it-säkerhet
Foto: Yuri Samoilov (CC)

Verizon har låtit undersöka hur 20 000 företag i fler än 150 länder drabbades av intrång (exploitations) i sina it-lösningar under 2014. Undersökningen innefattar intrång som beror på drygt 500 kända sårbarheter i mjukvaror.

Sårbarheterna i fråga har publicerats från 1999 fram till 2014, alltså under 16 år. För att förstå hur få av alla kända sårbarheter som analyseras i undersökningen kan man nämna att det enligt säkerhetsföretaget Secunia upptäcktes 15 435 sårbarheter enbart under 2014.

Ändå upptäcktes drygt 200 miljoner intrång under 2014. Man kan bara gissa hur många intrång som hade upptäckts om samtliga sårbarheter som finns hade analyserats. Det hade i alla fall varit flera.

Läs mer: Det går inte att skydda sig mot alla sårbarheter - hur ska man prioritera?

Mest intressant är att nästan 97 procent av de upptäckta intrången under 2014 var baserade på endast tio sårbarheter.

Tio sårbarheter var alltså orsaken till nästan alla intrång som upptäcktes. Betyder det att man ska koncentrera sig på enbart de sårbarheterna?

Nej, naturligtvis inte. Visst kan man prioritera sina säkerhetssatsningar och lägga mest krut på de hot som är störst. Problemet är att de negativa konsekvenserna kan bli minst lika stora för den som får problem på grund av en mindre vanligt förekommande sårbarhet. Man borde skydda sig mot allt, men det går inte. Alltså prioriterar man.

Det går tyvärr bara att dra två slutsatser av den här informationen. För det första bör risken för säkerhetsproblem minska mest om man skyddar sig mot de vanligast utnyttjade sårbarheterna, alltså bör man göra det. För det andra kan man bara vara helt säker om man skyddar sig mot alla sårbarheter, och det går inte.

Läs mer: Småföretagen är hackarnas nya mål - så skyddar du dig

Det är inte rimligt att ha som mål att ha en hundraprocentigt säker it-miljö. Varje vettig säkerhetsstrategi måste ta avstamp i det faktumet. Det betyder också att det krävs arbete med att utvärdera, och formulera planer för att hantera, säkerhetsintrång.

Det här har säkert alla som arbetar med it-säkerhet förstått. Frågan är hur stor andel av Sveriges företag som har anställda, verktyg och processer på plats för att hantera alla olika delar av säkerhetsarbetet. Gissningsvis en ganska liten andel.

Eftersom säkerhetsmedvetandet på svenska företag förhoppningsvis ökar under de närmaste åren bör it-säkerhetsbranschen förbli lönsam. Vi kan bara hoppas att det leder till bättre it-säkerhet generellt.