Alla IT-relaterade säkerhetsbrister kan i grund och botten härledas till fel i mjukvara, det vi till vardags kallar för buggar. Det händer att det förekommer fel i hårdvara också, såsom de fel som drabbat Intels processorer några gånger genom åren, se till exempel Meltdown, men det hör till undantagen.
Förenklat är buggar fel som gör att mjukvaran beter sig eller utför funktioner på ett oförutsägbart sätt, att något händer på ett sätt som det knappast var tänkt skulle kunna hända. Vad händer i en webshop om du vill köpa -1 par skor, bara för att ta ett väldigt enkelt exempel?
Fel kan det bli av alla möjliga orsaker, men jag skulle vilja hävda att det vanligaste är att buggar uppstår på grund av slarv, som i sin tur beror på tidsbrist och stress, i andra hand på grund av bristande kompetens.
Bristen på utvecklare är skriande, inte bara i Sverige utan i stort sett i hela världen. Vart man än vänder sig råder brist på programmerare; utvecklingsprojekt bromsas eller blir inte av alls, kostnaderna skenar och fel och brister måste lämnas oåtgärdade. Hur vi än vrider och vänder på saken, kan kompetensbristen inte vara till fördel för kvalitén på den mjukvara som produceras.
Enligt en artikel i tidningen Näringslivet från början av året har IT-branschen larmat om kompetensbristen sedan millennieskiftet, framför allt när det gäller utvecklare. Och läget blir bara värre. En person som uttalar sig i artikeln har en ganska salt syn på vad kompetensbristen kan få för konsekvenser för kvalitén på mjukvara.
“För 20 år sedan var det mycket lättare att hitta folk, och relationen mellan kompetens och lön var en helt annan. I dag får man betala oerhört mycket pengar för någon som inte är speciellt duktig.”
Enligt TechSverige, en medlemsorganisation för alla företag inom techsektorn, larmar branschen om ett förväntat underskott på 70 000 personer år 2024 om inte kraftfulla åtgärder vidtas. Det framgår i IT&Telekomföretagens rapport “IT-kompetensbristen” från slutet av 2020.
Enligt denna rapport återfinns bristen på kompetens inom bland annat systemutveckling, artificiell intelligens (AI), IT-säkerhet, användbarhetsdesign, spelutveckling och 5G-teknik. Jag noterar särskilt bristen inom systemutveckling, IT-säkerhet och i viss mån spelutveckling.
Den digitala omställningen medför en kraftigt ökad efterfrågan på digitala lösningar såsom videomöten, molntjänster och e-handel. För att möta denna efterfrågan behövs det innovativa företag och kunniga medarbetare som utvecklar och underhåller digital infrastruktur och digitala tjänster.
Nu känns det inte speciellt snällt att peka ut nybörjare som syndabockar för att det letar sig in sårbarheter och andra brister i allsköns mjukvara; vi har alla varit nya på jobbet, och vi kan inte förvänta oss att nyexaminerade från yrkeshögskolan, med ett examensbetyg i “full-stack” som knappt torkat, ska utveckla buggfri kod, som vi ju alla dessutom vet inte finns.
Det tar tid att bli bra; jag skulle vilja påstå att programmering handlar om ett livslångt lärande som egentligen aldrig tar slut. Vissa hävdar att man får räkna med att det kan ta 10 år innan en person är en så pass skicklig utvecklare att personen är mer eller mindre självgående i att utveckla hyggligt säker kod.
Situationen blir inte bättre av att alla har bråttom. Till detta har vi utvecklat ett antal metodiker som exempelvis DevOps, som förvisso medför andra fördelar som cykliska utvecklingsprocesser, som är bra av andra orsaker, men det är svårt att blunda för att man gärna ser en uppsnabbad utvecklingsprocess som åtminstone en del av varför en sådan metodik införs.
Genom att klämma in ett “Sec” i DevOps får vi DevSecOps, som är en utveckling av DevOps-metodiken och som inför även ett säkerhetstänk i utvecklingsprocessen. Det här är naturligtvis ett väldigt bra steg framåt. Det är alldeles för vanligt att man börjar tänka säkerhet när produkten i stort sett är klar.
Säkerheten måste vara med som en grundläggande dimension redan i design stadiet. Andra metodiker jag vill lyfta fram är “Security by design” och “Privacy by design” – bägge tämligen självförklarande. Det handlar om att tänka säkerhet och integritet redan innan en rad kod har skrivits. Ställ dig själv frågan: Hur tar jag sönder det här? Finns det ett bra svar på det, kommer andra att hitta det.
Ett klassisk sätt att lösa problem är att kasta pengar på det, och då menar jag inte nödvändigtvis att betala utvecklare (ännu) bättre. För ett par år sedan hade jag förmånen att intervjua Mårten Mickos, VD på Hacker One. Om namnet låter bekant var Mårten tidigt inblandad i MySQL.
Hacker One är en kommersiell organisation som förmedlar “goda” så kallade white hat hackers, som på kundernas uppdrag hackar ändalykten av vilken mjukvara eller tjänst som helst, mot belöning, så kallade bug bounties.
Stora företag hostar gärna upp miljonbelopp i dollar för att hackers ska hitta fel och brister i företagens mjukvara, och de bästa white hats är miljonärer. Ett par saker som slog mig under intervjun med Mickos var dels hur stolt han är över att uppvärdera termen hacker, men också hur spelplanen kan vändas till de ärligas fördel. Med bug bounties finns det grova pengar att tjäna för bra hackers, vilket tidigare varit förbehållet dåliga hackers.
Nu kanske du tänker att “ det där har vi inte råd med”, men det Mickos lyfte fram i intervjun var toppskiktet av de mest framgångsrika hackers och deras arbete för de stora bolagen. Sånt som ger rubriker. Men skalan går från de enklaste sammanhangen till de mest prestigefyllda.
Om jag ska rekommendera något alls, och om du är intresserad av att testa någonting nytt, är det att se till möjligheterna att använda bug bounties. Även hackatons är samma andas barn – utlys tävlingar och dela ut prispengar.
För en sak kan du vara lugn för: om det svider i plånboken att betala rätt stora pengar till en hacker så är det ingeting mot hut det svider att bli hackad på riktigt. Hur länge kan din verksamhet stå still? En dag? En vecka? Vad kostar ditt rykte och renomme? Vad är kundernas förtroende värt?
