Artikel top billede

(Foto: Computerworld)

Den store sikkerheds-illusion

Sikkerhedsteater er en skræmmende affære, der koster os vores personlige frihed. Vi ser på sagerne.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

En ny trussel kryber ind i vores onlineliv. Den gør os mindre sikre, når vi browser på nettet både derhjemme og på arbejde. Alligevel får den os til at føle os mere sikre. Denne trussel er et begreb, der bliver kaldt sikkerhedsteater, og begrebet blev lanceret af sikkerhedsekspert og forfatter Bruce Schneier i 2003. Han definerede det som »sikkerhedsforanstaltninger, der får folk til at føle sig mere sikre uden faktisk at gøre noget for at forbedre deres sikkerhed«.

Han talte navnlig om den refleksreaktion, man ser inden for lufthavnssikkerhed, og de nye forholdsregler, der blev indført efter angrebene den 11. september 2001. De fleste af disse forholdsregler ville ikke have betydet noget som helst for at forhindre terrorangrebene, selvom de var blevet indført, før de fandt sted. Selv de forholdsregler, der direkte ville have udfordret terroristernes handlinger, ville blot have tvunget dem til at indføre mindre ændringer i deres planer.

Sikkerhedsteatret er imidlertid ikke begrænset til transportsikkerhed. Det er til stede i mange virksomheders sikkerhedsprocedurer, og det invaderer sågar vores hjem. Vi bruger tid og penge i den tro, at vi beskytter os selv, mens vi i virkeligheden ikke gør noget for at gøre os mere sikre. Vi øger måske snarere risikoen for os selv.

Man kan nemt falde i den fælde, fordi det er sådan, vi psykologisk er skruet sammen. Schneier beskriver det i sin artikel In Praise of Security Theatre: »Sikkerhed er både virkelighed og en følelse. Sikkerhedens virkelighed er matematisk, og den bygger på sandsynligheden for forskellige risici og de forskellige forholdsreglerseffektivitet.

Sikkerhed er også en følelse, der bygger på individuelle psykologiske reaktioner på både risiciene og modforholdsreglerne. Og de to ting er forskellige: Man kan være sikker uden at føle sig sikker, og man kan føle sig sikker uden at være det.«

Det forklarer den latterlige situation, der består i at skulle fordele 2 deciliter moder- mælkserstatning på to flasker, før man kan få lov til at gå om bord i et fly. Det er indlys-ende, at man stadig har den samme mængde væske. Hvis den var farlig, ville reglen over- hovedet ikke begrænse risikoen. Det lader imidlertid til, at folk virkelig føler sig trygge, når de ser sikkerhedsfolk gøre noget som modtræk til en trussel – selvom logisk tænkning vil vise, at disse modtræk kun dækker meget specifikke risici, og at enhver, der er opsat på at gøre skade, nemt kan omgå dem.

Vi taler ikke blot om at bruge millioner på lufthavnenes kropsscannere, hvis software ikke kan identificere stoffer med lav massefylde såsom kemisk pulver eller væs-ker, der er farlige. De kan sandsynligvis heller ikke afsløre plasticvåben.

Et andet aspekt er den tvungne indføring af software til ansigtsscanning, der i gennemsnit kun har en nøjagtighed på 30 procent. Eller sågar forudgående screening af boardingkort med det formål at afsløre farlige rejsende. Det har vist sig ikke at virke, fordi kriterierne for, hvem der er sikre, og hvem der ikke er det, er frit tilgængelige.

Man kan derfor nemt omgå dem – vælg blot en, der er så langt væk fra den profil som muligt, og lad ham gøre det beskidte arbejde. Så kan din terrorist blot spadsere ind, og han vil sandsynligvis ikke blive udpeget og undersøgt. I dette tilfælde har sikkerhedspolitiet faktisk givet en beskrivelse af den type, man skal ligne, hvis man vil undgå at blive afsløret som potentiel terrorist.

Det er imidlertid ikke kun lufthavne, der er genstand for sikkerhedsteater. Man møder det langt flere almindelige steder, fra ens arbejdsplads til ens hjem. Der er mange, der prøver at gøre opmærksom på det. Efter at have talt med en del af dem er vi villige til at vædde på, at du har foretaget et eksempel på computer-sikkerhedsteater eller har haft dårlig samvittighed over ikke at gøre det, inden for den seneste måned.

