Alle vil ha sikkerhet, men ingen vil betale for det

rejection-ideogram-2400pxSikkerhet er aldri gratis. Selv når man ikke betaler i rene penger, må brukere av sikkerhet akseptere at ting tar lengre tid, medfører mer plunder, eller er mindre spennende enn de ellers kunne ha vært. Et relevant eksempel er ramaskriket over oppdagelsen av de påståtte falske GSM-basestasjonene på forskjellige strategiske plasser i Oslo i fjor, som man antok kunne tillate sporing og avlytting av topp-politikere og ledende forretningsfolk. Mange offentlige personer gikk hardt ut og forlangte at “noe må gjøres”, men ignorerte det faktum at UMTS allerede har løst de største sikkerhetsproblemene til GSM (ingen gjensidig autentisering, svake krypteringsalgoritmer), og at ved å bytte til håndholdt utstyr som kun bruker UMTS, og nekter å falle tilbake på GSM, vil man direkte adressere trusselen disse falske basestasjonene utgjør. Imidlertid ville dette også ha betydd at utstyret ville ha mistet dekning så snart eieren beveger seg ut av de mest tettbygde strøkene, noe som neppe ville vært sett på som positivt av (f.eks.) viktige forretningsfolk. Følgelig, selv om mange er villige til å betale for sikkerhetsteknologi, er de ikke nødvendigvis villige til å ofre funksjonaliteten eller brukervennligheten som ekstra sikkerhet “koster”.

Forbedret brukervennlighet av sikkerhetsteknologi er åpenbart et viktig tema, men sikkerhetsbevissthet hos brukere er muligens enda mer viktig, i hvert fall på kort sikt.  Det er ikke mulig å lære opp alle til å bli sikkerhetseksperter, men kanskje er det mulig å lære alle nok til å vite når de må ringe en.

Denne teksten er basert på min Dr.Philos.-avhandling Security in Critical Information Infrastructures