Slakter opplæringen i web-sikkerhet

Dette hevder Lillian Røstad og Ove Olsen, henholdsvis er forsker og leder ved Senter for informasjonssikring (SIS) i Trondheim. Senteret som har ansvaret med å koordinere aktiviteter knyttet til it-sikkerhet i Norge, har den siste tiden sett at det oppdages stadig mer feil og sårbarheter i webapplikasjoner hos norske bedrifter.

En rapport (Internet Security Threat Report Vol. VI) gjort av sikkerhetsselskapet Symantec viser at hele 39 prosent av alle nyoppdagede sårbarheter i første halvår var relatert til webapplikasjonsteknologier.

Alarmen gikk

Det ferskeste eksemplet SIS har registrert er fra september i år. Da gikk alarmen i forbindelse med hutigbåtrederiet HSD i Bergen sitt nye billettbestillingssystem.

En hacker fikk tilgang til navnene på de reisende, med adresser og telefonnummer. SIS-folkene viser også til at en enkel url-hacking i 2000 førte til at Sparebanken NORs kunder fikk muligheten til å gå inn og kikke på hverandres kontoopplysninger.

Enkelt å unngå

-- Felles for disse to sakene er at det dreier seg om feil som det kunne vært enkelt å unngå - dersom sikkerhet hadde hatt større fokus i utviklingsprosessen. og dersom utviklerne var kjent med de vanligste trusler mot webapplikasjoner, og hvordan man beskytter seg mot dem. Det er dessverre slik i dag at i utdanning av systemutviklere i Norge er sikkerhet svært sjelden et tema - ofte ikke i det hele tatt. Det er rett og slett en fundamental mangel på kunnskap blant utviklerne, sier Lillian Røstad som også er utdannet systemutvikler.

Opplæring i informasjonssikkerhet fokuserer tradisjonelt på kryptografi og sikring av kommunikasjon. Fagfolkene ved SIS i Trondheim har gått gjennom mange fagplaner ved landets opplæringssteder, og mener at studiestedene har lite eller ingen fokus på utvikling av sikre systemer - selv om de fleste sikkerhetsproblemer skyldes svakheter i programvare.

-- Spesielt viktig er dette for webbaserte systemer som i prinsippet er tilgjengelige for alle, og dermed også mer utsatt for angrep, hevder Lillian Røstad.

Grunnleggende utdannelse

Som forsker ved SIS og faglærer ved instititutt ved datateknikk og informasjonsvitenskap på NTNU vil hun at informasjons- og webapplikasjonssikkerhet skal bli en større del av den grunnleggende utdannelsen til systemutviklere.

Bare i Trondheim utdannes det hvert år mellom 150 og 200 sivilingeniører som har systemutvikling på fagplanen.

-- Det er for galt at dersom informasjons- og webapplikasjonssikkerhet er på dagsorden ved utdanningsinstitusjonene, så skyldes det stort sett at det er en faglærer som personlig ivrer for det. Unntaket fra regelen er høyskolen på Gjøvik som har et eget studium i informasjonssikkerhet. Jeg er overbevist om at antall datakrimsaker ville vært redusert dersom norske læresteder generelt hadde hatt mer fokus på websikkerhet, sier Røstad.