Sikkerhedsteater og dig

Tror du ikke på os? It-sikkerhedsbranchen bugner af eksempler på sikkerhedsteater af den ene eller anden art, og der knytter sig forskellige grader af risiko til dem. Automatiseret ændring af kodeord, backup på eksterne drev, brug af antivirussoftware, websites’ sikkerhedscertifikater – det hele koster tid og penge, selvom det sandsynligvis ikke forbedrer din sikkerhed online.

Tid er en vigtig økonomisk faktor, og selv din egen personlige fritid bliver langsomt undergravet af det kludetæppe af politikker, som folk praktiserer for at føle sig sikre ved computeren. Nu om dage er der så mange ting, den samvittighedsfulde pc- bruger forventes at gøre, at vi er i fare for at blive overvældet.

Mange af dem er afgjort ikke umagen værd. Vi forventes at vælge den bedste antivirus- og firewallsoftware til os selv; holde den regelmæssigt opdateret; iagttage vores computer arbejde i kvart tempo under regelmæssige baggrundstjek og scanninger; opdatere vores browsere for at være sikre på, at den software, vi bruger til at surfe på nettet, ikke lider af sikkerhedsbrist, fordi den bruger forældede forbindelsesmetoder; tjekke websites’ sikkerhedscertifikater (se boksen Sikkerhedsteater-certifikater) – dem ignorerer man tit, når man er ret sikker på, at de trods den alvorlige tone er falske positiver – og tage regelmæssig backup af alle vores vigtige filer på en ekstra harddisk.

Naturligvis er det ikke det hele, der er spild af tid, men meget af det er. Som Schneier udtrykker det: »Ligesom ægte sikkerhed har sikkerhedsteater sin pris. Det kan koste penge, tid, koncentration, frihed og så videre. Prisen kan være en reduktion af det, vi kan gøre. Som regel er sikkerhedsteater et dårligt valg, fordi omkostningerne langt overstiger fordelene.«

Økonomien

Det er ikke kun Schneier, der er opmærksom på det. Microsoft har endda formuleret en forskningsartikel om emnet. Den blev skrevet i 2010 af Cormac Herley, og titlen er en cadeau til den store afdøde forfatter Douglas Adams, der var kendt for at latterliggøre det bureaukrati, vi så ofte finder i virksomhederne.

Herleys tekst hedder So long, and no thanks for the externalities: The rational rejection of security advice by users, og den udstiller de farer, der knytter sig til nidkær overholdelse af it-sikkerhedsforskrifter, når det er indlysende, at de ikke nytter meget i det virkelige liv, men endda kan hæmme produktiviteten. Selvom artiklen fokuserer på omkostningerne ved at indføre unyttige sikkerhedsprocedurer, fremhæver den også sikkerhedsteater. Som der står i artiklens resume:

»Man hører ofte, at brugerne er håbløst dovne og umotiverede i sikkerhedsspørgsmål. De vælger svage kode- ord, overhører sikkerhedsadvarsler og ignore- rer certifikatfejl. Vi vil hævde, at brugernes afvisning af de sikkerhedsråd, de får, er aldeles rationelle set ud fra et økonomisk perspektiv.«

Med andre ord er de indirekte omkostninger ved for eksempel at få de ansatte til at opdatere deres kodeord hver anden måned, for derefter at døje med, at folk glemmer deres kodeord, ikke den mest økonomiske forvaltning af tid. Navnlig ikke, når resultatet ikke er mere sikkerhed.

Automatiseret ændring af kodeord

Selvom automatiseret ændring af kodeord umiddelbart lyder som en glimrende ide, har den faktisk ført til, at mange menneskers kodeord er meget mindre sikre, end hvis man havde holdt sig til de oprindelige. Vi har talt med Graham Cluley, der er konsulent i computersikkerhed hos internetsikkerhedsfirmaet Sophos, og han er enig.

