Vista og sikkerhet: En umulig kombinasjon?
Document Actions
"Windows Vista er vårt sikreste operativsystem noen sinne" forteller Microsoft, og det er ingen grunn til å tvile på at de virkelig mener det. Vi tviler heller ikke på at selskapet har lagt ned enorme summer i å øke sikkerheten i systemet – hvilket i praksis betyr å gjøre det sikrere enn forgjengerne.
Likevel dras både sikkerheten og intensjonene i tvil av sikkerhetseksperter i markedet i disse dager, og får vann på mølla fra Microsoft selv, som sier: "Sikkerhet er alltid en balansegang. Der vi må velge mellom sikkerhet på den ene siden og tilgjengelighet eller brukervennlighet på den andre, velger vi det siste." Observasjoner som umiddelbart høres tilforlatelige ut. En PC som er så sikker at den ikke kan brukes, har minimal nytteverdi. Ingen er uenige om at sikkerhet er en balansegang.
Når Microsoft og Windows Vista likevel får så ørene flagrer fra eksperthold, er årsaken at selskapet ikke helt synes å ha forstått problemet. For det første er det høyst tvilsomt om Vista er Microsofts sikreste system, uansett investeringer. Windows Server 2003 har siden lanseringen hatt denne ledertrøya, og tidlige erfaringer med Vista gir beskjedne forhåpninger om forandring. For det andre faller balanse-argumentene på sin egen urimelighet fordi det finnes tallrike eksempler på systemer som både er mer brukervennlige og sikrere enn Windows Vista. At ingen av dem er like komplekse, er også et faktum – og nettopp kompleksiteten er uten tvil en hovedårsak til problemet.
I desember 2004 laget vi en analyse med omtrent samme tittel - Microsoft og sikkerhet: En umulig kombinasjon? - hvor vi blant annet konkluderte:
"Microsofts kamp for sikkerheten er uten tvil genuin, men håpløs. Kompleksiteten vokser raskere enn noen kvalitetskontroll kan holde tritt med, og er både sikkerhetens og kvalitetens verste fiende."
Videre observerte vi at det finnes kun én farbar vei til god sikkerhet i Windows – og andre produkter: Å starte med blanke ark og bygge sikkerhet inn fra grunnen av. Og med Microsofts titalls milliarder USD i årlige utviklingsbudsjetter, burde ikke dette være noen umulighet.
De har imidlertid en annen oppfatning og en annen strategi, hvilket ingen kan betenke dem, men god sikkerhet blir neppe å finne blant resultatene. Derfor er både konklusjonen og analysen i sin helhet like gyldig i dag, og indikerer hvor markedet bør sette inn innsatsen for å få eller opprettholde god sikkerhet. Konsentrasjon om den enkelte klient eller maskin er like håpløst i sikkerhetsmessig forstand nå som før. Det er 'kringvernet' - forsvarsverket rundt nettverk og infrastruktur, kombinert med god gammeldags host hardening som gir pålitelige og varige resultater.
Det finnes utvilsomt argumenter for å ta i bruk Windows Vista, men sikkerhet er ikke blant dem. Tvert imot er sjansen for at Vista i overskuelig fremtid vil bli et positivt bidrag til sikkerheten minimal. De lærde strides fortsatt om hvorvidt sikkerheten i Windows XP er tilstrekkelig, men at det tok 4 år å komme til dagens nivå er udiskutabelt. Derfor er det ikke urimelig å gi Vista pusterom til å modnes. Prøvekaniner har de færreste av oss tid eller ressurser til å være.
