For å endre tekststørrelsen, hold Ctrl/Cmd-tasten nede og trykk på + for å forstørre eller - for å forminske

Digitalbyrået Arego

Hacking, en trussel mot din konkurransekraft?

18 nov
2014
Av: Roy Arne Fylkesnes
Kategori: Nettsteder

I forretningskritiske løsninger er sikkerhet en selvfølge. Allikevel florer det av usikre nettsteder blant norske bedrifter, noe som utsetter både bedriftens varemerke og konkurransekraft for angrep. Hvorfor lar vi dette skje? Og hvorfor er det så få som gjør noe med det?


En uskyldig handling?

I forgie uke skulle jeg prise et nytt nettsted for en kunde og i den forbindelse så måtte jeg besøke det eksisterende nettstedet deres. Til min overraskelse var bilde som møtte meg det samme som du ser i denne bloggen, "Hacked by KkK1337". En ganske uskyldig hacker som hverken hadde skadet dataene på nettsiden, ei heller tatt kontroll over webhotellet for andre kriminelle handlinger. Men skade hadde han utført...

 

For når du tenker over hvor mange som besøker dette nettstedet hver eneste dag og at alle disse er potensielle kunder, da sier det seg selv at det er en kostnad forbundet med hackingen. Faktisk vil jeg påstå at kostnaden er minst dobbel så stor som man tror, fordi den tapte kunden vil se seg nødt til å gå til konkurrenten i stedet. Jeg ville heller ikke bli forbauset om noen mente at kostnaden var ti ganger så stor, fordi den besøkende kan finne på å dele denne historien med vennene sine. Du klarer ikke å danne et seriøst førsteinntrykk med et hacket nettsted.

 

Norske bedrifter, på tide å våkne opp?

Så hvordan havnet bedriften i denne situasjonen? Tok de ikke sikkerhet alvorlig nok? Det oppsiktsvekkende er at dette godt kan være en bedrift som tar IT sikkerhet svært alvorlig med nye passord hver måned, antivirus, brannmurer i nettverket, lukkede gjestenettverk og fjernsletting av mobiltelefoner og laptoper dersom de blir stjålet. Men når det kom til nettstedet så tenkte de ikke så mye på sikkerhet. Og hvorfor gjorde de ikke det?

 

Vel, et innbrudd på nettsiden gir ikke hackeren tilgang til sensitive data, og derfor finnes det heller ikke noen bevisst sikkerhetsstrategi for nettstedet hos bedrifter flest. Men det IKT-avdelingen ikke tar hensyn til er den trusselen et hacket nettsted er for bedriftens varemerke og daglige konkurransekraft, som er vel så verdifullt som hemmelige strategier og preproduksjonsdesign.

 

Så hvordan klarte hackeren å bryte seg inn? Mest sannsynlig så kjørte han et script som en gruppe profesjonelle hackere en gang laget og som søkte nettet etter nettsteder med en spesifikk versjon av publiseringsløsningen eller en plug-in brukt i en publiseringsløsning med åpen kildekode. Deretter gjennomførte scriptet et automatisk hack og sendte en melding til hackeren om at døren nå var åpen for han, og han kunne gjøre hva han ville.

 

Åpen kildekode, en rot til både glede og besvær

Og det er "Åpen kildekode" eller Open Source som det heter på engelsk som er nøkkelordet her. Åpen kildekode betyr at hvem som helst kan laste ned kildekoden, identifisere svakheten i sikkerheten og skreddersy et angrep. Og når billion vis av nettsteder bruker publiseringsløsninger med åpen kildekode så sier det seg selv at det er verdt å investere en del tid i å finne et sikkerhetshull. Kombiner dette med at det ikke finnes noe offisielt krav til kunnskap hos de som produsere populære plugin til disse publiseringsløsningen, hverken faglig eller sikkerhetsmessig, og du har en reel sikkerhetsrisiko framfor deg.

 

Ikke misforstå meg, jeg gleder meg over åpen kildekode. Det er gratis, og alle kan bidra, en solidarisk handling fordi de uten økonomiske midler blir gitt muligheter de ellers ikke ville hatt. Men, og det er et stort men, det er ikke trygt nok. En risiko vi forstår at de uten økonomiske midler er villig til å ta. Men hvorfor tar norske bedrifter med økonomiske midler denne risikoen?

 

Til vårt eget beste eller til kundens beste?

Dette må reklamebyråene, digitalbyråene og webbyråene, samt enkeltmannsforetaket Kurts Web og Design svare for. Norsk småbedrift AS er i utgangspunktet helt uskyldig. De har nemlig lite peiling på hva en publiseringsløsning er, de vil bare ha et nettsted som kan gi de en flott digital identitet og skape resultater for de. Hacking sa du? Det er noe som skjer på PC-en min, via e-posten min, i nettverket mitt, men ikke på selve nettsiden vell?

 

Så hvorfor leverer så mange byråer nettsteder basert på usikre publiseringsløsninger? Det er gratis. De krever svært lite av byråene, både økonomisk, men spesielt kompetansemessig. Motivasjonen er nok å komme raskt i gang, tjene mer penger, eller være mer konkurransedyktige på pris. Og for Kurt så er kanskje dette eneste virkemiddelet hans, ny i bransjen som han er, selv om han egentlig bryr seg om kundene sine.

 

Så hvordan kan en bedrift beskytte seg mot hackere?

Jeg skrev tidligere at bedriftene var uskyldige, men de har en viss skyld de også. De er skyldige i å ikke stille krav til sine leverandører. Be om pristilbud på en sikker publiseringsløsning i tillegg til den åpne kildekodeløsingen, og får du fremdeles en åpen kildekode løsning presentert eller et svar om at de ikke leverer på andre plattformer så anbefaler jeg deg å lete andre steder. Prisen på en publiseringsløsning med lukket kildekode trenger heller ikke være avskrekkende. Bare styr unna entreprise løsningene da de er svært kostbare for små og mellomstore bedrifter.

 

Og så finnes det en håndfull dedikerte web- og digitalbyråer i Norge som har åndet så mye for web at de har tatt seg tid og ressurser til å utvikle sine egne publiseringsløsninger med tanke på både sikkerhet og bedre brukervennlighet. At slike byråer tilbyr egne løsninger er et kvalitetsstempel på både kompetanse og genuin interesse for deg som kunde, så sant løsningene er godt laget, og med et fokus på sikkerhet, selvfølgelig.

 

Jeg vil utfordre deg til å tenke deg godt om neste gang du velger en åpen kildekodeløsning. Er det verdt det? Og dersom byrået ikke tilbyr andre løsninger, er de virkelig kompetente nok til å ivareta din digitale konkurransekraft?

 

Si din mening