Virker skræmmekampagner?

Nogle medier og fagfolk lever af at råbe "ulven kommer" og tjene penge på folks frygt for ukendte farer. Sådan er det også med applikationssikkerhed. Begrebet er ikke nyt, men medier og fagfolk er begyndt at råbe vagt i gevær.

Applikationer er det næste sted, man bliver kompromitteret på sin sikkerhed. Men hvorfor er det netop web-applikationerne, der står for skud nu? Og hvorfor er det først nu, at den brede offentlighed får øjnene op for problemet?

Historisk set startede virksomheder med at sikre it-netværket med firewalls. Herefter flyttede fokus over på infrastruktur med sikring af switche og interne routere. Derfor er virksomheder i dag dygtige til at lukke af for trafik, der kan kompromittere sikkerheden. Men mange typer applikationer kræver samtidig, at brugerne skal kunne tilgå dem udefra. Det gælder f.eks. finans- og forsikringsbranchen, som har portaler, hvor brugerne logger ind og håndterer deres konti og personoplysninger.

Der er således mange virksomheder, der netop er afhængige af, at kunne tilbyde forskellige typer service til brugerne og dermed lukke op for trafik ude fra. Men det har hackerne også opdaget, og i stedet for at forsøge at ramme routere eller firewalls, går hackerne direkte efter web-applikationer.

Men sagen er, at problemet med applikationssikkerhed allerede har eksisteret i nogle år. Og det forholder sig på samme måde med applikationssikkerhed som med virus og spam: Ligesom der eksisterer glimrende løsninger til at lukke af for spam og virus, er der også udviklet gode løsninger til at håndtere applikationssikkerhed. Så både ulv og midlet til at skræmme den væk har faktisk eksisteret i nogen tid.

På grund af - eller på trods af (!) - sikkerhedsleverandørernes konstante advarsler om, at rovdyret kommer til en usikret hønsegård, er de fleste danske virksomheder faktisk blevet gode til at sikre deres netværk. Det er derfor på sin plads at gøre opmærksom på problemet, men det er også sikkerhedsleverandørenes ansvar at sørge for, at sørge for, at kunder, medier og andre involverede også bliver rådgivet korrekt og ikke kun lave skræmmekampagner.