sårbarhet – IT – Store norske leksikon

Sårbarhet er en svakhet i et datasystem, program, nettverk eller menneskelig adferd som er kjent av minst én aktør som er i stand til å utnytte den til å bryte igjennom sikkerhetsmekanismene. Tidligere var begrepet sårbarhet stort sett utelukkende knyttet til svakheter i teknologi, men det blir stadig mer klart at den menneskelige faktoren er vel så viktig i systemers sikkerhet.

Faktaboks

Etymologi: engelsk vulnerability
Også kjent som: sikkerhetshull

Sårbarheter finnes i så godt som alle systemer. Av og til som følge av bevisst innplanting, men som oftest rett og slett fordi kompleksiteten i et system og tilhørende teknologi gjør det vanskelig å få full oversikt over hva en potensiell angriper kan få til. Økende kompleksitet i et system gir ofte en eksponentiell økning i antall sårbarheter.

Sårbarheter kan skyldes feil i både maskin- og programvare, samt menneskelig adferd og svakheter i policyer og regler innen informasjonssikkerhet.

Endringer i et system innebærer alltid en risiko for at det kan oppstå nye sårbarheter. Sårbarheter kan også oppstå uavhengig av systemet, for eksempel som følge av ny angrepsmetoder eller at infrastrukturen rundt systemet endrer seg.

Sårbarhet, feil og svakhet

En svakhet eller feil i et system omtales som en sårbarhet først når de er kjent for, og kan utnyttes av, potensielle angripere. Et system vil som regel ha langt flere svakheter og feil enn sårbarheter.

Det er ofte en utfordring å vite når en angriper har kunnskap, motivasjon og tilgang nok til å kunne utnytte en feil eller svakhet. Av den grunn er det også vanskelig å skille sårbarheter fra feil og svakheter.

Håndtering

Når en sårbarhet blir kjent, er det viktig å redusere sannsynligheten for at noen kan utnytte den. Det er også viktig å redusere konsekvensene dersom den blir utnyttet.

Dette kan være tidkrevende. Først må feilene i systemet identifiseres og fjernes, for eksempel ved å rette feil i programkode, endre rutiner eller bygge nye sikkerhetsmekanismer.

Deretter må disse endringene innføres i systemer som allerede er i drift. For tekniske deler i form av programvare- eller fastvareoppdateringer. For de menneskelige aspektene i form av policyer, regler informasjonsmateriell eller opplæring. I mange tilfeller er det vanskelig å sikre at man når frem til alle med slike oppdateringer.

Nulldagssårbarheter

Tiden fra en svakhet blir oppdaget, til den utgjør en sårbarhet ved at en potensiell angriper får kunnskap om den, er kritisk. Håndtering av sårbarhet blir derfor et kunnskapskappløp, hvor det gjelder å oppdage svakheter så tidlig som mulig.

Det man først og fremst forsøker å unngå, er situasjoner hvor angripere oppdager svakhetene først, slik at de utgjør sårbarheter fra første stund, og gjerne ikke blir oppdaget før det er for sent. Slike sårbarheter kalles for nulldagssårbarheter (zero-day vulnerabilities).

Både forskere, utviklere, enkeltpersoner og hackere deltar i jakten på ukjente svakheter, enten for å skape nye nulldagssårbarheter eller for å få dem utbedret.

Uansett hvem som finner en svakhet først, vil den som regel bli omdannet til en sårbarhet før eller siden. Det å offentliggjøre en svakhet er nemlig også et viktig forebyggende tiltak, forutsatt at leverandører, brukere og systemeiere får en rimelig mulighet til å begrense skadeomfanget først.

Les mer i Store norske leksikon

Kommentarer

Kommentarer til artikkelen blir synlig for alle. Ikke skriv inn sensitive opplysninger, for eksempel helseopplysninger. Fagansvarlig eller redaktør svarer når de kan. Det kan ta tid før du får svar.

Du må være logget inn for å kommentere.

Fagansvarlig for Data- og informasjonssikkerhet

Tom Heine Nätt

Førstelektor, Høgskolen i Østfold