.FILE

23-24 november 2020

Se upp med förinstallerade säkerhetshål

Jag skulle vilja se ett åtagande från våra leverantörer om att de alltid strävar efter att leverera den bästa kod de kan. Jag skulle också vilja se att de förbättrar processerna för hur de gör nyutveckling, programrättningar och -uppdateringar när de ser att det inte fungerar som de tänkt. Och jag skulle önska mig att de var mer transparenta när de gör misstag.

På jobbet har vi en IT-avdelning värre är det hemma

Vad jag menar är att med våra persondatorer följer ett varierande utbud av förinstallerade funktioner och programvaror. Dessa levereras ofta utan att man kunnat täppa till olika säkerhetshål, eftersom dessa många gånger upptäcks efter det att installationerna genomförts. På jobbet har vi ofta en IT-avdelning som hanterar det åt oss, värre är det hemma.

Det är förmodligen ingen överraskning för någon, men program har buggar. Ibland upptäcks de i tid och blir aldrig ett problem eller ens kända för omvärlden. De kan rättas genom några små ändringar i koden och testas med positivt resultat. Idealet är om de hittas tidigt i utvecklingsprocessen så de inte behöver påverka någonting alls. De allra flesta gånger är buggar små och kan enkelt stoppas in i nästa release.

Situationen blir en helt annan när en riktigt stor bugg dyker upp alldeles dagarna före en release eller är av den karaktären att den kommer att påverka stora delar av koden. En sådan bugg kan äventyra en hel release genom att de kräver utförlig granskning och omfattande tester innan man kan acceptera rättningar. I värsta fall påverkar det hela systemarkitekturen. Då kan det vara svårt att fatta rätt beslut.

Komplexiteten i systemutvecklingsprocessen har också ökat till stor del beroende på att det allt oftare bedrivs systemförvaltning parallellt med fortlöpande systemutveckling.

Dominerande leverantörer skapar produkter som är attraktiva måltavlor för angrepp av olika slag

Alla stora programutvecklingsföretag, som t.ex. Microsoft eller Adobe har en fast process för att skicka ut uppdateringar till alla användare, stora som små. I det sammanhanget kan det vara svårt för den som ska uppdatera sin egen dator att veta vad som är kritiska ändringar och vad som är mer kosmetiska ändringar. För de allra flesta är ”patchtisdag” ett begrepp, eftersom det är andra tisdagen i månaden som Microsoft släpper sina uppdateringar.

Dominerande leverantörer skapar produkter som är attraktiva måltavlor för angrepp av olika slag. En orsak till detta är att angrepp som utnyttjar en svaghet i en spridd programvara får mycket stor effekt. Gamla versioner av programvaror får vara i bruk för länge, då användaren i dagsläget många gånger hoppar över att göra uppdateringar även när sådana finns. Ibland av lättja, men också för att även uppdateringar skapar problem ibland. Andra problem.

Ibland blir inte heller uppdateringen som man har tänkt. Ibland tar det kanske alltför lång tid innan uppdateringen kommer ut.

För att bedriva effektiv produktion av tjänster inom IT krävs tre komponenter: människor, verktyg och processer.

  • Människor är ett område som har en lång tradition av effektiv hantering, och det är för det mesta inget större problem att hitta människor med rätt kompetens eller att vidareutveckla de människor som finns i en verksamhet.
  • Verktygen för att hantera de komponenter och system som krävs för IT-produktion har utvecklats starkt under de senaste åren. Därför är det oftast inte heller något problem att hitta lämpliga verktyg för att stödja IT produktionen.
  • Den tredje komponenten, processer, är däremot fortfarande en aning eftersatt. Om vi jämför metoder och arbetssätt mellan produktion av IT-tjänster och i princip vilken annan producerande verksamhet som helst så framstår faktiskt IT-produktionen som ett rent hantverk.

Eller vad säger ni andra?

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn

Skriv upp dig på intresselistan!

Genom intresselistan får du info först av alla när höstens fullspäckade program finns tillgängligt, helt utan förbindelse.

Jag samtycker till att ta emot nyhetsbrev och har tagit del av integritetspolicyn