För att få en bättre säkerhet till en lägre kostnad krävs det en ledning som tar ansvar för it-säkerheten. Mer pengar behöver nödvändigtvis inte betyda större säkerhet säger säkerhetsexperter både i Sverige och utomlands. Enligt analysföretaget Gartner Group som specialiserar sig på säkerhet på Internet, är till och med de säkraste företagen de som spenderar minst ekonomiska medel på detta. Rättare sagt de som spenderar pengarna klokast.

Investeringar i säkerhet motsvarar idag cirka sex till nio procent av den totala it-budgeten, något som man dock tror kommer att minska i framtiden. Detta är främst tack vare en ökad kunskap. Om man vet vad man ska göra går det att göra mer effektivt till en lägre kostnad. Det är inte ovanligt att företag i dag skaffar tekniska lösningar, som inte konfigureras rätt. Företagen lägger för lite tid på riskanalyser, som är en bra grund för att kunna sätta in resurser mer kostnadseffektivt. Det är där företagsledningens ansvar kommer in.

McAfee släppte i dagarna ett USB-minne med inbyggd AES 256-kryptering. Om minnet går förlorat går det att bevisa att informationen var krypterad.

De senaste åren har vi sett flera rapporter om hur känslig data på mobilt lagringsmedia glöms kvar på exempelvis bussar eller flygplan, eller helt enkelt tappas bort., något som har öppnat en marknad för säkerhetsföretaget. Enligt McAfee ska minnet vara väl passande exempelvis i de fall då anställda inte följer säkerhetspolicyn ordentligt. Enligt McAfee är det möjligt att för företag och myndigheter att bevisa att informationen på minnet var krypterad vilket gör att säkerhetsnivån inte sänks märkbart.

Man anser på företaget att det kan passa de flesta användare från privatpersoner, till små till medelstora och stora företag. Det garanteras att datan behålls inom företaget. Den ännu något mer utvecklade versionen är ett där software på minnet automatiskt förstör informationen om någon slår in fel lösenord och att ingen typ av software behöver installeras på datorn som minnet stoppas in i. USB-minnet kommer i två olika storlekar, en eller två gigabyte. Priset ligger på omkring 55 respektive 85 euro. Mycket prisvärt och användbart.

Enligt sajten XSSed, som gjort en studie över it-säkerhet, skyddar inte ens de stora it-säkerhetsföretagen sina egna webbplatser mot så kallad XSS.

XSS eller cross-site scripting som det utläses är det vanligaste sättet att idag sprida skadlig kod. Främst är det säkerhetsbrister i system som öppnar för denna typ av attack. Möjligheten gör att angriparen lägger till kod på en webbplats som dirigerar om besökarens webbläsare till en annan plats där angrepp online utförs mot besökarens dator.

Studien visar att alla företag och firm kan bli angripna och infekterade genom XSS. Självklart är det en fjäder i hatten för angripare att lyckas ge sig på just it-säkerhetsföretagen, hitta deras fel och brister.

Visserligen kanske det inte är speciellt oroande då de största it-säkerhetsföretagen såsom McAfee eller Symantec sysslar i huvudsak med antivirus och inte webbsäkerhet. Däremot ifall man ser liknande brister hos exempelvis banker, myndigheter eller andra viktiga sidor på internet har vi genast ett allt större problem.

En amerikansk säkerhetsexpert lyckades ta sig in på FBIs servrar på mindre än en arbetsdag med hjälp av så kallade penetrationstester. Som tur var för FBI var det säkerhetsexperten Chris Goggans på Patchadvisor Company som tog sig in den här gången och ingen som ville in för att förstöra. De så kallade penetrationstesterna är hackares nya favorit för att komma in i system och det är främst de offentliga organisationerna som är sämst på it-säkerhet. Goggans säger att FBI saknar en grundläggande säkerhetsstrategi som exempelvis att utesluta polisernas datorer från nätverket, vilket gör inbrottet mycket enklare. Online skaffade sig säerhetsexperten enkelt åtkomst till it-miljö och databaser, sedan säkerhetshålen var alltför stora.

Penetrationstekniken som Goggans begagnade sig av är trots allt även säkerhetsansvarigas bästa verktyg för att upptäcka brister. Tyvärr så innebär tekniken endast stickprov och gör att saker lätt kan missas. Det bästa är trots allt en kombination av penetrations och tekniska tester.