SVAR: Det är vanligare att det finns brister i säkerhetsprodukter än att de fungerar som det var tänkt. Jag har varit med och initierat tester av olika typer av säkerhetsutrustningar i snart tio år. Det finns minst lika mycket säkerhetsbrister och andra buggar i säkerhetsprodukter som det finns i andra produkter.

Den enda skillnaden är att säkerhetsprodukter sällan testas av opartiska testare. De senaste åren har säkerhetsbristerna i kommunikationen och hårdvaran i säkerhetsprodukter ökat. Ökningen beror bland annat på att de traditionella säkerhetsföretagen har börjat kommunicera via tcp-ip-protokollet.

Tidigare användes separata dedicerade ledningar för larm, inpassering och liknande.

Det första problemet som uppstått är att tillverkarna av larm, passersystem, övervakningskameror och liknande inte har kunskaper om tcp-ip.

Det andra problemet är att säkerhetsutrustningen numera är tillgänglig via de interna nätverken och därför också mycket mer utsatta.

Det är nu möjligt att via tcp-ip inte bara nå utrustningen och ofta manipulera kommunikationen utan även att hitta svagheter i den fysiska utrustningen. Det handlar om svagheter som innebär att det ofta är möjligt att manipulera och lura utrustningen så att den inte fungerar som det var tänkt från början.

Tillverkarna av säkerhetsutrustningar är snabba att anamma ny teknik i sina säkerhetslösningar utan att riktigt förstå den nya tekniken fullt ut. Det skapar många onödiga säkerhetsproblem och en falsk känsla av trygghet för kunder och användare.

I en av de senaste testerna vi gjort av ett inpasseringssystem visade det sig att det var mycket enkelt att kopiera passerkorten.

Det var också fullt möjligt att skapa ett kort i någon annans namn, kanske i syfte att i systemen utge sig för att vara någon annan än den man är.

Varför ska man testa sina säkerhetssystem inför upphandlingar? Det viktigaste anledningen är att få det man betalar för, att produkten man anser sig behöva uppfyller kraven för att rätta till den sårbarhet man upplever sig ha.

Kostnaden för en test är ofta försumbar i sammanhanget.

Man kan dock inte testa produkter med hjälp av tester av typen Common criteria, då de testerna är så omfattande och tidsödande att produkten man testar troligen har utgått innan testerna är färdiga.

Det första angriparen försöker komma förbi är just säkerhetsprodukter.

Om dessa produkters egna säkerhet är så svag att den inte märker försök till manipulation, vad har man då för säkerhet?