Säkerheten på internet måste prioriteras. Det görs klart när OWASP Top 10, en lista med de tio viktigaste säkerhetsaspekterna som webbutvecklare och andra som skriver kod som exponeras på internet behöver förhålla sig till, snart lanseras i uppdaterad version.
OWASP top 10 uppdaterades senast 2013. I sommar kommer en ny version, och ett första utkast av den har nyligen publicerats. Två stora nyheter finns på listan.
För det första lyfter OWASP fram behovet av mekanismer som identifierar intrångsförsök och andra typer av attacker. En angripare ska inte kunna fortsätta hitta säkerhetsluckor utan att systemet först upptäcker det och agerar därefter. Som det konstateras i dokumentet: ”Detecting, responding to, and blocking attacks makes applications dramatically harder to exploit yet almost no applications or APIs have such protection.”
För det andra uppmärksammar OWASP att allt fler internettjänster konsumeras i form av API:er. Men precis som en webbsida kan ett API innehålla många olika typer av sårbarheter, i form av så kallade SQL Injections eller annat. Så, se inte bara över säkerheten i det gränssnitt användarna möter i webbläsaren. Granska också säkerheten i organisationens API:er.
Vanligt att säkerheten brister
Men även om OWASP:s lista är en bra startpunkt kan den inte fungera som mer än en guide. Den kan påminna utvecklarna om vad som faktiskt är prioriterat, var man bör börja. Sen måste jobbet faktiskt göras.
För i grund och botten handlar det om att webbplatser är program precis som dem du har i din dator. Och de körs på datorer, även om de kallas för servrar och står någon annanstans än på ett skrivbord på ett kontor.
Det innebär att en webbplats behöver lite omtanke, precis som säkerheten i datorerna som finns på kontoret. En webbplats kan krascha, och saknas då säkerhetskopian är risken stor att den borta för alltid. Precis som datorn på ett skrivbord kan en webbplats smittas av malware. Och den kan angripas av någon som till exempel är ute efter kreditkortsuppgifter.
Inget av det här borde vara några nyheter. Allra minst för någon som jobbar med IT. Ändå uppstår just de här problemen. Om och om igen.
Orsaken ofta nedprioriteringar
Att det ser ut så här beror på många olika saker.
Säkerhet är inte – eller har åtminstone inte varit – något som säljer. Användarna frågar efter finesser som gör att de har roligare eller jobbar effektivare, och därför får UX de största delarna av utvecklingsbudgeten.
Få tjänster byggs idag från grunden. Istället används tredjepartsbibliotek. Det gör att utvecklingen går snabbare. Det innebär också att koden sannolikt blir säkrare. De stora kodbiblioteken är väl genomlysta, används av många och får sina problem snabbt fixade. Men för att det på sikt ska bli bra förutsätter det att de som valt att bygga sina lösningar med biblioteken som byggstenar också håller sig uppdaterade om de säkerhetshål som upptäcks i de underliggande biblioteken. Och uppdaterar.
Dessutom är säkerhet ett rörligt mål. Helt nya typer av attacker kan över en natt göra en nättjänst sårbar, utan att en enda kodrad har ändrats.
Systematiskt säkerhetsarbete allt enklare
För att se till att säkerhetsarbetet verkligen blir gjort finns det verktyg som hjälper till. Ett exempel är svenska Detectify, nyligen med på Ny Tekniks och Affärsvärldens lista över de 33 hetaste teknikföretagen i Sverige. Företaget utvecklar en sårbarhetsscanner som testar en nättjänst i jakt på kända säkerhetsproblem. Fördelen med ett sådant verktyg är att det gör det möjligt att se till att säkerhetsarbetet blir en del av den dagliga verksamheten. Istället för att anlita en extern konsultfirma som granskar koden inför stora releaser kan varje ny uppdatering testas innan den sätts i drift.
Forskningsprojektet Seconds är ett annat exempel. Syftet är att göra det enklare för utvecklare att hålla koll på sårbarheter som upptäcks i de kodbibliotek de använder. Målet är ett webbverktyg som hämtar in information om de säkerhetshål som rapporteras via befintliga databaser och matcha den mot information om projekten där de används. Och att det i så stor utsträckning som möjligt ska ske automatiskt, för att göra det kostnadseffektivt att hålla koll på säkerheten i företagets produkter.
OWASP är glasklara i sin slutsats: Säkerhetsarbetet är inte något som går att välja bort.
Deras lista är en bra startpunkt. Verktyg som underlättar arbetet finns. Men det är också något som måste prioriteras. Från högsta ledningen.
Om skribenten
Anders Thoresson har bevakat IT och telekom sedan 1999, först som reporter på Ny Teknik och sedan 2006 som frilans. Genom åren har hans texter bland annat publicerats i Dagens Nyheter, Dagens Industri, Forskning och Framsteg, IVA Aktuellt och Ny Teknik. Han har också skrivit flera Internetguider åt IIS och gör poddcasten Digitalsamtal. Du når Anders via hans webbplats.