hackare
Foto: Colin / Wikimedia Commons / CC-BY-SA-4.0

Enligt säkerhetsföretaget Secunia upptäcktes 15 435 sårbarheter, eller säkerhetshål, i mjukvaror enbart under 2014. En sårbarhet kan till exempel vara mjukvarufel som kan utnyttjas för attacker.

– Det kommer ett stort antal nya sårbarheter varje dag, så det är viktigt att veta vilka sårbarheter som upptäcks och att ha en metod för att prioritera vilka som bör åtgärdas först. Det finns flera olika metoder för att göra sådana riskbedömningar, säger Stefan Lager, teknikchef på säkerhetsföretaget Coresec.

Läs mer: Polisen tar krafttag mot nätbrottslingarna

En sådan metod är CVSS 3.0 från organisationen First. I den beskrivs 13 olika mätetal som sammanställs för att beräkna ett riskindex. Ett av mätetalen kallas exploitability, ungefär "möjligheten till att utnyttja" på svenska. Bland möjliga värden märks allt från att det är ett teoretiskt antagande till att det går att skriva programkod som utnyttjar en sårbarhet, till att det finns sådan programkod som fungerar i alla lägen.

Hur viktiga är sådana här metoder för att klassificera hur allvarliga sårbarheter är?

– Det är bra att det görs försök att klassificera sårbarheter, men det är inga absoluta sanningar. Dessutom försöker olika aktörer utnyttja de här klassificeringarna för sina egna syften, säger Robert Malmgren, säkerhetskonsult på Romab.

En gradskillnad är om existerande skadlig kod, eller andra verktyg, som utnyttjar en sårbarhet skapats i ett labb eller av kriminella i en skum källare. Ytterligare ett steg i riskbedömningen är om det är dokumenterat att det finns enheter, till exempel servrar eller mobiler, som utsatts för attacker och eventuellt är infekterade med skadlig kod som utnyttjar en sårbarhet.

– Ytterligare en gradskillnad är om ett stort antal enheter har utsatts, säger Marcus Murray, säkerhetsexpert på Truesec.

Läs mer: Så ska staten bli bättre på it-säkerhet

Lägg till det tidsaspekten. Enligt en rapport från Verizon utfördes 99,9 procent av konstaterade utnyttjanden av sårbarheter under 2014 mer än ett år efter att sårbarheterna som de utnyttjade hade blivit publicerade. 71 procent av utnyttjandena skedde mer än ett år efter att det kommit patchar för sårbarheterna som utnyttjades. Det indikerar att många företag saknar processer och verktyg för att proaktivt uppdatera sina sårbara system.

Det spelar inte så stor roll om ett företag har gjort en noggrann riskanalys, om inte patchar installeras.

Fakta

  • CVSS står för Common Vulnerability Scoring System.
  • Verizons rapport heter 2015 Data Breach Investigations Report.