»Mange virksomheder beder brugerne ændre deres kodeord regelmæssigt. Tanken synes at være, at det gør deres kodeord til et mere bevægeligt mål. Hvis ens arbejdsgiver siger, at man bør ændre kodeord hver måned eller hver tredje måned, kan det faktisk være noget negativt. Hvis man tvinger folk til hele tiden at vælge nye kodeord, kan det føre til, at de vælger svagere kodeord, eller at deres kodeord bliver mere forudsigelige. Brugerne udvikler måske dårlige vaner og vælger kode-ord som ”Kodeord1”, ”Kodeord2”, når de ændrer det hver måned.«

Han går videre: »Naturligvis skal man ændre kodeord, hvis man tror, at et kodeord er blevet svækket, men man bør ikke opstille faste regler for hele virksomheden ved at bede alle ændre kodeord hver ottende uge, medmindre der er en god grund.«

Hvis du har sådan et system på dit arbejde, er det troligt, at noget generisk har erstattet dit oprindelige personlige kodeord, der er svært at gætte. Og systemerne tillader ofte ikke, at man vender tilbage til gamle kodeord. Hvis man analyserer problematikken, ser man ejendommeligt nok, at logikken bag regel- mæssig ændring af kodeord halter.

For det første: Hvad er grunden til at ændre kodeordet? Er den, at det er blevet afsløret? Det bygger på den antagelse, at de forbrydere, der har fundet dit kodeord, af en eller anden grund har gemt denne information, før de drømmer om at udnytte den. Det svarer omtrent til, at nogle stjæler nøglen til dit hus fra din taske, hvorefter tyven venter, indtil du har fået tid til at ændre låsene, før han prøver at bryde ind. Den praksis kan kun fungere, hvis det er lykkedes at ændre kodeordet i samme sekund, det blev afsløret. Det er ret usandsynligt, hvis man ikke er klar over, at det er sket.

Det andet problem ved blindt at følge dette råd er, at den nemmeste måde at lægge ondsindet software på en persons pc og dermed få adgang til et virksomhedsnetværk eller personlige bankoplysninger består ikke i at prøve at gætte kodeord. Den består i at gå efter kædens svageste led – selve brugerne.

Som Schneier udtrykker det: »Den bedste metode til at få software på en maskine består i at få brugeren til at installere den. Bag mange af de alvorligste tilfælde ligger der menneskelige fejl.« En hacker behøver altså ikke engang kodeordet – han går ind i systemet via den bagdør, man opretter ved at installere hans software.

Hvad så med andre kodeordsregler såsom dem, man møder på bankernes web- sites – at kodeordet ikke må være et ord fra ordbogen, at det skal indeholde specielle tegn, og at man ikke bør bruge det på forskellige sites? De må da være fornuftige, ikke?

Nej, ikke hvis man erindrer, at det at bryde et kodeord ikke er den hyppigste kriminelle tilgang til systemet. Næst efter simple menneskelige fejl er de to almindeligste måder, hvorpå folk skaffer sig adgang til beskyttede områder og konti, phishing (man lokker folk til at oplyse kodeord ved at lade, som om de logger ind på deres konti, selvom det ikke er tilfældet – tag for eksempel de falske bank-e-mails med en ’log på’-knap, der fører en til et site, der ligner bankens, men som ikke er det) og keylogging (et program på din pc eller en delt pc, der registrerer hvert tastetryk, du foretager, og som fører logs, der kan være med til at finde sandsynlige kodeord).

Igen er det ligegyldigt, hvor svært det er at gætte kodeordet, når forbryderne ved, hvad det er. Det er lidt af en hån mod al den tid, man har brugt på at optænke og memorisere de enestående kodeord.

Ægte trussel – dårlig reaktion

Det betyder ikke, at truslen ikke er ægte. Som Herley skriver: »Mængden af angreb rettet mod internetbrugere er enorm, og den vokser. Deres computere bliver konstant bombarderet af vira, orme, portscanning-software, spyware, adware, malware, keyloggers, rootkits og zombie- og botnet-applikationer. En undersøgelse viser, at en ubeskyttet Windows-pc bliver angrebet inden for 12 minutter, efter at den er blevet sluttet til internettet.«

Herley erkender, at der er brug for sikkerhedsprocedurer, men han er ikke sikker på, at sikkerhedseksperterne har ret, når de hævder at vide, hvad man bør gøre: »Ud fra den opfattelse er brugerne uvidende om de risici, de står over for, og bør under- vises, så de ikke volder skade på sig selv.

Tanken er: ”Hvis de blot forstod faren, ville de opføre sig anderledes.” Det forudsætter imidlertid, at vi (sikkerhedseksperterne) forstår risiciene bedre end brugerne. Gør vi det? Kan vi bevise, at brugere, der følger rådene, klarer sig bedre end dem, der overhører dem, og at forskellen er umagen værd?«

Efter Herleys mening er det korte svar på disse spørgsmål nej. Og det er nemt at se hvorfor. Når vi lider under total mangel på tilgængelig information om forbrydernes metoder til at skaffe oplysninger om de brugerkonti, de hacker, har vi så ret til at tvinge brugerne til at følge et foreskrevet regelsæt, som ikke står for en nærmere undersøgelse?

