Symantecs senaste säkerhetsrapport är inte rolig läsning för leverantörerna av operativsystem. Samtliga tar mycket längre tid på sig än tidigare när de ska ta fram patchar för att täppa till säkerhetshål. Sammanlagt har den nästan fördubblats, när andra halvan av 2006 jämförs med den första.
Det är deprimerande läsning för företagen, som nu är oskyddade under längre perioder.

– När den förra rapporten kom blev vi glada eftersom leverantörerna hade bättrat sig. Den här gången är nyheterna sämre. Jag vet inte varför de inte prioriterar sina kunders säkerhet, säger Per Hellqvist, säkerhetsexpert på svenska Symantec.

Som huvudorsak till utvecklingen pekar Symantec på att antalet inrapporterade säkerhetshål under senare tid har ökat markant. Tillsammans har leverantörerna 452 i stället för 108 säkerhetshål att brottas med.

– Det finns många som letar säkerhetshål i dag och många är duktiga på att hitta dem, säger Per Hellqvist.

Även om det är en orsak så är det ingen ursäkt. Det är forfarande en fråga om prioriteringar och om att respektera användarna, enligt Per Hellqvist.

Sveriges it-säkerhetschefer ser inte heller med blida ögon på leverantörernas kollaps.

– Det är bekymmersamt och inget vi kan vara nöjda med, säger Kent Larsson, informationssäkerhetschef på Stockholms stad.

Efter Sasserutbrottet, då Stockholm var en av många som fick sig en näsbränna, skärpte staden sin patchhantering. Men allting bygger på att leverantörerna också är på.

– Det är ett delat ansvar. Om inte leverantörerna kommer med patchar kan vi inte göra annan än hålla tummarna och hoppas att inget händer, säger Kent Larsson.

Nu förväntar han sig att leverantörerna skärper sig och ökar sina ansträngningar för att få ut patchar snabbt.

– Annars hamnar vi hopplöst på efterkälken inför den allt mer ökande hotbilden, säger Kent Larsson.

Leverantörerna koncentrerar sig på att försöka hitta problem med Symantecs undersökning.

– Enda anledningen till den längre utvecklingstiden är fördelningen mellan allvarliga och ganska ofarliga säkerhetshål. Allvarliga hål får högst prioritet och patchar kommer efter i medel två dagar. Mindre allvarliga fel får lägre prioritet och dröjer längre, säger Jan Hedström, systemarkitekt på Red Hat, som tycker det är orättvist att Symantec tar med experimentvarianten Fedora.

Att prioritera ned säkerhetshål är en farlig balansgång. Hackarna vet att både leverantörer och företag arbetar på det sättet och lägger därför mer energi på säkerhetshål som inte klassas som allvarliga, enligt Symantec.

Sun tycker också att undersökningen är orättvis.

– Symantec mäter tiden tills vi kommer med en slutlig patch, men vi kommer med temporära patchar mycket tidigare, säger teknikchefen Bert Rubaszkin som kallar siffrorna slumpmässiga.

Varken svenska Apple eller HP vill kommentera rapporten utan att först få direktiv från USA. När Apple kollar med moderbolaget blir beskedet: Inga kommentarer. HP har vid tidningens pressläggning inte hört från USA

Fakta

För alla leverantörer som är med i Symantecs undersökning tar det längre tid att ta fram patchar.
Så här ser listan ut för andra halvåret 2006, och listan borde få alla leverantörer att skämmas.
Siffran inom parantes gäller första halvåret 2006.

Utvecklingstid
för patchar, dagar:
1. Sun 122 (89)
2. HP 101 (53)
3. Apple 66 (37)
4. Red Hat 58 (13)
5. Microsoft 21 (13)

Antal säkerhetshål:
1. Red Hat 208 (42)
2. HP-Ux 98 (7)
3. Sun Solaris 63 (16)
4. Mac OS X 43 (21)
5. MS Windows 39 (22)