Om du läser denna text så utgår du nog från att leverantörerna inom it-säkerhet beskriver hotbilden mer eller mindre kreativt. Förmodligen mer. Så låt oss vidga frågan och se på vilka processer som styr våra köp av det vi upplever som säkerhet. Vad kan få oss att köpa skydd mot fel hot, eller helt inbillade hot?

Till att börja med är det som vanligt: vi själva. Vi är inte alltid helt uppdaterade på de yttre hoten. Det är naturligt eftersom de till stor del är både dolda och föränderliga.

Vi är inte heller alltid på det klara med vilka risker som finns i den egna verksamheten. Det är också svårt att ens försöka avgöra vilka processer som är mest skyddsvärda utan att ha en mycket klar uppfattning om vad de största hoten kan tänkas vara.

Efter självbedrägeri kommer marknadsföring. Naturligtvis vill leverantörerna i första hand fortsätta sälja produkter som vi redan köper. I andra hand nya saker som är lätta att ta fram och sälja. I tredje hand sådant som vi efterfrågar eller med rimlig ansträngning kan fås att efterfråga. Ifall någon produkt eller tjänst faktiskt bevisligen fungerar eller har fungerat är det naturligtvis ett plus.

Vilket för oss till en besläktad parameter och källa till tveksamma beslut: Det som är mätbart eller certifierat. Inom it-branschen har vi tyvärr en kultur där standarder, certifieringar och lagkrav tillåts innehålla brister och förbiseenden som låter mindre samvetsgranna leverantörer använda dem som konkurrensfördelar genom fusk.

Att detta systemfel fått leva kvar kan bero på att det även låter mindre samvetsgranna integratörer och konsulter sälja “lösningar” utifrån en checklista till kunder som inte kan eller vill begripa bättre.

Sedan finns skillnaden mellan matematiskt sund risktagning för företaget och vilka risker du inte vill ha tagit när du uppdaterar ditt cv inför nästa jobb.
Låt oss nu för enkelhets skull dela upp it-hoten i två grupper: Dels enkla, breda, bullriga angrepp via automatiserade hack och masspriden elak kod. Dels avancerade riktade attacker med specialskriven kod, analys och stora resurser bakom.

De flesta it-säkerhetsföretag lever på att leverera skydd mot enkla hot och lova skydd även mot avancerade.

Här är fyra avancerade hot som kan fungera som ”reality check” på hur väl dessa it-skydd står upp mot målmedvetna motståndare:

  • 2006 avslöjas underhållingsjätten Sony Music med att sprida ett rootkit som en del av ett dolt kopieringsskydd som smyginstalleras på kundernas datorer när de spelar musiken i datorn.
  • December 2009 upptäckte Google ett storskaligt och långvarigt dataintrång som även ska ha varit riktat mot över 20 andra stora företag inom it, finans, media och kemi.
  • Juli 2010 upptäcktes masken Stuxnet av säkerhetsföretaget Virusblokada. Då hade varianter av den varit ute sedan juni 2009. Redan november 2007 ska den ha använts för angrepp mot Irans system för att anrika uran.
  • I början av 2014 gör Edward Snowden det känt att NSA kan ha trojaniserat runt 100 000 datorsystem genom hårdvarubuggar och 85 000 genom mjukvara. När detta skrivs har inget it-säkerhetssystem ännu upptäckt dem.
     

Ovanstående kan låta dystert, men behöver inte vara dåliga nyheter. När vi nu vet att våra skydd mot avancerade hot bevisligen är mycket bristfälliga kan vi börja göra något åt det.

Läs hela vår artikelserie "De verkliga hoten"

Vem kan du egentligen lita på när det handlar om it-säkerhet? Överdriver it-säkerhetsföretagen i sina rapporter? Vad anser it-Sverige?

TechWorld har granskat varningarna, gjort en egen undersökning och ställt säkerhetsexperterna mot väggen.

Ladda hem hela artikelserien helt gratis och bilda dig en egen uppfattning om vilka hot som berör just dig och din organisation.

Fakta

Bäst just nu:
EU-valet värmer upp det politiska samtalet inför riksdagsvalet.
Sämst just nu:
Radiotjänst driver in tv-avgift­er från människor som inte har en tv, men en smartphone eller dator med bredband. I praktiken är detta en skatt på internet för de personer som valt att avstå från tv:s mångfald av icke-nya nyheter och icke-underhållande underhållning.