Ringe it-sikkerhed i online-produkter kan koste liv
Producenternes tilgang til it-sikkerhed bør blive mere proaktiv, når de designer produkter, som kan kobles på internettet.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
Svømmehallerne i Københavns kommune har netop introduceret et nyt billetsystem, hvor de brugere, som før havde klippekort, nu kan logge ind i billetsystemet via en QR-kode på deres mobiltelefon. Denne på mange måder uanselige tjeneste øger faktisk it-truslen mod svømmehalsbrugerne i et omfang, som er svært at overskue.
Det samme gælder for de biler, babyalarmer, køleskabe og elektronisk sundhedsudstyr, som kan kobles på nettet. Fagtermen for disse online-hverdagsting er Internet of Things (IoT), og udviklingen af disse skal tages alvorligt. For i takt med at flere af vores produkter og -tjenester kan kobles på nettet, stiger risikoen for sikkerhedsbrister med fatale konsekvenser.
Helt konkret er der risiko for, at en hacker på den anden side af jordkloden, kan tage kontrol over et givent produkt, og det er ikke svært at forestille sig, at det kan koste liv, når vi fx tænker på diverse sundhedsservices eller systemer til transportmidler. Der er også risiko for, at vores personfølsomme oplysninger, forretningshemmeligheder bliver lækket, så de kan bruges imod enkelte borgere eller virksomheder.
Samtidig er der en kedelig tendens til, at sikkerhedsbrister i onlineprodukter og it-systemer først bliver opdaget, når skaden først er sket. Fx har tusindvis af danskere i seneste år fået lækket personfølsomme oplysninger fra bl.a. Skat, Rigspolitiet og sundhedsvæsenet. Godtgørelsen i forhold til ofrene har ofte været ikkeeksisterende. Vi har som borgere måtte have tillid til, at de ansvarlige har rettet op på sikkerhedsbristerne. Men det er ikke let, når it-skandaler af forskellig art bliver ved med at tage overskrifter i medierne. Som brugere er vi i vid udstrækning overladt til at håbe det bedste.
Hvis teknologiproducenterne og beslutningstagerne i samfundet fortsat skal fortjene brugernes tillid, kræver det, at værdien af it-sikkerhed synliggøres. Det handler ikke kun om at have en ansvarlighed, som reelt sikrer brugerne mod fx hackerangreb, men også om, at anskue it-sikkerhed som et væsentligt konkurrenceparameter, som en forsætning for overhovedet at kunne drive en forretning.
Vi har brug for et paradigmeskifte både hos virksomhederne og deres kunder. Vi ønsker som it-sikkerhedsforskere at bidrage til en fremtid, hvor it-sikkerhed tænkes ind i allerede i produktudviklingsfasen, således at det bliver en integreret del af produktet. Vi vil arbejde hen imod en fremtid, hvor IoT-producenterne skal kunne give kunderne (både de private og de virksomheder, som de handler med) reel sikkerhed for, at deres IoT-produkter er forsvarlige. Det er nødvendigt, fordi vi om få år vil opleve at beklagelser og undskyldninger ikke er tilstrækkelige.