Herleys artikel præsenterer også nogle ret basale beregninger om de omkostninger, disse former for procedurer kan have for brugerne, hvis man ser på hele Amerika. Han anslår, at med 180 millioner voksne online-amerikanere, der alle tjener dobbelt så meget som mindstelønnen (7,25 dollars), svarer udgiften til et minuts arbejde med at vælge et nyt kodeord til 15,9 milliarder dollars om året. Det er meget at give ud på en temmelig overflødig handling.

Vi har spurgt Bruce Schneier, hvorfor virksomhederne insisterer på at gennemføre disse sikkerhedsteater-manøvrer, når de må være opmærksomme på deres beskedne virkning.

Hans svar er enkelt: »Sommetider er sikkerhedsspørgsmål komplekse, og it-folkene finder det måske nemmere at følge med strømmen og glæde cheferne ved tilsyneladende at gøre et ordentligt stykke arbejde i stedet for at koncentrere sig om det, der for alvor betyder noget.«

David Emm er sikkerhedsforsker ved Kaspersky Lab, og han mener, at det hænger sammen med, at det er meget svært for virksomhederne at vide, hvordan og hvor man skal investere i sikkerhed, og det er denne uvished, der kan føre til beslutninger om sikkerhedspolitik, som viser sig at være spild af tid og penge.

»Sommetider er der risiko for, at der indsniger sig sikkerhedsteater i den måde, hvorpå potentielle onlinetrusler bliver betragtet. For eksempel ser man nu og da et massivt fokus på de omkostninger, der knytter sig til cyberkriminalitet. Men de tal, man hører om, varierer markant. Det er faktisk umuligt at nå frem til et nøjagtigt tal for udgifterne. Det minder om at prøve at beregne narkohandleres indtjening – deres forbryderiske aktiviteter gør det i bedste fald til rent gætværk.

Når man betragter tallene som vigtige, skyldes det, at man vil retfærdiggøre sikkerhedsinvesteringerne – det virker som en håndgribelig metode til at vise de fordele, investeringen fører med sig. Jeg tror, at det giver bedre mening, hvis virksomhederne ser på de virkelige risici, de står over for – for eksempel i løbet af det forrige kvartal eller år – og viser, hvordan sikkerheds- foranstaltningerne har begrænset eller vil begrænse risiciene.«

Antivirus-sikkerhedsteater

Som nævnt er det ikke kun på arbejdspladserne, man kan finde tidsrøvende sikkerhedsteater. Se dig omkring på din desktop, og du skal ikke lede længe for at finde flere eksempler på sikkerhedssoftware, der hengiver sig til lidt teatervirksomhed på din bekostning.

For eksempel spilder mange af de gamle og mere etablerede antivirussystemer regelmæssigt din tid ved at fortælle dig, hvornår du skal have nye sikkerhedsopdateringer, meddele, når der bliver kørt en scanning, og vise dig de mulige trussel-positiver, der er blevet fundet (de fleste aner ikke, hvad de skal stille op med den viden – og det burde de heller ikke, for det må da være anti- virus-softwarens opgave at afgøre, om noget er en trussel eller ej).

Hver af disse processer kan man karakterisere som sikkerhedsteater. Hvorfor skal man vide det? Alt dette burde da blot foregå i baggrunden, så man slipper for at spilde sin tid.

Hvis man imidlertid anskuer det fra en anden vinkel, sker der noget. Det er betryggende, at man er beskyttet, at man er i sikkerhed. Disse tillidsvækkende beskeder med »Dit system er ikke udsat for nogen infektion« gør, at man føler sig tryg, selvom det, softwaren fortæller, faktisk ikke passer.

Hvilken gennemsnitlig computerbruger vil betvivle et sikkerhedsprograms autoritet? Hvem har tid til det? Desværre kan en raffineret virus, keylogger eller trojansk hest, der har omgået din sikkerhedssoftware – typisk på grund af, at den endnu ikke er kommet med i programmets database – sikre, at du bliver ved med at modtage disse betryggende beskeder, mens den laver ravage i din maskine.

