It-sikkerhedstrusler og medier
Kommentar: It-sikkerhed og "ulven kommer".
Forleden viste et landsdækkende tv-medie, hvor nemt det angiveligt skulle være at opsnappe en helt tilfældig danskers kode til Googles Gmail. Og ja, det er rigtigt, at det kan være relativt let at "sniffe" sig frem til denne type fortrolig information, men så let er det nu heller ikke. En række parametre skal være på plads, før det er muligt.
I eksemplet blev en bruger af en smartphone bedt om at logge på et trådløst hotspot for herefter at logge på vedkommendes Gmail-konto. Hotspottet var opsat til lejligheden, og der sad en kyndig person og var klar til at opsnappe al netværkstrafik – og dermed den uskyldiges brugernavn og kode til Gmail. Brugeren blev præsenteret for den adgangskode, han netop havde tastet ind – og han var selvfølgelig rystet over, at andre pludselig kendte hans kodeord (omvendt, så var han jo blevet bedt om at være med i et tv-indslag om it-sikkerhed, så mere overrasket var han nok heller ikke). Eksemplet rundedes af med et indtryk af, at smartphones generelt er usikre, og det er det, jeg synes er lidt synd.
Jeg skal ikke gå producenter af smartphones eller andre it-sikkerhedssælgeres ærinde. Det er ikke min opgave som it-revisor, men jeg vil alligevel mane til besindighed, når det gælder oplysning omkring it-sikkerhed til den almene bruger. Er 1. step i fortællingen om it-sikkerhed virkelig, at i udgangspunktet er alt usikkert?
Eksemplet er reelt – både teknisk og i praksis. Det vil de fleste, der arbejder med it, nok påstå, men mit budskab er to forhold: 1) Jeg mener ikke den brede befolkning skal skræmmes til at tro at alene det, at benytte sin smartphone udgør en sikkerhedsrisiko. 2) I stedet for skræmmekampagner (det er jo så moderne et udtryk), bør medierne forsøge at forstå problemstillingen og herefter kommunikere et reelt billede med praktiske eksempler.
Eksempelvis kunne førnævnte scenarie være at fortælle befolkningen, at man bør foretrække at bruge krypterede hotspots, at koder generelt bør være andet end hundens eller datterens navn (måske efterfulgt af fødselsdato), at hvis man sidder et offentligt sted, bør man skjule indtastningen af sit kodeord på samme måde, som når man taster sin PIN-kode i supermarkedet, og så videre. Det lyder måske lidt trivielt for den it-sikkerhedskyndige, men det er rent faktisk stadig aktuelt at sprede netop dette budskab ude blandt de helt almindelige it-brugere.
For år tilbage kunne vi inden for it-sikkerhedskredse overraskes over, at en hacker/cracker ved et par lette anslag, kunne overtage en anden computer og tage billeder med computerens webcam, åbne CD-skuffen, aflytte computerens mikrofon, vende brugerens skærmbillede 180 grader og så videre. Det er nok grunden til at de små post-it-lapper hos mange i it-branchen stadig er en storsellert (altså, til at sætte over sit webcam). Det er vel snart 10 år siden eller så – og tiden har jo ikke ligefrem stået stille inden for udviklingen i den niche i branchen.
Så igen – jeg forsøger hverken at tale it-sikkerhedstrusler "op" eller "ned". Det er et faktum, at der er ganske reelle trusler i et utal af forhold ved it, men mit budskab går på, at lade medier og måske også it-sikkerhedsvirksomheder, give et reelt billede af de trusler, der er ved brug af it for den private it-bruger. Det kan godt lade sig gøre at misbruge kreditkort på internettet, men vi glemmer, at kreditkortet lige så ofte (og måske oftere) misbruges ved gammeldags tyveri.
Forleden blev jeg ringet op af en journalist, der spurgte om det med smartphones og bankers apps nu i virkeligheden ikke var en rigtig dårlig idé, for det hele er jo så usikkert. Jeg svarede – lidt provokatorisk, "Næh", og så var interessen for et citat fra min side åbenbart ikke så relevant.
Der er risici ved alt – og dermed også ved brugen af it. Sådan er det, og sådan vil det altid være. It-sikkerhed er ikke alene tekniske løsninger, it-sikkerhed handler lige så meget om dem der, bruger it. Sikkerhed i biler, altså airbags, ABS og så videre står jo heller ikke alene – der skal også være en fører, der ikke kører bilen ind i et træ. Uddannelse og korrekt, afpasset information til it-brugeren er dermed også vejen frem. Fortælling om it-sikkerhed er alle "de kloges" ansvar og dermed også mediernes, afpasset og reelt, og uden "sensationer".