Det spelar ingen roll vad du gör – du åker dit ändå

Jag har jobbat länge med data- och informationssäkerhet och att av de första argumenten jag fick lära mig att mer eller mindre negligera är invändningen att det spelar ingen roll vad du gör – du åker dit ändå. med det resonemanget är det lika bra att dra ur sladden och gå tillbaka till stentavlor.

När Apple lanserade Touch ID så gick debattens vågor rätt höga i säkerhetsbranschen. Biometrics, för det är så fingeravtryck, retinamönster och ansiktsigenkänning med flera kallas, är en mycket osäker lösning därför att om någon snor dina fingeravtryck så är du “rökt”. kapas ditt retinamönster så kan du inte byta så som du kan göra med ett lösenord och inloggningsuppgifter.

Korrekta

Invändningarna är i sig korrekta. Det är inte där skon klämmer utan bristen på verklighetsförankring. verkligheten är att alldeles för många användare har alldeles för lätta lösenord och samma lösenord på flera tjänster. Du har nu ett val att göra – antingen accepterar du biometris med sina fördelar och nackadel eller så för utvecklingen på stället marsch och vi fortsätter att använda usla lösenord på massor av webbplatser.

Jag tillhörde dem, på den tiden som tyckte att Touch ID och senare Face ID, var en bra idé därför att användare då förstärkte säkerheten runt sin egen information. Idag är båda tekniska lösningarna etablerade, smarta, lättanvända lösningar som faktiskt, oavsett vad messerschmittarna hade för invändningar den gången, mörklagt har förbättrat säkerheten.

Åker dit

Under alla år i säkerhetsbranschen har jag snart hört varenda invändning som bygger på samma sak – det spelar ingen roll vad du gör – du åker dit ändå.

• Brandväggar – “vill de ta sig in så tar de sig in vad du än gör”
• Trafikövervakning – “meningslöst, de kommer att dölja trafiken”
• Kontroll av loggfiler – “bry dig inte de har raderat allt”
• VPN – “ansluter du till en falsk punkt spelar det ingen roll”
• Antivirusprogram – “meningslösa, de stjäl bara prestanda och datavirusen tillverkas av antivirusföretagen”
• Lösenordhanterare – “idiotiska därför att du kommer åt alla lösenord om de kommer åt ditt program”

Utläggningar

Jag har suttit och lyssnat på långa utläggningar om hur livsfarlig en bugg är, hur mycket data “de” kan komma över bara för att avfärda det mesta sig sagts med “buggen kräver fysisk access för att kunna exploateras”.

Med det menas att den som ska använda buggen och säkerhetshålet för att ta sig in, var denna någon nu ska ta sig in, måste ha direkt tillgång till det som nu ska hackas. Är det en dator så måste denne någon ha tillgång till datorn.

Håll rätt på dina prylar så är det problemet löst till någon smart programmerare tagit fram en buggfix.

Det har apokalyptiska resonemanget går ut på att det mesta är meningslöst vilket innebär att det bara är att ge upp. Packa ihop alla prylarna dra ur sladden, bryta strömmen och vända tillbaka till grottan.

Skriv om allt

När jag sedan började att skriva om säkerhet så fick jag snabbt lära mig om alla de säkerhetshot som jag inte skrivit om – oavsett sammanhang. Skrev jag en text om antivirusprogram så krävdes det att snart sagt vartenda känt mjukvarurelaterat hot också skulle med i texten. Min invändning att det i så fall skulle krävs 16 klassiskt inbudna band för att tacka och få med allt viftades undan.

Det är ett snarlikt resonemang här som när det gäller åtgärder – tar du inte med alla hot och skriver alla scenarior så är det ingen idé att skriva överhuvudtaget. Lägg sedan till att inte så sällan så har de här experterna sina egna “pet projects” – alltså vissa saker som de anser är viktigare än allt annat och som jag absolut måste skruva om. Det kan vara allt från en krypteringsnyckel till en viss speciell hårddisk som ska användas – annars kommer allt, precis allt att gå åt helvete.

Det gör skillnad

Verkligheten talar ett annat språk – det gör skillnad. Gör du regelbundna säkerhetskopior så slipper du blir av med värdefull information. Använder du en VPN-lösning när du använder öppna nät exponerar du dig mindre. Kan du undvika öppna nät så är det naturligtvis ännu bättre. Har du ett säkerhetsprogram från en seriös och etablerad leverantör så har du bättre koll (gäller i första hand Windows). Skaffar du en bra brandvägg, hårdvara, och sätter du dig bakom den så är du säkrare och det ör mindre risk att du ska åka dit. Uppdaterar du dina prylar så kan “denna någon” inte använda kända säkerhetshål för att attackera dig.

Sen är det också så att när proffset kommer med alla sina resurser, dyr och värdefull kunskap som han har köpt och alla sin tekniska apparatur så är du och jag sannolikt rätt chanslösa. När någon satsar miljoner på att utveckla intrångsverktyg som är avsedda att användas mot ett litet fåtal – ja, då är du illa ute med vanliga kommersiella produkter, om du ingår i den gruppen. Gör du inte det så lär inte proffset tycka att din information är särskilt intressant, inte ens ditt kreditkort, ditt Netflix-konto eller dina bankuppgifter. Ingår du nu i denna lilla exklusiva grupp så är mitt råd att anlita proffs som är duktigare än det där andra proffset – han som försöker stjäla din information.

Så lyssna inte på domedagsprofeterna – se till att hålla koll på dina prylar, uppdatera dem, säkerhetskopiera och var lagom misstänksam där ute, på nätet.