Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen Informatik om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Da sommervarmen endelig meldte sig i Danmark, kom der samtidig en nyhed fra USA, der kunne varme et hjerte, der banker for it-sikkerhed:
Virksomhederne er blevet hurtigere til at installere programopdateringer.
Og hvad har programopdateringer så med it-sikkerhed at gøre? De opdateringer, jeg her taler om, er dem, der lukker sikkerhedshuller i programmer. Du kan sammenligne det med at gå en tur rundt om virksomheden efter fyraften. Ser du et åbent vindue på anden sal, er det et potentielt sikkerhedshul. Men det kræver, at indbrudstyven har en stige med. Ser du derimod et åbent vindue i stueetagen, er sikkerhedshullet mere alvorligt - det skal lukkes med det samme. Programopdateringer lukker de vinduer, der på denne måde står åbne i mange it-systemer.
Kortere halveringstid
De nye tal stammer fra virksomheden Qualys, der benyttede hackerkonferencen Black Hat i sidste måned til at offentliggøre dem. Qualys lever af at undersøge, om deres kunders it-systemer er opdaterede. Sidste år fandt de frem til, at der i gennemsnit gik 30 dage, fra en opdatering var tilgængelig, til halvdelen af de relevante systemer havde fået den installeret. I år var denne "halveringstid" nået ned på 21 dage.
Tallene viser også, at virksomhederne behandler åbne vinduer i stuen og på anden sal forskelligt: De 21 dage gælder for systemer, der direkte kan nås fra internettet, mens de rent interne systemer først opdateres efter i gennemsnit 62 dage.
Hackere på spring
I nogle tilfælde er en sårbarhed allerede offentligt kendt, når opdateringen kommer. Andre gange bliver den det først, når opdateringen offentliggøres. Så snart en sårbarhed er kendt, begynder hackere og forfattere af virus og orme at undersøge, hvordan de kan udnytte den. Og de er blevet hurtigere.
Den 13. april udsendte Microsoft en opdatering, der lukkede et sikkerhedshul i Windows. Allerede den 1. maj begyndte ormen Sasser at sprede sig ved at udnytte dette hul. Den ramte masser af computere verden over, fordi de ikke havde installeret rettelsen fra Microsoft.
På den baggrund må man sige, at 21 dage er et skridt i den rigtige retning, men det er ikke nok. Og to måneder til at opdatere de interne systemer er alt for lang tid.
Oprindelig bragt i Børsen Informatik den 10. august 2004