Bara två dagar kvar på året. Det är hög tid att summera 2009. Sanning och säga så började jag skriva på den här krönikan någon dag innan jul men har vridit och vänt på texten tills nu.
Två ord summerar 2009
2009 -- ett år med finanskris och kärv ekonomi för många verksamheter. När det gäller IT-säkerhet så summerar jag året med två ord, eller rättare sagt ett ord och en fras: Confidence och Preaching to the Choir.
Ord 1: Confidence, förtroende
Finanskrisen är i grunden en förtroendekris. För att en affärsuppgörelse ska komma till stånd så måste alla involverade ha förtroende för varandra och för rättssystemet. Höjd vinstmarginal kan kompensera för ökad risk men förr eller senare når man en risknivå där man väljer bort affären. Lånegivare förlorade förtroendet för varann och det blev nästan omöjligt att få kredit. Vi behöver förtroende för att ekonomin ska fungera.
IT-säkerhet motiveras just så -- förtroendeskapande. IT-system måste vara rimligt säkra för att vi ska ha förtroende för dem. Vi skulle aldrig använda internetbanken om flera bekanta hade blivit av med pengar utan att få ersättning. Vi skulle heller inte e-deklarera om risken för felräkningar var hög i Skatteverkets webbapplikation. Vi har kommit så långt att en förtroendekris för bankärenden på nätet skulle få förödande konsekvenser för banker, bankkunder och näringsidkare. Det får inte hända. Snart är hela Mydighetssverige i samma beroendeställning.
Jag har under årets konferensresor och uppdrag diskuterat mycket kring confidence. Mängden SQL injection, Cross-Site Scripting och läckande felhantering ger lågt förtroende för befintliga webbapplikationer. Här måste vi göra en skillnad. Det ligger på oss säkerhetsexperter och säkerhetsintresserade att i samarbete med hela branschen se till att våra IT-system är säkra nog att ha förtroende för.
Ord 2: Preaching to the Choir
Under AppSec-konferensen i Washington DC var vi ett antal OWASP:are som drog en tråkig slutsats -- vi predikar i stor utsträckning för de redan frälsta. Åhörarna kan redan förklara OWASP topp tio och arbetar oftast professionellt med applikationssäkerhet.
Om vi i OWASP ska lyckas med vårt uppdrag, vår mission, så måste vi bli bättre på att nå ut. Vi kan inte bara föreläsa för varandra om nya AJAX 2.0-hack eller diskutera vilka testverktyg som bör ingå på den ultimata pentestar-DVDn. Nej, vi måste också samtala med alla utvecklare som normalt sett går igång på nya ramverk, nya utvecklingsmetodiker och nya möjligheter med HTML5/CSS3 ... ja, kort sagt alla som gillar features mer än säkerhet, dvs 99 % av alla som kodar.
Här kan du och jag göra skillnad. Vi kan göra världen lite bättre. Se till att en utvecklare i din umgängeskrets går med i OWASP Sweden och kommer på AppSec-konferensen i sommar.
Ord för 2010
Vilka ord gäller nästa år då? Om jag tillåter mig titta i spåkulan så ser jag ett begrepp som börjar bli i ropet och som kommer vara IT-säkerhetsvärldens svar på förtroendekrisen: Business Enablement, ungefär affärsskapande. Med kontrollerad säkerhet så vågar vi ta affärsrisker och göra nya affärer. Säkerhet kan alltså vara affärsskapande. Det kommer vara säljsnacket inom säkerhet 2010, tro mig.
Vill ni läsa mer om säkerhet och affärsskapande så rekommenderar jag SABSA. Enligt uppgift så har estradörer som Pelle Hellqvist redan börjat använda metaforer från SABSA-boken: "Varför har bilar bromsar? För att kunna stanna? Nej, för att kunna köra snabbare!" Bromsar är en säkerhetsfunktion som skapar möjligheter genom minskad risk.
OWASP 2009
Hur har då OWASP utvecklats under 2009? Ja, en lågkunjunktur går inte obemärkt förbi och OWASP som lever helt på medlemsskap och sponsring har fått röda siffror. Miljonrullning? Nja, OWASP har en anställd, resten är ideellt arbete. Trots det så räcker inte intäkterna. Vi behöver varje sponsringskrona. Personligt medlemsskap kostar 350 kr ($50) per år. Bli medlem du också!
