Blog: Lad ikke "Heartbleed" blive til et hjerteanfald





Da en af vores egne sikkerheds-specialister en morgen fortale at hun havde hørt om “Heartbleed” i medierne samme morgen, vidste jeg at det ville blive nogle lange dage. Ikke så meget fordi at dette var og er en meget kritisk sårbarhed, det sker at disse kommer med jævne mellemrum, men fordi jeg af erfaring ved, at når nyheder som denne når medierne, står sikkerhedseksperter i kø for at give deres besyv med, helst hurtigst muligt. Resultatet af dette er meget naturligt, at både brugere, kunder, ledelse og borgere bliver bekymrede. Vi skyndte os derfor med at melde bredt ud i organisationen, at vi var opmærksomme på “Heartbleed”, i fuld gang med at håndtere den og der ingen grund var til panik.

Grundet den megen medieopmærksomhed, brugte vi en del tid indledende på at finde hoved og hale i den megen information. Som sikkerheds-ansvarlige er vi jo altid nødt til at reagere på fakta, ikke rygter. Det er et af mine personlig mantra, for af bitter erfaring ved jeg, at det ikke altid handler om at reagere hurtigst, men rigtigt. Forkerte, men velmente, handlinger før fakta er på plads, kan nemlig gøre skaden langt være end den trussel vi prøver at beskytte imod.

Vi er dog nu kommet så langt i “Heartbleed” håndteringen, at jeg vil tillade mig at give mit eget besyv med. Forhåbentlig for at skabe lidt nuance i debatten omkring “Heartbleed”, som jeg mener, har været noget entydig. Ikke at “Heartbleed” ikke skal tages meget alvorligt, det skal den, men når jeg hører såkaldte eksperter komme med så misvisende budskaber, som jeg har hørt på det sidste, mener jeg at vi som branche risikerer et trosværdighedproblem. Jeg håber derfor at tiden “post Heartbleed”, giver tid til lidt refleksion over vores egen ageren.
 
Jeg mindes ikke at have hørt og set, at en sårbarhed har været så massivt til stede i direkte TV, trykte medier, digitale medier og sågar på YouTube (pt. får jeg 30.000 hits på YouTube efter søgning på “Heartbleed”). Men det var primært et direkte interview med en “sikkerhedsekspert”, på den ankerkendt amerikansk tv-station CNBC, der her har fået mig til tasterne. For ekspertens dommedags-retorik, var desværre ikke langt fra hvad jeg har hørt fra mange fronter over de sidste par uger.  

Så, lad mig slå det fast igen: Heartbleed er alvorlig og skal tages meget seriøst. Der findes mange gode råd på nettet, også her på Computerworld, om hvordan Heartbleed sårbarheden virker, og hvad der skal gøres, både af IT administratorer og brugere. Ikke mere om det her. Men ud fra det ovennævnte TV interview lad mig her forsøge at skille fakta fra rygter.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>