”Det kostar 5-10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system”, skriver Åsa Schwarz.
Publicerad: 2012-12-02 14:21, i Computer Sweden
Många it-system är osäkra, andra är direkt livsfarliga. Vissa hävdar att det beror på att leverantörerna som utvecklar dem är okunniga. Det tror inte jag. Däremot tror jag att de gillar pengar. En kvartalsrapport med fina siffror sitter aldrig fel.
Det kostar 5–10 procent mer att utveckla ett säkert system än ett taffligt och osäkert system. Om organisationen som gör systemet aldrig arbetat på ett säkert sätt tidigare, kan kostnaden vara ända upp till 25 procent högre, men minskar snabbt när processerna sätter sig. Trots kostnaden lönar sig investeringen eftersom högre kvalitet radikalt minskar antalet driftavbrott, lyckade hackarangrepp och annat elände. För att inte tala om huvudvärken som du slipper.
När utvecklingen läggs på en extern leverantör uppstår problemet att du tar affärsrisken medan leverantören levererar mot en kravspecifikation. Om säkerhet inte är med i specifikationen kommer säkerhet inte att levereras. Varför ska leverantören minska sina marginaler med 5–10 procent? Om någon oombedd räknar in säkerhet i priset, kan den till och med förlora affären eftersom kunden väljer ett billigare alternativ.
Det finns bara en lösning. Ha med säkerhetskrav i upphandlingen och följ upp dem. Tro mig, du vill inte ha program som inte klarar åtminstone nedanstående:
1. Systemet ska inte ha något av Sans 25 programmeringsfel och om det är en webbapplikation ska det inte ha några av säkerhetshålen i Owasp Top 10.
2. Leverantören ska specificera vilka mjukvaraukomponenter, inklusive versionsnummer, som har använts för att skapa systemet.
3. Leverantören ska enbart använda standardiserade metoder för kryptering och signering. All säkerhetsrelaterad dokumentation ska vara tillgänglig på förfrågan.
4. Du ska ha rätt att säkerhetsgranska systemet.
5. Leverantören ska överlämna dokumentation om hur systemet installeras med ett minimum av åtkomsträttigheter till operativsystemet samt vilken nätverkstrafik som är nödvändig för att systemet ska fungera i aktuell miljö.
6. Leverantören ska ange cykeln för uppdateringar.
7. Leverantören ska kunna visa hur säkerhetsarbetet är integrerat i systemets hela livscykel.
8. Beroende på vilket som kommer först ska leverantören informera om sårbarheter som upptäcks i systemet inom 30 dagar alternativt när en uppdatering som löser problemet kommer.
9. Systemet ska logga alla händelser och följa siem-standarder.
10. Systemet ska kunna identifiera och autentisera användare samt bekräfta behörighet. Det ska följa öppna iam-standarder.
Egentligen ska du göra en säkerhetsanalys för att hitta rätt säkerhetsnivå och kostnadskostym. Men ovanstående punkter är en bra början. Då står du inte med lång näsa när systemet kraschar eller pulveriseras av hackare. Och du kan lugnt slänga huvudvärkstabletterna.
Åsa Schwarz 