Tavshed om sikkerhedshuller er »et valg mellem pest og kolera«

Det er et spørgsmål om national sikkerhed, når efterretningstjenester indsamler oplysninger om sikkerhedshuller i styresystemer uden at fortælle det til udbyderne, siger IT-sikkerhedsekspert

Den sikkerhedsbrist i styresystemet Windows, som hackere har udnyttet, var kendt af den amerikanske efterretningstjeneste NSA. Arkivfoto: Iris Fold sammen
Læs mere

Den amerikanske efterretningstjeneste NSA havde i længere tid haft kendskab til den sikkerhedsbrist i styresystemet Windows, der var skyld i weekendens verdensomspændende cyberangreb.

Informationer om sikkerhedshullet blev tidligere på året stjålet fra NSA af kriminelle, som efterfølgende udnyttede hullet i systemet.

Det mødte i weekenden skarp kritik fra Microsofts juridiske direktør, Brad Smith, der ikke mener, at det er i orden, at myndigheder – og navnlig efterretningstjenester – indsamler og udnytter oplysninger om sikkerhedshuller i styresystemer uden at fortælle producenterne om manglerne.

Men ifølge Henrik Larsen, der er chef for IT-sikkerhedsorganisationen DK-CERT, indsamler efterretningstjenester og myndigheder oplysningerne af sikkerhedsmæssige grunde til blandt andet spionage mod kriminelle.

»Efterretningstjenesterne vil gerne have nogle bagdøre ind i systemerne, så de indsamler denne slags informationer. Men det er svært at sige, om kritikken er berettiget. Det er et valg mellem pest og kolera. På den ene side vil vi gerne undgå terror og andre trusler, som efter­retningstjenesterne kan afsløre med de informationer. På den anden side er vi interesserede i, at vi får en ansvarsfuld underretning til Microsoft og andre leverandører om huller, der bliver fundet, så de kan gøre noget ved det,« siger Henrik Larsen.

Og det er ikke kun NSA, der ligger inde med den slags oplysninger. Tidligere FBI-leder for cyberkriminalitet og nuværende direktør for afdelingen for cybersikkerhed i konsulentvirksomheden Navigant, John Boles, fortalte i sidste uge til Berlingske, at samtlige lande uden undtagelse indsamler oplysninger for at spionere mod hinanden og mod kriminelle. Danmark er højst sandsynligt også blandt disse lande, lød det fra den tidligere FBI-leder.

Ifølge Henrik Larsen kunne weekendens angreb dog ikke være undgået, selv om NSA havde fortalt om sikkerhedsbristen tidligere. Microsoft havde nemlig allerede i marts udsendt en opdatering, der skulle lukke hullet, men mange virksomheder havde endnu ikke opdateret styresystemet.