Harde reaksjoner mot RSA

Harde reaksjoner mot RSA

NSA-betaling for bakdør fører til boikott fra sikkerhetsbransjens tungvektere

En av verdens mest respekterte sikkerhetseksperter, Mikko Hypponen, somer forskningssjef i finske F-Secure, meldte mandag avbud som taler til RSA-konferansen til våren. Dette var i protest mot avsløringen av for tette relasjoner mellom EMC-eide RSA og NSA.

Forrige helg eksploderte nyheten om at den velrenommerte sikkerhetsaktøren RSA hadde blitt betalt 65 millioner kroner fra den nordamerikanske sikkerhetstjenesten NSA for å legge inn en modul med NSA-bakdør i sikkerhetspakken RSA leverer.

Denne pakken er brukt i stor utstrekning i sikkerhetsorienterte selskaper. Flere av modulene er de-facto sikkerhetsstandarder.

- Jeg regner ikke med at andre talere vil kansellere deltagelsen i RSA-konferansen. De fleste talerne er nordamerikanere, så hvorfor skulle de bry seg med overvåking som ikke er rettet mot dem, men mot alle andre. Overvåkingsoperasjoner drevet av nordamerikanske etterretningsorganisasjoner er rettet mot utlendinger, skriver Hypponen i et åpent kanselleringsbrev til sjefen i EMC og sjefen i sikkerhetsdivisjonen til EMC, ifølge nyhetstjenesten til Computerworld .

Hypponen har vært eksperttaler i åtte RSA-konferanser i USA, Japan og Europa. Den noe bitre tonen speiler tonen i reaksjonen fra et stort, internasjonalt sikkerhetsmiljø.

Veik avvising

Det hjelper ikke at RSA avviser beskyldinger. Et selskap som selger sikkerhet gjør det med basis i tillit. De kan dermed ikke plassere seg sjøl i en rolle der tilliten kan trekkes i tvil.

Så langt er heller ikke svaret fra RSA uten forbehold , og avvisingen gjelder kun deler av beskyldningene. Om dette skyldes at erklæringen er kvernet gjennom en internjuridisk verbalkompilator eller om RSA har noe å skjule er uvisst. Uklarhetene er uansett store nok til at verdens sikkerhetseksperter hverken er imponert eller overbevist.

- RSA-svaret til beskyldningene er runde og ignorerer direkte flere av de store, viktige elementene i beskyldningene som er kommet. Den har ikke bidratt til at sikkerhetsmiljøet på noen måte har fått tilbake tilliten til selskapet, sier Carl Livitt, sjef for sikkerhetsrådgiving hos rådgiverne i Bishop Fox.

Dermed er det rom for tvil og tillitstap.

Unik møteplass

RSA-konferansene er spesielle i den forstand at de har fungert mer som kollegiale kongresser enn rene produkt- og løsningskonferanser. Kolleger fra sterkt konkurrerende selskaper har lagt den konkurransen til side for en tung fagkonferanse. Målet for RSA-konferansen har vært mer å diskutere utfordringer og dele løsninger som gjelder it-systemene.

Når tungvektere som Hypponen protesterer, er det dermed litt mer enn problem med å finne en taler til en eller annen bransjekonferanse. Det rammer det unikt faglige i selve arrangementet.

RSA-konferansen det er snakk om i denne omgangen skjer i slutten av februar. Andre talere kommer fra Microsoft, Juniper Networks, Cisco, McAfee, Symantec og Hewlett-Packard. Flere av disse selskapene er nær skyttergravskrig resten av året, men holdt sin «julefred» under RSA-konferansene.