Er vi eksponert? Hva er risikoen? Hva er prisen?
“Work on things that matter” sa Tim O’Reilly i en annen sammenheng for noen år siden. Det gjelder fortsatt – ikke minst i sikkerhets-sammenheng.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.