Liggandes i tandläkarstolen i går
såg jag den ena parallellen efter den andra passera där likheterna
mellan en tandläkare och en nätsäkerhetsspecialist blev allt
tydligare. Den första likheten är att de båda letar efter kända
hål.
Inledningsvis vill jag poängtera att jag inte var bedövad i någon
form utan tankarna var helt klara. Jag vill också inflika att jag
har respekt för tandläkaren och den pina han eller hon kan utsätta
mig som patient för. Detta är också några olikheter som jag fann i
mitt dagdrömmande.
Mitt första tandläkarbesök som resulterade i ett nedslående
resultat skedde i 10-års ålder. Tandläkaren hade upptäckt karies!
Detta var det enda jag som 10-åring trodde att tandläkaren letade
efter. Idag, ett antal decennium senare, är jag fullt medveten om
att tandläkaren inte bara letar efter karies utan letar efter andra
brister och sårbarheter som mina tänder och dess omgivning kan vara
utsatta för. Denna insikt beror dels på den erfarenhet som en
10-åring har fått ett antal decennier senare, dels på resultatet av
forskning inom området. Ser ni likheterna till
nätsäkerhetsområdet?
De flesta av oss går till tandläkaren för en återkommande
kontroll. Tandläkaren, med en arsenal av kunskap, erfarenhet och
verktyg, kan på mycket kort tid se om vi har några kända brister i
tänderna eller dess omgivning. Det samma gäller för flera, tyvärr
allt för få, som exponerar resurser mot Internet. De anlitar en
nätsäkerhetsspecialist, med en arsenal av kunskap, erfarenhet och
verktyg, som på mycket kort tid kan se om det finns några kända
brister i de exponerade resurserna eller dess omgivning. Gemensamt
är inte bara den återkommande kontrollen, utan även att vetskapen
om att verktyg har en underordnad betydelse framför såväl kunskap
som erfarenhet.
Tandläkaren hittade inte oväntat en del att anmärka på i olika
allvarlighetsgrader. En parallell jag fann här är sättet att bedöma
anmärkningar. Tack och lov framförde tandläkaren inte några
anmärkningar av typen högrisk, men några anmärkningar som kan
kategoriseras som medium- eller lågrisk. En kategorisering som är
mycket vanlig i nätsäkerhetssammanhang.
Slutligen såg jag en parallell som inte är helt ovanlig. En del av
de anmärkningar jag delgavs försökte jag sopa under mattan. Likt en
struts gömde jag huvudet i sanden. Det bästa som kan hända är att
jag får samma anmärkning nästa gång, det näst bästa är att
anmärkningen har ändrats från lågrisk till medium- eller högrisk.
Det sämsta, och där kommer strutsbeteendet in, är att den upptäckta
sårbarheten nyttjas av någon och det i sin tur resulterar i en
skada som både blir kostsam och smärtsam. Det kan väl aldrig hända
mig?
I nästa alster kanske ni får läsa parallellen med bilbesiktningen?
Skämt åsido, den parallellen drar ni säkert bättre själva. Däremot,
nästa gång ni ligger i tandläkarstolen för kontroll, kan ni fundera
på när ni kontrollerade era exponerade resurser mot Internet
senast. Lägg där till att det som sker med en tand på ett år kan
ske över en natt i ett exponerat system. Ändå går fler till
tandläkaren och framför allt betydligt oftare, än vad de
kontrollerar sina exponerade resurser mot Internet.
© 2004 Thomas Nilsson, Certezza AB