Hvis man fjerner alle disse betryggende beskeder, vil vores psykologiske indretning gøre, at vi får meget svært ved at tro, at vi er i sikkerhed. Et eksempel er Microsoft gratis antivirusværktøj Security Essentials, der anlægger en helt anden holdning.

Når det er blevet installeret, ligger det stille og roligt på maskinen og beskytter den mod internetsnavs. Perfekt. Bortset fra at vi er så vant til at få at vide, at antivirusprogrammer kører, hvilke opdateringer de modtager, hvilke scanninger de foretager, at når den støj pludselig forsvinder, er vi ikke sikre på, at programmet passer sit arbejde. Uden sikkerhedsteatret er vi ikke trygge.

Spørgsmålene melder sig. »Har Microsoft opgivet projektet?«, »Er jeg virkelig beskyttet?« Der er tydeligvis brug for en balance mellem den sikkerhed, der bliver leveret, og meddelelser om denne sikkerhed, hvis vi vil være trygge ved vores sikkerhedssoftware.

Dårlig backup

Et andet område, hvor folk fejlagtigt føler sig mere sikre og sågar selvtilfredse, er, når de husker at tage backup af deres vigtige filer på en ekstern harddisk i den tro, at nu er disse filer i sikkerhed. Imidlertid har de fleste mennesker deres eksterne lager sluttet til maskinen (meget nemmere ved planlagt backup).

Det betyder, at hvis det går galt, leverer ens 1TB-drev slet ingen beskyttelse. I tilfælde af brand er drevet samme sted som pc’en – som regel oven på den! – og går derfor op i flammer sammen med computeren. Hvis computeren bliver inficeret af ondsindet software, spreder denne infektion sig sandsynligvis til alle forbundne drev, inklusive backup-drevet. Alle ved, at man bør opbevare backupper et andet sted, men de fleste backuprutiner gør det upraktisk. I stedet gennemgår vi hurlumhejet med regelmæssige opdateringer og venter på, at filerne bliver kopieret. I virkelighedens verden er det til ingen nytte, hvis en typisk katastrofe indtræffer.

Naturligvis burde fremkomsten af cloud-baserede backuptjenester løse dette problem (mange nye harddiske bliver faktisk leveret med sådan en tjeneste, muligvis i erkendelse af, at deres hardware snart uddør). Men indtil folk for alvor tager denne relativt nye teknologi til sig, vil de miste data, mens de roser sig selv for at gøre alt, hvad der er nødvendigt for at beskytte dem.

Desværre betragter mange mennesker stadig cloudbaserede tjenester med mistro. Hvorfor skulle man betro en stor, ansigtsløs virksomhed alle sine personlige filer? Måske vælger du et nyt foretagende: Hvem kan vide, om det også er her om et par år?

Igen er det måden, vi iagttager tingene på, der er problemet. Hvis man ikke kan se noget i retning af et eksternt drev med en lysende led, hvis det ikke er håndgribeligt, begynder folk at spekulere på, om det overhovedet eksisterer.

Det bliver bestyrket af de meget omtalte, men faktisk meget sjældne historier om folk, der mister alle deres Googlemail-e-mails, fordi en eller anden hos Google trykker på den gale knap, eller folks personlige filer, der pludselig kan ses af enhver på grund af en softwarefejl. Selvom disse sager er sjældne, er mediernes omtale af dem egnet til at skræmme folk, og det fører til mistillid til cloudbaserede lagerløsninger, selvom sikkerhedsrisikoen er minimal sammenlignet med muligheden for, at noget går galt i ens egen pc.

Myndighedernes engagement

Sikkerhedsteater vinder virkelig højde i form af omkostninger og indføring af fejlbehæftede sikkerhedsprocedurer, når det offentlige bliver indblandet. Med enorme budgetter til rådighed og med refleksreaktioner på både ægte og indbildte kriser, der kan vinde mange stemmer, er tilskyndelsen til at geråde ud i sikkerhedsteater enorm.

David Emm fra Kaspersky Lab er enig. »Det ser måske anderledes ud for det offentlige (i modsætning til private virksomheder), fordi befolkningens opfattelse er meget vigtig. Jeg tror, at der her er langt større spillerum for sikkerhedsteater.

