Slakter sikkerhets-bransjen

Slakter sikkerhets-bransjen

Spesialister på it-sikkerhet kan kalle seg det uten formelle og etiske krav. Skandaløst, mener Kent Anderson, mannen som avslørte hackerlegenden Kevin Mitnick.

Paranoia-konferansen om it-sikkerhet, som gikk av stabelen onsdag, hadde besøk av en av verdens mest kjente hacker-dødare. Kent Anderson er mannen som avslørte hackerlegenden Kevin Mitnick. I slutten av 1980-årene jobbet Anderson for etterretningstjenesten i USA, og avdekket spionasjevirksomhet sammen med blant andre norske Stein Møllerhaug.

Anderson er sterkt kritisk til bransjen han selv representerer nå, som leder av Network Risk Management. Sikkerhetsansatte er den raskest voksende kategorien av it-personell, men profesjonen har ingen formelle krav, påpeker Kent Anderson.

LES OGSÅ: Storsvindler gir it-råd

Slakter bransjen

- Dette er nå en bransje som omsetter for 30 milliarder dollar. Og den vokser næmmest eksponensielt. Så hva det som gjør at sikkerhetsproblemet likvel vokser nær uhemmet?

Den erfarne eksperten mener mye av forklaringen ligger hos bransjen selv:

- Stort sett er det teknikere som etter hvert kaller seg eksperter. Problemet er at teknologi bare er en del av sikkerhetsaspektet. God sikkerhet krever høy kompetanse i risikovurdering for å kunne etablere effektive mottiltak. Dette er det ingen som helst tradisjon for innenfor it.

LES OGSÅ: For flinke med elektronisk id

Amerikaneren ivrer for at sikkerhetsselskaper får inn nye kompetanseområder som etterforskningskunnskap, psykologi og antropologi. Den tekniske kunnskapen er viktig, men slett ikke tilstrekkelig, mener han.

Han svinger pisken over bransjen han selv lever av. It-systemer er nesten aldri bygget med sikkerhet som en del av fundamentet, og attpåtil slipper produsentene unna ethvert ansvar så fort produktet er ute av fabrikken, mener Anderson.

- Microsoft hevder de bygget inn sikkerhet fra bunnen av i Vista, du er ikke enig i det?

- Vista er et godt første skritt. Men det de gjør er å retro-tilpasse systemet, fordi de må få det til å passe sammen med alle mulige eldre applikasjoner.

Uten krav

Det er et stort problem, synes Anderson, at eksperter på it-sikkerhet kan kalle seg det uten at det er krav til formelle kvalifikasjoner.

- Tenk deg om advokater eller leger skulle holdt på på samme måte. Det er utenkelig.

LES OGSÅ: Sikkerhet sluker it-budsjettene

Mangelen på etiske krav preger ikke bare sikkerhetsbransjen, men hele it-industrien.

- Det minner om bilindustriens tidligste periode, da det manglet krav og regler og alt var overlatt til kundene. I dag er det kunden som pålegges alt ansvar fra det øyeblikk produktet forlater forhandleren. Det er fundamentalt galt, og det trengs lovgivning som fordeler ansvaret på en bedre måte, sier Kent Anderson.