Våra ursäkter. Hackerns lycka.

Göran Walles
av Göran Walles2018-09-07

För snart ett decennium sedan satte KiwiconIII ihop en lista av ursäkter som ”Hackers dont give a shit about”. De där ursäkterna som hackers helt enkelt nyttjar för att lyckas med dataintrång.

Det är läskigt att konstatera att de flesta hörs lika ofta idag, fritt översatt med några nya tillagda. Vilka känner du igen? Vilka saknas?

  • Vi har redan skydd på plats
  • Det ingår inte i mitt projekts omfattning
  • Det hanteras av tredje part
  • Det är ett legacysystem
  • Det är för kritiskt för att patcha
  • Vi behöver invänta ett servicefönster
  • Vi har ingen budget allokerad för säkerhet
  • Vi har inte drabbats av något angrepp eller intrång som motiverar säkerhetsinvesteringar…
  • Om det bara hände något hos oss, så ledningen kan ge oss medel
  • Det är bara ett pilotprojekt
  • Det är ett internt system
  • Det är väldigt svårt att förändra
  • Det hanteras i molnet
  • Utan informationsklassificering har vi inget att skydda
  • Det är en policyfråga
  • Säkerheten ingår i applikationen
  • Det är en temporär lösning
  • Det är en politisk fråga
  • Det är krypterat på en hårddisk
  • Vi kan inte förklara riskerna mot verksamheten
  • Vi litar på våra användare
  • Det går inte att göra ROI på säkerhetsinvesteringar i vår typ av verksamhet
  • Vi har kontrakterat bort säkerhetsfrågorna
  • Vi litar på vår leverantör