I kölvattnet av IT incidenter och intrångsförsök med mera, börjar nu fler och fler bekymra sig för om de system man använder eller står bakom är ”säkra”.
För att ta några aktuella exempel så såg jag på Twitter ett inlägg om hur Node.JS kan skyddas mot intrång och sårbarheter.
Detta är inte det enda javaskript-ramverk som används på webbsidor överallt, och inom GIS-området så finns inte minst OpenLayers och Leaflet. För script på webbsidor så är det kanske mest tal om att använda https, ”subresource integrity” med mera för att säkra upp mot klienterna, men servern behöver också säkras upp i övrigt på samma sätt som alla andra servrar på Internet.
Sedan får vi inte glömma att system bakas in i allt fler sammanhang och produkter. IoT eller ”Internet of Things” är inte något nytt, det har funnits hos oss i många år, utan att vi hittills höjt på ögonbrynen.
En ”smart TV” är uppkopplad, kör program och har access till interna nätverk, men är vi oroliga?
På senare tid har även våra drönare uppmärksammats, och då dessa redan är förknippade med regler så har man även börjat fundera på om ”systemet” är sårbart på något sätt.
En del tillverkare av såväl TV apparater och drönare lägger tid och energi på frågan, men de flesta har främst fokuserat på att sälja produkter. Att dessa över dess livslängd skyddas mot sårbarheter är något som inte är ekonomiskt försvarbart. Åtminstone inte förrän någon leverantör marknadsför sina produkter som ”säkra” med uppdateringar flera gånger om året för att inte bara förbättra prestanda utan även täppa till säkerhetshål. Att bli ”först” är en risk, men om den slår väl ut så kan det bli väldigt lönsamt.
Sitter du med en Smart TV, eller Androidtelefon? När fick du senast en säkerhetsuppgradering till dessa? Har din Androidenhet ett uppdaterat operativsystem, eller kör den fortfarande ”Lollipop”, eller ännu värre ”Kitkat”?
I fikarummet stirrar vi obegripligt på personer som erkänner att deras hemdator kör Windows XP, men att den egna bredbandsroutern har stått orörd i 10 år tänker vi inte på.
Vid en upphandling så görs självklart (?) en risk- och sårbarhetsanalys, där resultatet blir systemkrav vid upphandlingen. När vi handlar hemelektronik så är det väldigt ofta priset som avgör. Det minsta vi kan göra är att i alla fall ställa frågan om säkerhetsuppdateringar. Fråga om det finns en TV med tätare uppdateringar än andra. Fråga om det är enkelt att uppdatera Firmware i en streaminghögtalare.
Om vi åtminstone kan hjälpas åt att göra marknaden uppmärksam på att vi bryr oss, så kommer det att ske en förändring. Men om det bara är priset som avgör när vi konsumerar, så kommer vi hela tiden att öppna upp oss för sårbarheter.