Test systemet ofte

Den raskeste veien inn for hackere er som oftest hovedinngangen – gjennom sikkerhetshull på bedriftens nettside. Den beste portlåsen er kontinuerlige sikkerhetstester.

Hack deg selv, før noen andre gjør det. Det er én måte å integrere sikkerhet i utviklernes hverdag på.

Rådet kommer fra Rickard Carlsson, administrerende direktør i den svenske oppstartsbedriften Detectify. Forretningsideen deres er å tilby automatiske inntrengningstester. Bedriften har vokst raskt, og med ny risikokapital i kassen gikk Detectify i 2015 fra 4 til 15 ansatte. I dag har bedriften ca. 20 000 registrerte kunder over hele verden. Rickard Carlsson er overbevist om at kundebasen vil øke dramatisk etter hvert som flere innser hvor sårbar en bedrift er uten oppdatert og kontinuerlig sikkerhetskontroll.

– Bare fordi du er sikker i dag, behøver du ikke være det i morgen.

En årlig test er ingen garanti mot inntrengning. Testing bør gjøres kontinuerlig og så snart en ny versjon av et produkt er installert, sier han.

Teamet bak Detectifys automatiske nettprogram består av erfarne datasikkerhetsspesialister og hackere, og utgangspunktet for verktøyet er å tenke som en «white hat», en godsinnet hacker. Tjenesten er basert på en egenutviklet søkerobot som utfører automatiserte tester mot kjente sikkerhetshull og rapporterer resultatet.

– Det vanligste er at en bedrift mislykkes med konfigurasjonen på domenet eller har et krypteringsproblem.

Vi finner problemer på 90–95 prosent av alle hjemmesidene vi kjører, og nærmere 40 prosent av dem er alvorlige.

Et alvorlig problem kan for eksempel være en feilprogrammering som gjør det mulig å forfalske en hjemmeside på et eksisterende domene og opprette et underdomene der kunder kan lures til å oppgi passordet sitt. Den største feilen sett fra et bedriftsperspektiv er ifølge Rickard Carlsson å ikke kjøre noen sikkerhetstester i det hele tatt. Den nest største er å ikke kjøre dem kontinuerlig.

Tekst: Susanna Lindgren