sårbarhet (IT)

Når en sårbarhet blir kjent, er det viktig å redusere sannsynligheten for at noen kan utnytte den. Det er også viktig å redusere konsekvensene dersom den blir utnyttet.

Dette kan være tidkrevende. Først må man fjerne bristene i selve systemet, for eksempel ved å rette feil i programkoden eller bygge inn nye sikkerhetsmekanismer.

Deretter må disse endringene innføres i systemer som allerede er i drift. Vanligvis i form av programvare- eller fastvareoppdateringer. I mange tilfeller er det vanskelig å sikre at man når frem til alle med slike oppdateringer.

Tiden fra en svakhet blir oppdaget, til den utgjør en sårbarhet ved at en potensiell angriper får kunnskap om den, er kritisk. Håndtering av sårbarhet blir derfor et kunnskapskappløp, hvor det gjelder å oppdage svakheter så tidlig som mulig.

Det man først og fremst forsøker å unngå, er situasjoner hvor angripere oppdager svakhetene først, slik at de utgjør sårbarheter fra første stund, og gjerne ikke blir oppdaget før det er for sent. Slike sårbarheter kalles for nulldagssårbarheter (zero-day vulnerabilities).

Både forskere, utviklere, enkeltpersoner og hackere deltar i jakten på ukjente svakheter, enten for å skape nye nulldagssårbarheter eller for å få dem utbedret.

Uansett hvem som finner en svakhet først, vil den som regel bli omdannet til en sårbarhet før eller siden. Det å offentliggjøre en svakhet er nemlig også et viktig forebyggende tiltak, forutsatt at leverandøren får en rimelig mulighet til å begrense skadeomfanget først. Derfor regnes det som god skikk å informere leverandøren med en gang man oppdager en svakhet og så vente minst 90 dager før man offentliggjør den.

• datasikkerhet