Inga produkter i varukorgen.
David Jacoby: ”Vi har blivit arroganta i vår syn på IT-säkerhet”
säkerhet Cybersäkerhetsexperten David Jacoby är kritisk till hur it-säkerhetsbranschen har utvecklats och frågar sig om hur vi kanske måste tänka lite annorlunda för att stärka vår förmåga att skydda dagens samhälle, som idag är helt uppbyggt kring olika digitala tjänster.
David Jacoby är en av de mest högprofilerade personerna i den svenska cybersäkerhetsbranschen och representerar idag bland annat Syndis på den svenska marknaden. Han har mångårig erfarenhet av cybersäkerhetsbranschen och anser att den har förändrats radikalt och i vissa delar i oönskad riktning.
Någonting är fel
Du är inloggad som prenumerant hos förlaget Pauser Media, men nånting är fel. På din profilsida ser du vilka av våra produkter som du har tillgång till. Skulle uppgifterna inte stämma på din profilsida – vänligen kontakta vår kundtjänst.
Techtidningen premium
Läs vidare – starta din prenumeration
Redan prenumerant? Logga in och läs vidare.
David Jacobys resonemang börjar inte i tekniska detaljer utan i människans relation till tekniken och en grundläggande fråga: varför håller vi egentligen på med säkerhet?
– Vi som är konsumenter av digitala system och IT-säkerhetsprodukter måste förstå vad vi behöver göra för att tekniken vi använder ska uppfylla sin fulla potential. Hur vi använder och implementerar säkerhetsprodukterna är avgörande för hur effektiva de är.
David Jacoby målar upp en bild av en bransch som köper verktyg utan att utbilda sina användare i hur de används och därmed inte uppnår avsedd effekt. Han pekar på ett konkret exempel: multifaktorautentisering.
– Vi blir bara matade med att vi ska använda multifaktorsautentisering och att vi ska ha olika typer av skydd. Men vi har inte riktigt koll på vad vi håller på med. Problemet handlar inte om teknikens existens, utan om implementering och användning: organisationer kryssar i checklistor men lyckas inte utbilda användarna eller säkerställa att lösningarna verkligen är integrerade i verksamheten och att teknologierna är anpassade för de system de installeras på.
David Jacoby tvekar heller inte när det gäller att dela ut en känga till branschens egen självbild.
– Vi behöver bli bättre på att säkerställa den praktiska kunskap som krävs för att bygga säkra system. I andra branscher så krävs lång och gedigen utbildning som även inkluderar praktisk erfarenhet för att få arbeta med vissa saker, något som vi kan bli mycket bättre på när det kommer till IT-säkerhet.
Andra drivkrafter idag
Jacoby menar att det tidigare främst var personer med passion och en inre drivkraft som sökte sig till it-branschen medan det idag är andra drivkrafter som får folk att söka sig dit.
David Jacoby kopplar också säkerhetsarbetet till en större samhällsvision. I stället för att se målet som att enbart stoppa angripare eller bekämpa ransomware vill han att målet även ska vara återvunnen tillit till det digitala samhälle som vi har byggt upp och som vi är helt beroende av.
– Vi bygger en värld vars grundpelare är digitala tjänster, men vi har ännu inte lärt oss leva i symbios med dem. Våra digitala medborgare anser ofta att de inte kan lita på den teknik vi levererar, utöver att bekämpa digitala brott måste vi också skapa en värld som våra användare kan lita på.
Om människor slutar lita på digitala tjänster som Bank-id och myndighetsportaler så urholkas hela det samhällsbygge som idag är beroende av digitala tjänster. Lösningen, enligt David Jacoby, är att göra teknologin mer mänsklig: enklare att förstå, mer intuitiv att använda, designad för vårt mänskliga beteende och framförallt med säkerheten integrerad som standard, snarare än ett komplement som vi måste välja om vi vill ha eller ej.
För organisationer betyder David Jacobys analys att säkerhet inte får vara ett komplement som kunden väljer att köpa till eller inte. Han använder drastisk analogi:
– När du hoppar på ett flygplan och du får välja, hade du valt ett dyrare flygplan om det var säkrare? Om vi hade sålt fysiska saker som exempelvis bilar på samma sätt som vi säljer digital säkerhet hade folk blivit skadade på riktigt.
Måste byggas in som en naturlig komponent
Enligt David Jacoby kräver det digitala samhället att vi bygger in säkerheten som en naturlig komponent, men idag arbetar vi mestadels utifrån prissättning och checklistor.
– Du ställer en fråga till leverantören. Har den här produkten multifaktorsautentisering? Ja, säger leverantören. Bra, check, då kan vi köpa den här produkten. Men det är många produkter som inte uppfyller sin fulla potential eftersom man inte vet hur man ska installera den. Därför hamnar organisationer i en falsk trygghet där standardkrav uppfylls utan att verklig riskreduktion nås.
Trots att David Jacoby är kritisk till hur säkerhetsbranschen har utvecklats i vissa delar är han positiv inför framtiden. Han tror att kombinationen av utbildning, praktik och ödmjukhet kommer ta oss framåt:
– Vi gör definitivt inte samma misstag nu som vi gjorde för flera år sedan, vi blir bättre.
Men han varnar ändå för arrogans och för att vi överskattar vår kompetens:
– Vi måste vara ödmjuka i var vi står någonstans i den här tidslinjen. Titta bara på hur vi lyckades minska dödsolyckor i trafiken genom att införa högerregel och bilbälten. Samtidigt gjorde vi bilarna säkrarare med inyggda sensorer. Men utvecklingen tog tid, lång tid. Vi kommer även lyckas med våra digitala produkter och tjänster, men även det kommer ta tid. Men vi blir bättre och med alla som jobbar hårt för att uppnå ett säkert samhälle kommer vi förhoppningsvis nå dit inom en snar framtid.
För it-chefer och säkerhetschefer är uppmaningen tydlig: prioritera människors förståelse, stärk praktisk erfarenhet, öva säkerhet, och bygg säkerhet som en integrerad del av de digitala tjänsterna.