Men dålig ekonomi kan förstås inte kväva en ideell verksamhet. Jag har i år bevistat AppSec EU, AppSec US och OWASP Summit och det var i vanlig ordning fullmatade program och intensiv verksamhet. Flera av OWASPs projekt har under året mognat och släppts (Top 10, JBroFuzz, ESAPI, OpenSAMM) men också en helt ny struktur har kommit på plats med globala kommittéer som tar hand om projekt, chapters, konferenser, medlemsskap, industrikontakter och utbildning.
OWASP 2010
Det är rätt coolt att det är vi som står näst på tur nu -- AppSec Research 2010 i Stockholm är verkligen det hela OWASP pratar om som nästa gemensamma grej. Själv är jag lite nervös och tänker dagligen på vad som återstår att fixa. Vi ska ordna ett riktigt bra program, sponsorer som får det att gå runt, snygga broschyrer, middag/fest och evenemang, och så vidare. Jag har mejlat med potentiella talare till och med på julafton :). Så jag hoppas ni har ritat in 21-24 juni i era kalendrar.
Men 2010 innebär förstås mer än AppSec i Stockholm. OWASP ska försöka dra igång en sorts "training roadshow" för att erbjuda appsäk-utbildningar i olika regioner. Hela konferensverksamheten ska styras upp allteftersom fler och fler konferensinitiativ poppar upp. Mer fokus ska läggas på att samarbeta med universitet och högskolor så att studenter får chansen att lära sig utveckla säkra applikationer.
John 2009-2010
På ett mer personligt plan så har 2009 varit ett år av nätverkande och resor. En vecka på ett tyskt slott med världens forskningselit inom appsäk, OWASP-konferenser i Polen och USA, Skype-konfererande över tiotalet tidszoner och tämligen mycket kontakt med media.
Jag har förstås arbetat vidare med min musik och gjort en mödosam migrering från Windows/Cubase/Mackie till MacOS/Logic/Euphonix. Målet för 2010 är att komma med ett singelsläpp under våren och att få klart skivan under resten av året.
Jag hade också för första gången i mitt i liv en lång, sammanhängande sommarsemester. Plockade ut en del sparade dagar och fick totalt sex veckor ledigt. Om ni har chansen så gör det. Mycket mer värt än semesterduttande här och där.
Tack!
OWASP Sweden har inte haft ett lika digert program i år, mest pga arbetet med nästa års konferens. Men givetvis ett stort tack till alla våra talare under året:
- Fredrik Möller (Fortify)
- David Anumudu (Fortify)
- James Dickson (Simovits Consulting)
- Hasain Alshakarti (TrueSec)
- Sergio Molero (Concrete IT)
Jag vill också passa på att tacka några av våra chapter-medlemmar som hjälper till mycket i konferenskommittén:
- Martin Holst-Swende (Inspect it)
- Stefan Pettersson (HPS)
- Carl-Johan Boström (HPS)
Och så givetvis ett tack till OWASP Swedens ledningsråd:
- Mattias Bergling (Inspect it)
- Predrag Mitrovic (MyNethouse)
- Robert Malmgren (Romab)
- Robert Carlsson (BankID)
Med det önskar jag er ett gott nytt år! Nu ska jag brygga en kopp svart.
Mvh, John Wilander, chapter leader
1 kommentar:
Mycket intressant läsning och reflektion över 2009! Jag håller med dig om att 2010 kommer, återigen, bli ett intressant år med många spännande utmaningar inom säkerhetsområdet.
Precis som du säger så kommer affärssidan av säkerhet förhoppningsvis att belysas mer under året och då håller jag helt med dig om att SABSA är en metod för att få verksamheten och tekniker att få en bättre förståelse vad som behöver göras tillsammans ur företagets helhetssyn istället för att hela tiden "plåstra om såren".
"Molnet" är ju givetvis ett annat område som kommer diskuteras flitigt och då måste man ju också ta med säkerhetsaspekten, vilket kommer leda till många intressanta förhandlingar mellan ledning och tekniker, samt de företag som erbjuder tjänsterna. Frågan är dock om "molnetsår" är 2010 eller om det dröjer lite till beroende på svenska företags mognad angående datalagring, program, lagar och säkerhet utanför egna väggarna och i vissa fall Sverige...
Ha ett gott nytt år och tack för en bra blogg. Ser fram emot alla spännande utmaningar som ligger framför oss....
Skicka en kommentar