Så dålig koll har bankerna på verksamhetskritisk teknik

– Nu behöver finansbranschen styra upp sitt arbete med övervakning av komponenter som används i verksamhetskritiska lösningar. Det säger Daniel Parmenvik, vd för it-företaget Bitfront, till Realtid. Bolaget har granskat Bankföreningens medlemmar för att se om de använder komponenter av typen öppen källkod med fokus på kända sårbarheter.

– Resultatet var nedslående och inte tillräckligt bra. Hela 78 procent av de undersökta webbplatserna använde minst en komponent med säkerhetsbrister, säger Daniel Parmenvik.

Det som specifikt undersöktes var JavaScript-komponenter, som ofta är eftersatta. Det beror bland annat på bristande insyn från affärssidan som ansvarar för riskerna.

– I många fall har utvecklarna väldigt god koll på vad man använder, men brister i att förvalta applikationer. På affärssidan är man ofta mer intresserad av att projekten går framåt utan att egentligen ha koll på detaljerna kring IT-säkerhet, säger Daniel Parmenvik.

Dagens utvecklare använder många färdiga komponenter som andra personer utanför organisationen har utvecklat, ofta i form av öppen källkod. Fördelarna med återanvändning av källkod är uppenbara: Det sänker kostnaderna och snabbar på utvecklingstakten. Samtidigt innebär det alltid en risk att återanvända någon annans källkod eftersom kod ofta innehåller buggar som upptäcks i senare skeden.

– Generellt sett har företagen dålig koll på vilka komponenter och versioner som används och hur gamla de är. I vår undersökning hittade vi till exempel komponenter som var över tolv år gamla, och då är risken för säkerhetsproblem mycket stor, säger Daniel Parmenvik.

Enligt honom är lösningen att bankerna och finansinstitutionerna inför system som kontinuerligt har koll på vilka mjukvarukomponenter som får användas, och varnar om någon ny sårbarhet dyker upp för de delar som används.

– Sårbarheterna upptäckts allteftersom och därför måste man också ha stöd för ett system som granskar komponenterna kontinuerligt så att IT-riskerna reduceras. Att bara plocka komponenter direkt från publika kodbibliotek och sedan använda utan någon slags kontroll och övervakning, det är direkt dåligt, säger Daniel Parmenvik.