Lengi vel var ekkert hugsað um upplýsingaöryggi þegar verið var að þróa hugbúnað, mörg kerfi höfðu ekki einu sinni aðgangsstýringar. Allt frá því að vefsíða CIA var afskræmd 1996 þá hefur vitund forritara og almennings fyrir öryggi hægt og rólega aukist. Á þessum tíma voru hakkarar fyrst og fremst bara áhugasamir fiktarar. Fljótlega eftir fyrstu stóru þjónusturofs árásirnar (Denial of Service - DoS) voru framkvæmdar á mörgum stærstu vefsíðum síns tíma árið 2000, meðal annars gegn Yahoo!, eBay, CNN og Amazon, var Open Web Application Security Project (OWASP ) stofnað sem hagsmunasamtök með það að markmiði að auka öryggisvitund í hugbúnaðarþróun. Á þessum tíma verða hakkarar að eins konar popp-ímynd með reglulegum hlutverkum í bíómyndum og sjónvarpsþáttaröðum, þar sem um var að ræða spennandi og vaxandi völd. Í kjölfarið vex ákveðnum hóp hakkara ásmegin og fundu leiðir til þess að græða peninga á því að brjótast inn í tölvukerfi, og þá fóru glæpasamtök og ríkisstjórnir að koma inn í myndina.

Hver er staðan núna?
Ástand tölvuöryggis í dag er slæmt. Daglega fáum við fréttir af því að hökkurum eða svo ég noti meira viðeigandi orð, tölvuglæpamönnum hefur tekist að brjótast inn á stofnanir, afskræmt vefsíður, stolið gögnum eða peningum, lekið gögnum eða álíka. Í dag er alþjóðlegur markaður fyrir glæpsamlega starfssemi með tölvuinnbrotum orðinn gríðalega stór og enginn er undanskilin. Tölvuglæpamenn einblína ekki lengur á fyrirtæki og stofnanir heldur hafa einstaklingar einnig orðið að skotmörkum. Með þeim tækninýjungum sem hafa komið á markað með snjallsímum og nettengingum alls kyns tækja eins og fyrir heimilið eða heilbrigðiskerfið opnast nýjar og nýjar leiðir fyrir árásaraðila til þess að græða pening.  

En hvað er í gangi á Íslandi?
Staðan hérlendis er sú að aðeins fáeinir þróunaraðilar leggja áherslu á öryggi í þróunarferlinu, og þá helst vegna kröfu viðskiptavina. Í þeim tilfellum þarf jafnframt að vera hægt að sýna fram á að öryggi hafi verið tekið með í reikninginn. Reynslan segir okkur hins vegar það að þekking þróunaraðila hér á landi á viðurkenndum öryggissviðum, t.a.m. OWASP Top-10 göllunum, er því miður undantekningarlítið grunn. Of fá hugbúnaðarhús sækjast enn fremur eftir að fá óháðan þriðja aðila til þess að framkvæma öryggisprófanir á sínum lausnum og fyrirtækjum, Sú þróun er þó að aukast í takt við auknar kröfur þeirra sem kaupa inn lausnir. Leiða má líkur að því, eins og kemur fram í net- og upplýsingaöryggis stefnu ríkisstjórnarinnar , að skortur á þekkingu sé m.a. vegna þess að upplýsingaöryggi er ekki enn orðinn fastur hluti af námi á borð við tölvunarfræði.

Til hliðsjónar við erlend fyrirtæki langar mig að benda á nokkra áhugaverða punkta úr skýrslu  sem Ponemon stofnunin gaf út eftir að hafa framkvæmt rannsóknir á stöðu öryggis í hugbúnaðarþróun. Úrtakið var rúmlega 800 manns sem höfðu að meðaltali 8 ára starfsreynslu hjá stórum þróunaraðilum. Punktarnir eru eftirfarandi.

• 71% þróunaraðila telja að ekki sé lögð nægilega mikil áhersla á öryggi í þróunarferli hugbúnaðar.
• 51% þróunaraðila telja að einungis sé lögð áhersla á öryggi á útgáfustigi eða eftir að búið er að gefa hugbúnaðinn út.
• 51% þróunaraðila staðhæfa að þeir fái hvorki þjálfun né fræðslu um öryggi í hugbúnaðargerð.
• 65% þróunaraðila staðhæfa að þeir öryggisprófa ekki hugbúnaðinn, hvorki í þróunar-, framleiðslu-, né í prófunarferli.
• Einungis 16% þróunaraðila telja að hugsað sé út í öryggi á hönnunar og þróunarstigi.

Þessi tölfræði sýnir fram á stórt vandamál. Ef áhersla er yfirhöfuð lögð á upplýsingaöryggi í þróunarferlinu, þá er það yfirleitt gert á síðustu metrunum þegar kostnaðurinn til þess að lagfæra veikleika er orðinn mun hærri. Það er þörf á hugarfarsbreytingu. Til lengri tíma er hagkvæmara fyrir fyrirtæki að fjárfesta í öryggisþekkingu þróunaraðila og stuðla þannig að auknu öryggi hugbúnaðar. Við tryggjum ekki eftir á.

Hvert þurfum við að fara?
Ísland er nokkrum skrefum á eftir því sem gengur og gerist í nágrannalöndum okkar, þar sem upplýsingaöryggi er nýtt sem viðskiptalegt tækifæri og lagt upp sem einn mikilvægasta þátturinn í hugbúnaðarþróun. Með heildrænni innleiðingu öryggis inn í þróunarferlið með áherslu á hag viðskiptavina, samkeppnishæfi lausnarinnar og rekstrarhagræðingu er hægt að auka virði vörunnar og ná leiðandi stöðu á markaðnum. Það er því kjörið tækifæri fyrir þróunaraðila að grípa gæsina meðan hún gefst og taka skrefið í átt að auknu öryggi.

Eftirfarandi eru nokkur skref sem við hjá Syndis mælum með að aðilar í hugbúnaðarþróun ígrundi vel á næstu misserum.

• Innleiðing öryggis í þróunarferlið frá byrjun.
• Þjálfun þróunaraðila í öruggri hugbúnaðarþróun.
• Fá óháðan þriðja aðila til þess að framkvæma öryggisúttektir á hugbúnaði.
• Að bjóða upp á verðlaunafé (Bug Bounty ) ef utanaðkomandi aðilar finna og tilkynna veikleika í hugbúnaðinum.
• Vera með vel skilgreint ferli við meðhöndlun öryggisveikleika sem koma upp og tilkynna viðskiptavinum á skýran hátt og hvernig megi bregðast við.

Höfundur: Hörður E. Ólafsson, Markaðs- og viðskiptaþróun hjá Syndis