sårbarhet – IT

Sårbarhet, svakhet i et datasystem, kjent av minst én aktør som er i stand til å utnytte den til å bryte igjennom systemets sikkerhetsmekanismer.

Slike svakheter finnes i de fleste datasystemer, av og til som følge av direkte feil eller bevisst innplanting, men som oftest rett og slett fordi kompleksiteten og fleksibiliteten i teknologien gjør det vanskelig å få full oversikt over hva en potensiell angriper kan få til.

Svakhetene kan skyldes feil og mangler i både maskin- og programvare. De kan også være forårsaket av forhold utenfor systemet.

Alle endringer i et datasystem innebærer en risiko for at det kan oppstå nye svakheter.  Svakheter kan også oppstå uavhengig av systemet, for eksempel som følge av ny angrepsteknologi eller at infrastrukturen rundt systemet endrer seg.

Vi må altså leve med slike svakheter, men det er først når de er kjent for potensielle angripere at vi regner dem som sårbarheter.

Når en sårbarhet har oppstått, er det som regel umulig å fjerne den helt. Vanligvis må man nøye seg med å redusere utbredelsen og skadevirkningene.

Dette kan være tidkrevende. Først må man fjerne bristene i selve systemet, for eksempel ved rette feil eller bygge inn nye sikkerhetsmekanismer.

Deretter må disse endringene innføres i systemer som allerede er i drift. Dette kan være både tid- og ressurskrevende. I mange tilfeller er det umulig å sikre at man når frem til alle. Derfor vil det som regel også være nødvendig å innføre beskyttelsestiltak utenfor systemene. 

Tiden fra en svakhet blir oppdaget, til den utgjør en sårbarhet ved at en potensiell angriper får kunnskap om den, er kritisk. Håndtering av sårbarhet blir derfor et kunnskapskappløp, hvor det gjelder å oppdage svakheter så tidlig som mulig.

Det man først og fremst forsøker å unngå, er situasjoner hvor angripere oppdager svakhetene først, slik at de utgjør sårbarheter fra første stund og gjerne ikke blir oppdaget før det er for sent. Slike sårbarheter kalles for nulldagssårbarheter (zero-day vulnerabilities).

Både forskere, utviklere og hackere deltar i jakten på ukjente svakheter, enten for å skape nye nulldagssårbarheter eller for å hindre at de oppstår.

Siden det handler om kunnskap, må ikke jakten nødvendigvis foregå i regi av en organisert virksomhet. Også enkeltpersoner kan delta, av og til fordi det er spennende og interessant, andre ganger fordi man er ute etter ulike typer personlig gevinst.

Uansett hvem som finner en svakhet først, vil den som regel bli omdannet til en sårbarhet før eller siden. Det å offentliggjøre en svakhet er nemlig også et viktig forebyggende tiltak, forutsatt at leverandøren får en rimelig mulighet til å begrense skadeomfanget først. Derfor regnes det som god skikk å informere leverandøren med en gang man oppdager en svakhet og så vente minst 90 dager før man offentliggjør den.