Den stigende erkendelse af de potentielle farer ved cyberangreb – i en verden, hvor vi alle er dybt afhængige af internettet – betyder, at myndighederne er tvunget til at vise, at man reagerer på eventuelle risici. Men her er der måske kun et problem, hvis det koster noget at forholde sig til problemet på bekostning af investeringer i løsning på reelle trusler.«

Vi har spurgt Graham Cluley, hvor stor en del af verdens regeringers reaktioner på hackingtrusler, der er sikkerhedsteater. »Vi ser afgjort en masse opblæsthed, når det gælder statens reaktion på trusler inden for computersikkerhed. Vi kan se, at man peger fingre ad visse nationer og beskylder dem for hackingangreb eller for at skrive malware, selvom det faktisk er utrolig svært at bevise den slags anklager. Vi ved, at hackere kan springe rundt i hele verden og bruger talrige computere til at affyre deres angreb.

Truslernes ægte natur er langt mere kompliceret og måske mindre interessant for et ikketeknisk publikum. Folk vil ikke høre, at en stor del af problemet kan skyldes dårligt beskyttede hjemmecomputere i deres eget land. I stedet foretrækker de en historie, der handler om en bussemand i en fjendtlig stat.«

Vi spurgte ham, hvor stor en del af behovet for at overvåge al internetkommunikation er sikkerhedsteater. »Jeg er bange for, at frygten for sikkerhedstrusler bliver brugt til at berettige øget overvågning af kommunikation.

Terrorisme bliver ofte brugt som grund til, at myndighederne vil kende hver eneste website, man besøger, eller vide, hvornår folk e-mailer eller chatter til hinanden. Men hvor mange mennesker er blevet dræbt af terrorister i for eksempel Storbritannien i de seneste fem år?

Bliver frygten for terrorisme brugt som et røgslør over større online-overvågning og tab af frihedsrettigheder? Den ser afgjort ud til at blive brugt til at retfærdiggøre nogle temmelig dybdeborende datamining-teknikker. Hvis de virkelig bliver indført, må de udgøre et enormt forbrug af offentlige ressourcer på noget, der kun indebærer en påfaldende ringe succes.

For eksempel overvåger det amerikanske sikkerhedsministerium blogs, nyhedskanaler og sociale medier som Twitter og Facebook og søger visse nøgleord, der kan illustrere ”interessebegreber”.

Disse begreber kan være tegn på gryende situationer, der kræver myndighedernes opmærksomhed inden for 14 forskellige områder, herunder blandt andre terrorisme, vejr, naturkatastrofer, brand, grænsekontrol, indvandring, giftige og radioaktive materialer, transportsikkerhed, cybersikkerhed og rapporter om Sikkerhedsministeriet og andre statsinstitutioner.

Husk, at det kun er de områder, nøgleordene dækker. Hvert område overvåger sit eget udvalg af nøgleord, som regel over 30 hver, og de dækker alt fra ”beskidt bombe” og ”ammoniumnitrat” under terrorisme til ”botnet” og ”Cain & Abel” under cybersikkerhed.

En opfattelse af dette er, at det giver god mening for den amerikanske regering at holde øje med kommende nationale katastrofer, sundhedskriser eller trusler. Og når informationen allerede er derude, hvorfor skulle man så ikke bruge den? En anden er, at dette uden tvivl er en kostbar indsats, der må generere så mange falske positiver, at der er tale om et bogstavelig talt ubrugeligt stykke sikkerhedsteater. Men hvis du er enig i det sidstnævnte, vil vi ikke anbefale dig at tweete om det. Man må hellere være forsigtig.

Sikkerhedsteatrets fremtid

Vi har set alle disse eksempler på sikkerhedsteater omkring os. De giver en rar, varm følelse af, at virksomheder, myndighederne og vi selv gør alt, hvad vi kan, for at verden kan blive et mere sikkert sted. I virkeligheden gør vi aldeles ikke noget i den retning.

