Kategorier
Länkar

HP skyller på skit bakom spakarna

HP har använt den egna molnbaserade plattformen Fortify on Demand för att analysera tusentals program och mobila appar. Här slår man fast att de flesta problem beror mer på brister i konfiguration av servrar än på de program som används.

Relaterat: Därför är användarna den svagaste säkerhetslänken.

Detta skulle givetvis kunna glädja programutvecklare som ju ofta får bära hundhuvudet när systemen fallerar. Men situationen är inte så enkel, anser Hugo Josefson som är seniorkonsult på utvecklingsbolaget Jayway och har ett förflutet som it-säkerhetskonsult. Han tycker det är fegt av HP att skylla felen på användarna.

– Oavsett om det är vanliga buggar, säkerhetsproblem eller hur mjukvaran kan användas för att dela privat information med hela världen, så har vi utvecklare ett mycket stort ansvar att göra programmet enkelt att använda till det som användaren vill, utan att de ska kunna göra fel av misstag.

Hugo Josefson anser att samma sak gäller i de fall där målgruppen är systemadministratören som ska installera mjukvaran.

– Vi bör konstruera mjukvaran på ett sådant sätt, att det är mycket enkelt att använda den på ett korrekt och säkert sätt och nästintill omöjligt att göra fel eller installera på ett osäkert sätt.

Därmed blir det lite konstigt, anser Hugo Josefson, när man lägger över ansvaret för felanvändning från utvecklare till användare.

– Tills vi uppnår så bra utformad mjukvara i alla led är rapportens rekommendation ändå sund; att vara noga med hur vi konfigurerar och installerar mjukvara och att avsätta resurser för att kontrollera att vi gör rätt, säger Hugo Josefson.

Johan Petersson, projektledare på konsultbolaget Altran, tycker dock inte att man kan utläsa att HP skyller på klantiga slutanvändare.

– Det handlar mer om omkringliggande faktorer som exempelvis felkonfigurerade servrar som inte har uppdaterats. Sedan hamnar ju stor skuld på appsidan också. Det är ju chockerande att se att så stort antal appar inte krypterar och skyddar känslig information.

Johan Petersson syftar på en uppgift i rapporten som visar närmare hälften av alla de undersökta apparna för IOS och Android uppvisar säkerhetsbrister.

Bengt Berg, säkerhetsexpert på Cybercom, anser att den centrala frågan i sammanhanget är om man över huvud taget kan åtgärda säkerhetsproblemen.

– Hur hanterar man ett fel inne i en applikation som en annan part har utvecklat? Fick man med säkerhetskraven i upphandlingen och har man testat säkerheten ordentligt? Om man svarar nej på de frågorna finns det risk för att man har problem som man inte enkelt kan åtgärda. Behöver man säkerhet behöver man absolut också applikationssäkerhet.