Kveðið úr kútnum

Stýrikerfum og tölvunetum má líkja við byggingar sem forritin okkar  eiga heima í.

Ef byggt er á friðartímum þegar innbrotsþjófar eru ekki til, er erfitt  að gera bygginguna örugga eftirá.

Fangelsi eru yfirleitt hönnuð fyrir sitt hlutverk.  Það er erfitt að  gera öruggt fangelsi úr t.d. Landsspítalanum.  Dyrnar og gluggarnir  eru of margir og of margir gangar sem þarf að fylgjast með.

Það er hægt að kaupa skynjara og myndavélar en í byggingu með þúsund  innganga þarf þúsund myndavélar og einhvern til að fylgjast með þeim  öllum.

Þetta er staðan í öryggismálum í tölvum í dag.  Þótt kerfin líti út  fyrir að vera ný er nýnæmið bara á yfirborðinu. Stýrikerfin eru  barnabörn kerfa sem voru hönnuð þegar notendur voru upplýstir  sérfræðingar og vírusar og internet voru ekki til.

Þegar kerfin voru hönnuð sat fólk eitt með sína einkatölvu og hafði  ekki tengingu út á netið.   Þá var ekki búið að leggja þetta (skólp)  rör út úr heimilum og fyrirtækjum sem hægt var að skríða inn um.

Hér eru nokkrir ósiðir í tölvubransanum sem við þurfum fyrr eða síðar að fást við.

Ósiður 1: Allt er leyft þar til það er bannað.

Tölvur leyfa alla skapaða hluti eins og að láta Word skjöl keyra  forrit eða leyfa forritum að keyra nema vírusvörnin nái að stoppa  notandann af. Þau leyfa börnunum á heimilinu að setja upp hugbúnað sem  þau finna á netinu og heimsækja vefsíður sem enginn fullorðinn hefur skoðað eða samþykkt.

Þessu þarf að snúa við.  Hlutir eiga að vera læstir þar til þeir eru  opnaðir ef þeir eiga að þola að liggja á glámbekk.  Ég nota 10 - 20  forrit á tölvunni minni.  Öll önnur forrit eiga að vera lokuð nema ég  opni þau.

Vefurinn í heild sinni má ekki standa opinn börnum.  Við leyfum börnum  ekki að ferðast ein til útlanda. Vefurinn er miklu ógeðslegri en  klámblöð voru í gamla daga og hann stendur galopinn á flestum  heimilum.  

Ósiður 2: Að gera lista yfir vondu kallana.  Allir sem eru ekki á  listanum eru góðir.

Þetta er það sem veiruvarnarforrit gera. Allar skrár á diskinum eru  skoðaðar og bornar saman við lista yfir alla þekkta vírusa í heimi  þann daginn.  Ef skrá líkist vírus kvartar veiruvarnarforritið.

Þessi aðferð gengur ekki til lengdar, vírusarnir eru of margir og þeim  fjölgar á hverjum degi. Eins og stýrikerfi virka í dag er þetta eina  lausnin, ég er ekki að tala illa um veiruvarnarforrit sem slík.

Ég vil samt heldur viðhalda lista yfir góðu forritin á tölvunni. Allt  sem er ekki á listanum má ekki nota.  Þetta er eins og þjóðfélagið  gerir fyrir lyf og matvörur.  Þeir sem vilja lifa spennandi lífi geta  valið að hunza listann.

Annað dæmi um ósið númer tvö, er að ég fæ allan póst í innboxið mitt  nema póstsían haldi að hann sé rusl.  Ég vil snúa þessu við mjög  fljótlega. Ef sá sem sendir mér póst undirritar ekki póstinn með  rafrænum skilríkjum á póstsían að endursenda póstinn og benda sendanda  á að útvega sér þau.

Þessi skilríki koma til Íslands í haust og íslendingar ættu að taka  þeim fagnandi.  Tölvupóstur getur þá breyst úr nafnlausum póstkortum í  undirrituð ábyrgðarbréf í umslagi.  Hugsanlega verða íslendingar í  fararbroddi þarna.

Ósiður 3: Bíðum eftir árás / slysi og endurbætum svo vöruna /  öryggisferlið.

Ef þessi aðferð gengi væri Windows orðið öruggt stýrikerfi núna.

Það verður að hanna öryggi inn í vöru frá byrjun.  Bankarnir eru núna  að taka rafræn persónuskilríki í notkun og það er frábært.  Sumir  notendur hafa kvartað undan óhagræðinu en þeir gera sér ekki grein  fyrir hvað hættan er orðin mikil. Það er auðvelt að hlera lyklaborð  hjá öðrum.  Það eru ekki tæknilegar ástæður fyrir því að það hefur  ekki verið gert oftar. Alda innbrota í danska netbanka er nú í  uppsiglingu.

Ósiður 4: Að halda að hakkarar séu töff.

  Nei, þeir eiga að fara í  fangelsi.  Það á ekki að þakka hökkurum fyrir að koma upp um nýjustu  veikleikana í stýrikerfum og bönkum.  Enginn þakkar innbrotsþjófi  fyrir að prófa þjófabjöllukerfið. Ég held að þetta hugarfar sé reyndar  á útleið.  Öryggismál eru félagsleg, ekki tæknileg.


Ósiður 5:  Að reyna að láta óbreytta notendur sjálfa bera ábyrgð á  öryggismálum.

Flestir eru tilbúnir að segja ókunnugum manni lykilorð  ef hann er vingjarnlegur og lítur út eins og tæknimaður.  Lykilorðin  eru skrifuð á mottu undir músinni.  Notendur þekkja ekki mun á vefsíðu  banka eða eftirlíkingu af henni sem stelur af þeim lykilorðinu.

Þeir skilja ekki glugga sem birtast á skjánum og í stendur:  "This  attachment may contain an active object". Eftir smátíma ýta þeir bara  á "OK" hnappinn við öllum "Are you sure" spurningum.

Umferðarfræðsla er mikilvæg en það þarf samt örugga vegi og vegrið.


Ósiður 6:  Þegar fyrirtæki og stjórnmálamenn segja: "Gerum eitthvað í  örygginu núna það lætur okkur líta vel út".

  Öryggismál eru viðvarandi  ferli, ekki vara sem hægt er að hlaupa út í búð og kaupa.  Þú getur  ekki keypt nýjasta eldvegginn eða veiruvörnina útí bæ en látið hjá  líða að hafa heildarstefnu í öryggismálum.  Það er eins og að hafa  keypt hús sem stendur eitt í skógi með glerhurðum út í garð og ætla að  redda öryggismálunum eftirá með einni þjófabjöllu.

Mér datt í hug að birta þessa þanka í tilefni af rafrænum skilríkjum sem koma í haust.  Þar hafa menn og konur hér unnið vinnuna  sína samviskusamlega.   Skilríkin marka vonandi endalok "villta  vestursins" í sögu netsins og upphaf þess að netheimar fari að líkjast  samfélagi sem fólk vill eiga heima í.

Sjá nánar á www.audkenni.is og www.skilriki.is