Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Posts tagged “affärsmässigt

Sårbarheter lämnas utan åtgärd, del 2

Posted on den 22 januari, 2016

Det här är andra delen i en serie inlägg. I föregående del (ja, det var över ett år sedan jag publicerade den) argumenterade jag för att sårbarheter, även allvarliga i system med känslig information, inte måste åtgärdas. Jag upplever ibland att beslutsunderlaget begränsas till hur känslig informationen i systemet är. Det finns betydligt fler omständigheter att ta hänsyn till än så. Tanken var att denna del skulle fokusera på när sårbarheter lämnas utan åtgärd omedvetet. Jag har tänkt om och vill i stället ta den föregående diskussionen ur ett annat perspektiv. Förra inlägget har beställarens syn på systemet: vilka sårbarheter ska åtgärdas, eller snarare, vilka säkerhetskrav ska ställas? Så i stället för att ha kravställarhatt tar vi utförarhatten. Kort sagt: som utförare, hur förhandlar vi bort säkerhetskrav som ställs på…

Sårbarheter lämnas utan åtgärd, del 1

Posted on den 12 september, 2014

Sitter i möte med ett utvecklingsprojekt. En av utvecklarna ritar upp den övergripande arkitekturen på en whiteboard och där ser jag det… programvaran hämtar uppdateringar av sig själv från en file share i nätverket och kör dem utan vidare kontroller. Hela systemets säkerhet har i princip reducerats till skrivåtkomst till en katalog som sköts av en helt annan avdelning. Systemet kan inte upptäcka att den nya uppdateringen bara är en kopia av den föregående, fast med en bakdörr, och kommer glatt att skriva över sig själv. Allt som krävs är skrivåtkomst till ett visst filsystem. Jag har upptäckt ett säkerhetshål. Systemet är sårbart. Alltså måste det åtgärdas. Eller kanske inte. Sårbarheter måste inte åtgärdas De bästa säkerhetshålen är ju de som kan lämnas utan åtgärd. Security is a cost of…

Konsult åt Lexbase AB

Posted on den 14 februari, 2014

Lexbase undgick ingen. Enligt domstolsverket lade de totalt nästan en miljon kronor på att köpa ut domar. Inte jättemycket till startkapital och det räckte tydligen inte hela vägen heller. Tingsrätten i Halmstad berättade att de slutade lämna ut domar till dem för att de inte betalade för sig. Efter lanseringen på måndagen den 27 januari gick det dock fort. På torsdagen lade Lexbase hostingleverantör Bahnhof ut ett pressmeddelande: På onsdagkvällen drog Bahnhofs teknikavdelning och Lexbase oberoende av varandra slutsatsen att sajten skulle stängas på grund av upptäckta säkerhetsbrister. Vid hackerattacker förbehåller sig Bahnhof rätten att stänga av kunder för att inte äventyra säkerheten för själva sajten, för dess besökare samt för Bahnhofs övriga system. Det kryllade av sårbarheter i Lexbase. De resulterade åtminstone i…