Sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter, skriver artikkelforfatterne. Illustrasjonsfoto: monsitj/Thinkstock

Hackerne fant akilleshæl

To globale hacker-angrep har rystet verden. Sikkerhetshullet som slapp angriperne til, er trolig bare toppen av et isfjell.
Tirsdag, 11 juli, 2017 - 12:37

Av: Daniela Soares/Martin Gilje Jaatun, SINTEF

Fredag 12. mai i år ble fredag den 13. for mange databrukere. Løsepengeviruset «Wannacry» som gikk amok denne dagen, fikk lett spill – i nær 100 land. Årsaken var at et hyppig brukt operativsystem hadde en innebygd sårbarhet. Virus-slektningen «Petya», som slo til denne uken, utnyttet den samme svakheten. Akilleshælen er av et slag som – dessverre – ikke er uvanlig i IT-bransjen.    

Tilsvarende og liknende sikkerhetshull har nemlig vært påvist også i mye annen programvare.

I mai spurte mange seg om de rammede manglet brannmurer. Eller hadde de åpnet en svindel-epost? Men ingen av disse forutsetningene var nødvendige for «Wannacry». Viruset fant trolig veien rundt brannmurer via bærbare enheter som var brukt utenfor muren og deretter på innsiden.

Programvaren som ble angrepet i mai og juni, hadde en kjent sårbarhet. Den ble fikset noen dager før det første angrepet. De som ble rammet, hadde bare ikke oppdatert systemet sitt.  

Mer enn en «driftsjobb»

Men også en rekke program som er lagd for å betjenes via nettsider, har oppgjennom årene trengt oppgradering fordi de viste seg å være sårbare.

Sikkerhetshull i slike program har gjort hackere i stand til å overmanne programvaren, for eksempel ved å fylle søkefelt med informasjon av en annen type eller andre mengder enn det programmet er lagd for å motta. Ved å lure seg inn slik, kan kriminelle få skadelig kode til å spre seg og endre datasystemers oppførsel – herunder låse brukernes filer, slik tilfellet var under mai- og juni-angrepene. 

Alt dette viser at IT-sikkerhet er mer enn en «driftsjobb». Forsommerens globale angrep utnyttet en svakhet som kalles «Buffer overflow». Denne gjengangeren er beslektet med den såkalte «Heartbleed»-sårbarheten, som fantes i mer enn halvparten av verdens webservere mellom 2012 og 2014.

Manglende sikkerhetskunnskap

Flere studier har sannsynliggjort hva som er den bakenforliggende årsaken til slike sikkerhetshull: rett og slett at mange programvareutviklere ikke vet nok om hvordan programmer skal sikres mot misbruk.

Vi i Sintef har kartlagt kunnskapsnivået knyttet til programvaresikkerhet i et utvalg av norske virksomheter. Vi oppdaget at 50 prosent av programvareutviklerne her ikke stolte på at de var i stand til å utvikle sikre programkoder. I en liknende studie Microsoft gjorde verden over, var det tilsvarende tallet 60 prosent.

Dette er alvorlig. For om en programutvikler ikke søker gjennom koden sin for sikkerhetshull, er sannsynligheten for at den har problemer nærmere 100 prosent.  

Inn fra sidelinjen – ofte for seint

Kanskje er utviklernes manglende sikkerhetskunnskap en arv fra den tidlige dataalderen. I dag, etter at internett har fått alt til å henge sammen, har datakriminelle fått store angrepsflater mot et utall programvareprodukter. Men for ikke så lenge siden var dataprogrammer isolerte øyer. Bare den tiltenkte brukeren hadde tilgang. De som utviklet programmene, trengte derfor ikke å legge inn noe forsvar mot svindel fra folk med ondt i sinne.

Uansett hva årsaken er, så viser våre egne og andres studier at sikkerhetstenkning er dårlig integrert i programvareutviklingen i mange virksomheter. Dette enten formålet er å sikre seg mot ondsinnede som kommer seg innenfor brannmurer eller mot hackere som angriper åpent tilgjengelig programvare. Ofte er sikkerhetskompetansen ivaretatt av fagfolk som kommer inn i utviklingsprosjektene fra sidelinjen, gjerne for seint til at alle sårbarheter blir luket ut.     

«Forsøkskaniner» viser vei

I SINTEF står vi midt oppe i et forskningsprosjekt (SoS-Agile), der vi tester i hvilken grad kjente metoder kan gjøre programvareutviklere mer sikkerhetsbevisste. I ryggen har vi Forskningsrådet. Med oss som «forsøkskaniner» har vi programvareutviklere fra seks norske virksomheter. 

En rekke metoder er alt utviklet for å lære folk sikker programmering. Men det er forsket lite på hvor egnet hver og en av metodene er i en travel hverdag. Håpet vårt er å finne ut hvilke opplæringsmetoder som er best egnet for ulike typer virksomhet. Lykkes vi, kan IT-Norge gradvis gjøres mer robust mot hackerangrep. 

