Opinion

”Skyll inte dålig it-säkerhet på kunderna”

Kritiska säkerhetsfunktioner i webbkameror borde automatiseras. Inte ens professionellt installerade webbkameror har tillräcklig säkerhet mot intrång, enligt debattören. Infälld: Leif Nixon, it-säkerhetsanalytiker.

DEBATT. Att sälja produkter som kräver att kunden gör aktiva ingrepp för att bli säkra är inte moraliskt försvarbart. Det behövs en ny myndighet som tar ansvar för it-säkerheten hos produkter, skriver Leif Nixon, it-säkerhetsanalytiker.

Användarnamn ”root”, lösenord ”pass”, det är allt som behövs för att ta över 5 till 10 procent av de nätverkskameror från svenska Axis som går att hitta på internet efter en snabb sökning. Det är nämligen det standardlösenord som kamerorna levererats med.

Anmärkningsvärt nog skyller Axis det hela på sina kunder. Ray Mauritsson, vd för Axis, säger till danska Politiken angående Axis-kameror som hittats öppna på internet: ”Man kan göra en väldigt enkel liknelse; om du köper en bil, parkerar den men inte låser den. Är det då Volvos fel? Är det Volkswagens fel? Är det firman som sålt bilen men som kanske inte berättat att man måste komma ihåg att låsa den?”

Liknelsen med bilindustrin klingar bekant. År 1964 dog 47 700 amerikaner i trafiken. Bilindustrin argumenterade ihärdigt för att de flesta olyckorna berodde på förarmisstag, och att det bästa sättet att minska dödstalen var bättre förarutbildning. ”Our cars are made to be driven, not to be crashed.”

Det var inte förrän Ralph Naders klassiska bok ”Unsafe at Any Speed” kom ut som opinionen började svänga, och biltillverkarna ålades ett strikt ansvar att konstruera säkrare bilar. Numera är dödssiffran per personkilometer en femtedel av vad den var 1964.

Vi vet av många års erfarenhet att en signifikant andel av slutanvändarna aldrig kommer att ändra några standardlösenord – det må vara av okunskap, slarv eller andra prioriteringar. Att sälja produkter som behöver aktiva ingrepp av användaren för att uppfylla grundläggande säkerhetskrav är helt enkelt inte moraliskt försvarbart.

Det ska i rättvisans namn sägas att Axis inte är ensamma här. 80 procent av svenska Contals enheter för överföring av brandlarm visade sig ha ”admin:admin” som inloggningsuppgifter. Många viktiga fastigheter, som Nordstan i Göteborg och Centralstationen i Malmö, kontrolleras av fastighetsstyrsystem från Kabona i Borås som exponeras på internet med högst tveksam säkerhet. Andra liknande system från Nordomatic har en dold ingång till administrationsgränssnittet, som i en källkodsfil från 2011 kommenteras med ”Todo: Remove backdoor”.

De föregående exemplen är professionella produkter, där man kan förvänta sig att installationen sköts av yrkespersoner. Hur ser det ut när det gäller konsumentprodukter? Enheter som ska skötas av personer som inte är särskilt tekniskt bevandrade borde i större utsträckning vara automatiserade när det gäller kritiska säkerhetsfunktioner som till exempel uppdatering av programvara.

Tyvärr ser inte verkligheten ut så. Prispressen på konsumentprodukter är enorm, och eftersom den genomsnittliga konsumenten inte har tillräckliga kunskaper för att bedöma säkerheten hos en produkt, har tillverkarna inget incitament att lägga mer än minimala resurser på produktsäkerhet.

Gång efter annan har utvärderingar av de mest sålda it-relaterade konsumentprodukterna påvisat grava säkerhetsproblem. Bredbandsmodem, webbkameror, smarta glödlampor – alla slags enheter har varit enkla att hacka. I de allra flesta fall krävs det aktiva insatser från användaren för att installera säkerhetsuppdateringar, vilket innebär att det i de allra flesta fall aldrig kommer att hända.

Det är dags för tillverkarna att sluta skylla på kunderna och ta verkligt ansvar för sina produkters it-säkerhet. Om 80 procent av användarna installerar en produkt på fel sätt är det inte användarna det är fel på.

Det är uppenbart att marknadskrafterna inte själva klarar av att driva fram säkra produkter för konsumenter och företag. På samma sätt som Elsäkerhetsverket ser till att våra elektriska produkter är säkra, behöver vi en it-säkerhetsmyndighet för att se till att våra it-produkter är trygga och säkra.

I dagsläget är ansvaret för samhällets it-säkerhet utspritt över en rad myndigheter, men ingen av dem har ett uppdrag gällande it-säkerhet hos produkter. Det måste bli en ändring på det.

Leif Nixon it-säkerhetsanalytiker