Da en af vores egne sikkerhedsspecialister en morgen fortale at hun havde hørt om “Heartbleed” i medierne samme morgen, vidste jeg at det ville blive nogle lange dage. Ikke så meget fordi at dette var og er en meget kritisk sårbarhed, ikke fordi at der var kommet en meget kritisk sårbarhed, det sker med jævne mellemrum, men fordi jeg af erfaring ved, at når nyheder som denne når medierne, står sikkerhedseksperter i kø for at give deres besyv med. Resultatet af dette er meget naturligt, at både brugere, kunder, ledelse og borgere bliver bekymrede. Vi skyndte os derfor med at melde bredt ud i organisationen, at vi var opmærksomme på “Heartbleed”, i fuld gang med at håndtere den og der ingen grund var til panik.
Grundet den megen medieopmærksomhed, brugte vi en del tid indledende for at skille fakta fra rygter. Som sikkerhedsansvarlige er vi altid nødt til at reagere på fakta, ikke rygter. Det er et af mine personlig mantraer. Af bitter erfaring ved jeg, at det ikke altid handler om at reagere hurtigst, men rigtigt. Forkerte, men velmente, handlinger før fakta er på plads, kan nemlig gøre skaden langt være end den trussel vi prøver at beskytte imod (i dette tilfælde “Heartbleed” sårbarheden).
Vi er dog nu kommet så langt i “Heartbleed” håndteringen, at jeg vil tillade mig at give mit besyv med. Forhåbentlig for at skabe lidt nuance i debatten omkring “Heartbleed”, som jeg mener, har været noget entydig. Ikke at “Heartbleed” ikke skal tages meget alvorligt, det skal den, men når jeg hører såkaldte eksperter komme med så misvisende budskaber, som jeg har hørt på det sidste, mener jeg at vi som branche risikerer et troværdighedsproblem. Jeg håber derfor at tiden “post Heartbleed”, giver tid til lidt refleksion over vores egen ageren.
Jeg mindes ikke at have hørt og set, at en sårbarhed har været så massivt til stede i direkte i TV, trykte medier, digitale medier og sågar på YouTube (pt. får jeg 30.000 hits på YouTube efter søgning på “Heartbleed”). Men det var primært et direkte interview med en “sikkerhedsekspert”, på en ankerkendt Amerikansk TV station, der her har fået mig til tasterne. For hans dommedagsretorik var desværre ikke langt fra hvad jeg har hørt fra mange fronter over de sidste par uger.
Så, lad mig slå det fast igen: Heartbleed er alvorlig og skal tages meget seriøst. Der findes mange gode råd på nettet, også her på Computerworld, om hvordan Heartbleed sårbarheden virker, og hvad der skal gøres, både af IT administratorer og brugere. Ikke mere om det her. Men ud fra det ovennævnte TV interview lad mig her forsøge at skille fakta fra rygter.
Leave a Reply