2015-03-20

Värdet av osäkra webbtjänster

Detta kommer att vara en ganska cynisk bloggpost men tyvärr, det är allt för ofta sant.

Det kommer regelbundet rubriker om att kända företag och organisationers webbtjänster är "hackade"  eller har svåra sårbarheten som kan ha utnyttjas av utomstående. Ofta visar det sig att det underleverantörer i form av webbtjänsteföretag som haft dålig säkerhet. De kända varumärkena som som då svärtas är det en obehaglig överraskning för. De hade valt en tjänst som funktionellt fungerade väl till ett acceptabelt pris. Tjänsteföretaget verkade seriöst och kanske redan hade bra referenser från andra kända varumärken.
Helt plötsligt uppdagas det att tjänsteföretaget blivit "hackat" och att känslig personlig information kan ha läckt ut för tusentals användare och att det varit möjligt att avlyssna deras trafik under en tid.
  • Hur kan detta hända?
    Det är svårt att skapa "säkra" webbtjänster, programmeringen måste vara mycket disciplinerad och utvecklarna måste vara välutbildade i säker applikationsutveckling. Sedan upptäckts hela tiden sårbarheten i operativsystem, webbservrar m.m. som kan utnyttjas för intrång. Det behövs  en mycket aktiv förvaltning för att hantera dessa sårbarheten.
    Sedan finns det också en ovana och kanske okunskap om hur man ställer säkerhetskrav på tjänsteleverantörer och ofta, om sådana krav trots allt ställs, en ointresse från tjänsteleverantören att avtal om detta.
  • Vilka drabbas?
    Först och främst de som får sina personliga uppgifter exponerade och kanske utnyttjade. Sedan kan förtroendet för de som i god tro köpt tjänsterna. Varumärkesskadan kan bli omfattande.
  • Varför uppdagas liknande gång på gång?
    Säkra webbtjänster är inte enkla att skapa. Många utvecklare kan skapa funktionella tjänster, få av dem klarar också av att utveckla säkra tjänster. Här ligger nog problemet. Det är lätt att hitta utvecklare som snabbt och billigt tar fram bra funktion. Sedan är "time to market" viktigt för att snabb skapa ett kassaflöde i tjänsteföretaget. Säkerheten blir då medvetet eller omedvetet eftersatt, det finns inga pengar i att satsa på säkerhet. Så länge det går bra flödar pengarna in och genom tjänsteföretaget. Ofta är det ganska litet kapital bundet i företaget så skulle det värsta hända så kan man ta en konkurs och starta om med nytt namn.
    Det kommersiella värdet är helt enkelt högre för en osäker tjänst.
  • Hur kan man då som köpare av webbtjänster minska risken att bli "hackad", förlora kunder och användares förtroende och i värsta fall sin verksamhet?
    I första hand ställa krav på tjänsteleverantören, att kontraktera skadestånd om tjänsten blir hackad. Vidare skall krav på leverantören att ha standardiserade processer för säkerhet t.ex. enligt IEC/ISO 27001. Att man följer de rekommendationer som organisationen OWASP ger för säkra webbapplikationer. Hanterar tjänsten personuppgifter så skall också ett personuppgiftsbiträdesavtal tecknas. När man kommit så här lång med sin tjänsteleverantör så inser man att priset förmodligen blir mycket högre än vad konkurrenten tar för samma funktion. Men vad kan en osäker webbtjänst kosta din verksamhet i slutändan?