Kronikk første gang publisert i Dagens Næringsliv 30.06.17

På forsiden nå

Strengere forventninger til E-verkene krever nye løsninger. Norgesnett er i gang med å innføre et driftskontrollsystem som vil gi et fulldigitalisert fjernstyringsnett.
Fredag, 23 februar, 2018 - 09:56
Nordkraft er godt i gang med strategien om å drive kraftverk for andre. Fra 1. januar har Nordkraft overtatt driften av kraftverkene i Ballangen Energi.
Onsdag, 21 februar, 2018 - 08:25
Vi er fornøyd med at vi klarer å levere et resultat som ble langt bedre enn ventet, og spesielt fornøyd med at alle tre virksomhetsområdene (Vannkraft, Nett og Strøm) leverte over forventningen.
Fredag, 23 februar, 2018 - 10:01
Otovo, som blant andre har Akershus Energi som eier, hadde kraftigst vekst av solpanelaktørene i Norge i fjor.
Torsdag, 22 februar, 2018 - 09:55
Europa fikk 15,7 gigawatt ny vindkraft i 2017, melder WindEurope. Dette er 20 prosent økning fra 2016 og ny rekord. Tallet omfatter vindkraft både på land og til havs.
Torsdag, 22 februar, 2018 - 10:09
Olje- og energidepartementet har fattet vedtak i fire vannkraftsaker i Aust-Agder, Nordland og Hedmark. Departementet har opprettholdt NVEs konsesjon og vilkår for Harstveitbekken kraftverk. Søknadene om Ådalen kraftverk, Forsa kraftverk/Forsa settefisk og Hira kraftverk er avslått i samsvar med NVEs vedtak.
Tirsdag, 20 februar, 2018 - 08:37
Vind kan om litt gjøre flere øyer selvforsynt med grønn strøm – også når det er vindstille. EU-finansiert pilotprosjekt i Trøndelag skal vise hvordan.
Tirsdag, 20 februar, 2018 - 08:21
Et nedbørsfritt og kaldt Norden, bidrar sammen med et vindstille Nord-Europa og et løft i kullprisen til en kraftig økning i strømprisen denne uken.
Torsdag, 22 februar, 2018 - 10:00
Fredagskommentar:
I aviser landet rundt er det flere, anført av Nei til EU og enkelte fagforbund, som hevder Norge både vil miste kontroll over energiressursene og oppleve høyere strømpriser som følge av EUs tredje energimarkedspakke og deltakelsen i EUs energibyrå ACER. Slik er det ikke.
Fredag, 23 februar, 2018 - 10:12
Styret i BKK AS sa torsdag ja til en avtale som innebærer kjøp av hele virksomheten til Tysnes Kraftlag mot at kraftlaget blir eier i BKK AS. På forhånd har styret i Tysnes Kraftlag godkjent avtalen.
Mandag, 19 februar, 2018 - 07:55
Tore Tomter har blitt valgt til ny styreleder i Norsk Elektroteknisk Komite (NEK). Den erfarne elektroingeniøren ser for seg en stadig økning av handel innenfor elektroteknikk og tror at standardisering er en forutsetning for at dette skal skje.
Torsdag, 22 februar, 2018 - 10:07
Vedtak fra NVE viser at samlet inntektsramme for nettselskapene er på 16,7 milliarder kroner i 2017. Fremtidig økning i inntektsrammene vil føre til dyrere nettleie for kundene.
Torsdag, 22 februar, 2018 - 09:48
Forskningsprosjektet UPGRID som Powel har vært en del av, startet i januar 2015. Det hadde som mål å realisere åpne, standardiserte og integrerte forbedringer av lav- og høyspentnettet. Prosjektet, som fikk tildelt over €12 millioner (100 millioner kroner) fra EU, omfattet smarte nett i hele sin bredde. Prosjektet er nå avsluttet med positive resultater som vil bidra i utviklingen av neste generasjons IKT-infrastruktur for smarte nett og smarte målere.
Mandag, 19 februar, 2018 - 08:00
NVE har sendt forslag til sikkerhetskrav for smarte målere og øvrige deler av avanserte måle- og styringssystemer (AMS) på høring.
Onsdag, 21 februar, 2018 - 08:48
Neste år kan Statsraad Lehmkuhl seile ut av havna i Bergen helt uten utslipp. Enova støtter det innovative batteriprosjektet med over 4 millioner kroner.
Fredag, 23 februar, 2018 - 10:07
Underliggende driftsresultat før avskrivninger (EBITDA) endte i 2017 på 1 665 millioner kroner, en bedring på 27 prosent fra foregående år.
Tirsdag, 20 februar, 2018 - 08:30
Som del av en ambisiøs og fremtidsrettet digitaliseringsstrategi tar Mørenett nå grep. Samtidig påtar selskapet seg operativt ansvar for drift av nettene til flere av de lokale nettselskapene.
Onsdag, 21 februar, 2018 - 08:35
Agder Energi oppnådde i 2017 et driftsresultat i henhold til god regnskapsskikk (GRS) på 1 936 millioner kroner. Tilsvarende tall for 2016 var 1 812 millioner kroner. Resultat etter skatt (GRS) ble 1 237 millioner kroner (2016: 744 millioner kroner).
Mandag, 19 februar, 2018 - 07:49