Er der noget håb for fremtiden? Hvad kan vi gøre for at bekæmpe sikkerhedsteater, og hvor stort er problemet egentlig? »Jeg tror, at sikkerhedsteater kun bliver et problem, hvis udgiften afleder investeringer (ikke kun økono-miske) fra løsninger på ægte problemer,« siger David Emm fra Kaspersky Lab. »Et af problemerne er imidlertid, at vi måske kun betragter noget som sikkerhedsteater i bakspejlet, ikke mens forestillingen finder sted.«

Vi giver det sidste ord til Graham Cluley: Behøver vi virkelig at være så bekymrede over sikkerhedsteater, hvis det giver folk fred i sjælen? Kan det være så galt? »Jeg synes, at vi skal være bekymrede. Der findes ægte sikkerhedstrusler, men der er kun begrænsede ressourcer og begrænset tid til at håndtere dem. Hvis sikkerhedsteater distraherer os, er der risiko for, at vi ikke bruger den rette indsats, den rette teknologi og de rette folk på de ting, der for alvor betyder noget.«

En Microsoft-forskningsrapport fra 2010 hævdede, at advarsler om websteders sikkerhedscertifikater gav 100 procent falske positiver.
Kan det være den ultimative form for ”sikkerhedsteater”?

Et andet område inden for sikkerhedsteater, der har kostet virksomheder over hele verden megen tid og mange penge, drejer sig om køb af sikkerhedscertifikater til deres websites. De kræves til sikker netbrowsing. De bliver brugt, når man anvender ssl (secure socket layer), der er en sikkerhedsprotokol, som bruges til sikkert at overføre fortrolig information såsom kodeord og personlige oplysninger (ssl er i brug, når http: bliver erstattet af https: i browserbjælken). Disse certifikater giver webbrowserne oplysninger om for eksempel websitets adresse, der kan blive bekræftet af troværdige tredjeparts-organisationer med henblik på at tjekke, at man får forbindelse med det rigtige website.

I nogle tilfælde kan man imidlertid ved et uheld få certifikaterne til at fremstå forkerte. Det udløser en advarsel: »Der er et problem med websitets sikkerhedscertifikat,« selvom det ikke passer. Hvis din pc’s eller bærbares systemdato for eksempel er indstillet til en dato efter det tidspunkt, hvor disse certifikater ikke længere er gyldige, vil ethvert besøg på et https-domæne resultere i en falsk positiv.

I Cormac Herleys forskningsartikel fra 2010 viste forfatteren, at stort set 100 procent af alle advarsler vedrørende sikkerhedscertifikater var falske positiver. Det betyder, at hver gang nogen valgte at ignorere browser-advarslen, kom de alligevel til det ønskede site. Hvis det ikke lykkedes, var de blevet stoppet uden nogen fornuftig årsag. Det betyder, at i stedet for at beskytte folk mod lyssky sites koster advarslerne pc-brugerne tid. Det har desuden den konsekvens, at hvis de skulle se en ægte advarsel, ignorerer de den sandsynligvis.

Tillid i en stresset verden kan være den pris, vi betaler for dårlige sikkerhedsprocedurer

Sikkerhedseksperten Bruce Schneier er utvivlsomt kritisk over for sikkerhedsteater, men har også erkendt, at det kan have en positiv virkning. Dog kun, hvis det er med til at korrigere for trusler, der bliver opfattet som meget større, end statistikken viser.

Han bruger eksempler på sikkerhedsteater såsom det at sætte rfid-bånd på spædbørn for at forhindre, at de bliver kidnappet fra hospitalet (på trods af, at det er nemt at fjerne båndene, og at de i øvrigt ofte falder af af sig selv), eller brugen af forseglet emballage til fødevarer og medicin (på trods af at en kanyle stadig kan kontaminere eller forgifte indholdet uden at efterlade synderlige spor).

Han forklarer, at man spilder mange penge på sådanne initiativer i forhold til sandsynligheden for, at truslen bliver ført ud i livet. Men han erkender, at de beroliger folk, der reagerer på højtprofilerede nyhedsartikler om det ene eller de to tilfælde, hvor det faktisk har fundet sted. Som han udtrykker det: »Sikkerhedsteater er ingen erstatning for sikkerhedsvirkelighed, men brugt korrekt kan sikkerhedsteater øge vores følelse af tryghed, således at troen på sikkerheden bliver større.

Vi føler os tryggere, når vi overlader vores spædbørn til læger og sygeplejersker, køber håndkøbsmedicin og rejser med fly. Vi kommer tættere på den tryghed, vi burde føle, hvis vi havde adgang til alle kendsgerningerne og kunne lægge to og to sammen. Naturligvis fører for meget sikkerhedsteater til, at vores følelse af sikkerhed overstiger virkeligheden, og det er også skidt ... Det er den måde, man som regel bruger sikkerhedsteater på, og det er derfor, jeg så ofte kritiserer det.«