Lever du som du lär?

De flesta har haft en relation med Internet långt över ett decennium. Alla har i någon form råkat ut för mer eller mindre allvarliga incidenter. Medvetenheten om så väl möjligheterna som riskerna med Internet har aldrig varit större. Trots detta är varken informations- eller IT-säkerhet ett naturligt inslag i alla IT-projekt.

Medvetenhet är som bortblåst när man i flera fall sjösätter IT-projekt utan att ha en ringa tanke på vilka eventuella hot och risker slutprodukten utsätts för. Fem i tolv är det inte ovanligt att någon yppar en undran som resulterar i en kommentar som är snarlik den som kreatören i Sundbyberg fällt ett antal gånger "Tänkte inte på det". Givetvis får inte tidplanen påverkas av det inträffade eftersom tidplanen redan reviderats vid ett antal tillfällen. Ytterligare förseningar är inte att tänka på! Slutprodukten skall nu med blixtens hastighet och till en försumbar kostnad förses med en lösning som gör den osårbar.

Lösningen som gör slutprodukten osårbar varierar. Någon förordar den där lådan som innehåller alla tänkbara skydd till kostnaden av en PC, någon annan nämner den där nya programvaran från den stora leverantören, en tredje tror inte att det är någon risk att exponera slutprodukten. Oavsett vilken väg man väljer så finns det inget underlag som belyser vilka risker och hot som slutprodukten kan tänkas vara utsatt för utan lösningen som väljs för att skydda slutprodukten grundas på något annat. I bästa fall grundas det på erfarenhet från likartade projekt, vad det nu kan tänkas vara värt. Inte sällan väljs en temporär lösning för att vinna tid. För övrigt tenderar den temporära lösningen ofta till att bli den permanenta lösningen då varken tid eller medel infinner sig i ett senare skede. Går allt väl sker leveransen i tid och slutprodukten är osårbar. Dessvärre så är det sällan lyckliga slut på dessa projekt. Tiden kommer förr eller senare i kapp verkligheten.

Det förvånande är inte att det fortfarande existerar IT-projekt som inte har naturliga inslag av informations- och IT-säkerhet. Det förvånande är att det återupprepas gång efter annan. Den enda rimliga förklaringen till att det fortsätter i samma dåliga anda är att man hittills haft tur och inte råkat ut för några allvarliga incidenter. I alla fall ingenting man är medveten om. Det är inte långt borta att dra slutsatsen att det finns mängder med halvtaskiga slutprodukter som skyddas med halvdana lösningar där man inte har en aning om den verkliga hotbilden. Det är inte märkligt att det dagligen läcker ut information såsom kreditkortsnummer, personuppgifter och företagshemligheter.

© 2006 Thomas Nilsson, Certezza AB