Slå på automatiske oppdateringer - unngå datainnbrudd
av Roar Thon
Innlegget er tidligere publisert i Dagens Næringsliv
Datasystemer og maskiner uten oppdatert maskin- og programvare er en av hovedårsakene til at hackere, kjeltringer og andre kommer seg rett inn i datasystemer og plattformer. Likevel finnes det de som er sterkt kritiske til automatisering av oppdateringsrutiner.
Å oppdatere så raskt som mulig har vært et mantra for sikkerhetsbransjen i mange år. For Nasjonal sikkerhetsmyndighet er rådet om å oppdatere maskin- og programvare, samt å installere sikkerhetsoppdateringer så raskt som mulig – de to første av i alt fire grunnleggende råd for å forhindre dataangrep.
Ny sårbarhet oppdages kontinuerlig, og tidsvinduet fra de oppdages til de utnyttes, blir stadig mindre. Ofte går det bare timer fra en sikkerhetsoppdatering slippes fra en leverandør, til det første angrepet oppdages hos oss i NSM.
En undersøkelse publisert av sikkerhetsselskapet Tripwire i juni 2019 viser at 34 prosent av europeiske selskaper har vært utsatt for et vellykket dataangrep som skyldes manglende oppdatert maskin- eller programvare.
I det siste har det vært mulig å lese i alt fra Forbes til Computerworld at enkelte teknologer kommer med sterke advarsler mot at Microsoft i enda større grad automatiserer oppdateringsprosessen av sitt operativsystem Windows 10.
Artiklene er sterkt kritisk til funksjonaliteten som gjelder Windows 10 Home versjonen. De som eier Pro eller Enterprise versjoner vil fortsatt ha muligheten til å selv bestemme hvilken oppdateringsversjon de vil akseptere. De som eier Home versjonen kan kun utsette oppdatering i 35 dager. Men 35 dager er mer enn nok til at manglende installasjon av tilgjengelige oppdateringer kan utnyttes.
Gjennom Microsofts automatisering av oppdatering for hjemmeversjonen av Windows blir skillet mellom privat og profesjonell bruk enda tydeligere. Profesjonelle aktører og bedrifter forventes å ha egne rutiner, kompetanse og behov for å kontrollere oppdateringsprosessene.
De som eier hjemmeversjonen er nok i noen større grad enkeltindivider og de gis mindre mulighet til å bestemme selv. Det er dette som kritiseres mest. Men kritikerne glemmer det mest sentrale i denne problemstillingen: Mennesker!
Teknologer og sikkerhetsfolk har en tendens til å glemme at de færreste har den samme kompetansen eller interessen for teknologi eller sikkerhet som de selv har.
Undersøkelser i Norge viser at nordmenn i økende grad er bekymret for sitt eget personvern og digitale sikkerhet. Samtidig følger ikke nordmenn dette opp med handling i like stor grad. Noe av dette handler om manglende forståelse av hvorfor dette er viktig, men også at det ikke prioriteres av den enkelte. Når varselet om oppdatering kommer, er vi midt i noe vi holder på med, så vi utsetter det til «neste gang».
I vår rapport «Et sikkert digitalt Norge» fra 2018 skriver vi om behovet for at sluttbrukerne tilbys løsninger som fjerner risiko for brukerfeil. Å ikke oppdatere så raskt som mulig kan ses på som en brukerfeil.
Løsningen for dem som har et sterkt behov for å bestemme selv er enkel. Invester i en versjon som gir den muligheten. Men la millioner av brukere få automatiske oppdateringer installert så snart de er tilgjengelige.
Målet er at flest mulig enheter blir oppdatert på raskest mulig måte. Det får vi best til ved å ikke være avhengige av at hvert eneste enkeltindivid skal gjøre noe selv.
Å slippe å forholde seg til spørsmålet om å oppdatere eller ikke oppdatere fordi det skjer automatisk, gir bedre sikkerhet for den enkelte, men også for samfunnssikkerheten sett i et større perspektiv.
Derfor er det grunn til å heie på alle teknologiske bidrag som gjør sikkerhet enklere for de fleste av oss.