It-sikkerhedsproblemer er lige som svine-influenza: Hvis det virkelig går galt, går det virkeligt galt. Men det kan også være, at det slet ikke går galt. Hvis vi gør, hvad vi kan gøre for at dæmme op for problemet. Eller hvis problemet slet ikke eksisterer.

Mange husker sikkert den store omtale af it-systemernes problemer med at skifte kalenderår til år 2000. Men som vi alle har bemærket, så gik it-verdenen ikke under. Spørgsmålet er: Skyldes dette den store mængde rettidig omhu, der blev udvist, eller var problemet bare blæst ud af proportioner? Heldigvis fik vi aldrig den ultimative vished for svaret: Den store it-nedsmeltning ved indgangen til det nye årtusinde. Den viden, jeg har, siger, at det kunne være sket. Og at de mange projekter, der skulle løse problemet, var nødvendige – og en succes.

På samme måde bør vi forholde os nøgternt til de trusler, vi dagligt er udsat for på internettet. Det er efterhånden klart, at sikkerhedsproblemerne på internettet i dag skabes af top-professionelle kriminelle, der i fred og ro kan udtænke den ene snedige fælde efter den anden. Uden det koster dem en Rubel, Grynia, Renminbi, eller hvilken valuta de nu anvender. Og uden risiko for at politiet banker på deres dør. Indtil nu er ikke en eneste af den nye type cyberkriminelle blevet arresteret. På trods af den megen medieopmærksomhed, de skaber.

Er truslen så reel? Ja helt sikkert. Disse gangstere kan – hvis de vil – lægge hele internettet ned. Eller mere sandsynligt et lands eller virksomheds on-linetjenester. Det er uklart hvor grænsen går mellem de kriminelle og de store landes efterretningstjenester. Begreber som cyber-krig er blevet helt almindelige. Senest afsatte det amerikanske flyvevåben ifølge Version2.dk 50 mio kr til forskning indenfor offensiv cyberkrig. Hvordan kan man egentlig blive meriteret som forsker indenfor dette felt?

Ser man med danske øjne på trusselsbilledet, så er der ikke umiddelbart grund til uro.

For det første har vi en meget lav forekomst af smittede danske pc’er. Selv den orm, der ramte store dele af verdenen (Conficker-ormen) er gået uden om de fleste af de danske pc’er. Og da den skulle få nye instruktioner 1. april skete der – ingenting. Langt de fleste smittede pc’er befinder sig i lande med et særdeles afslappet forhold til ophavsret. Derfor er mange af deres pc’er ikke opdaterede – og dermed sårbare.

For det andet er skyldes langt de fleste, kendte tilfælde af identitetstyveri i Danmark ikke teknologikloge tyve: Det er som hovedregel tidligere kærester, ansatte eller mobbende medstuderende, der havde for let ved at gætte et password.

Dermed ikke sagt, at vi ikke behøver at udvide rettidig omhu – igen. Men den er let at udvise: Vi skal alle anvende opdateret antivirus og ditto øvrige programmer samt passwords der ikke umiddelbart kan gættes. Samtidig skal alle, der har ansvaret for web-systemer sørge for, at de ikke kan bruges som smittecentral.

For virus spredes ikke via e-mail længere. I stedet bruger smittesprederne helt almindelige – og helst højttrafikerede – internetsteder som smittekilde.

Den mest almindelige metode er at omgå systemernes logik ved at indsende programkode i stedet for rigtige brugerdata. Hvis systemet tillader dette, kan banditterne derefter gemme alle de oplysninger på hjemmesiden, de vil. Mest almindeligt er at gemme links til steder, der indeholder den smitteklare virus. Derfor skal alle websider være udformet, så de kontroller, hvad der indsendes, inden det accepteres. Det er der desværre stadig en del hjemmesider, der ikke gør.

Så følg de mest almindelige sikkerhedsregler – både som bruger og som udbyder. Så har vi mindre grund til at frygte internettet.

Bragt som kommentar i Jyllands-Posten d. 26. maj 2009