Forsker: Efterretningstjenester hemmeligholder virksomheders it-sårbarheder

Den amerikanske efterretningstjeneste NSA kritiseres for at hemmeligholde sikkerhedsbrist, som hackere har udnyttet.

Efterretningstjenesten NSA er blevet revset af blandt andre Microsoft for at hemmeligholde og lagre oplysninger om sikkerhedsbrist. Her ses NSA's hovedkvarter i USA. (Foto: LARRY DOWNING © Scanpix)

Skal efterretningstjenester informere private virksomheder som Microsoft om sikkerhedshuller i deres styresystemer?

Eller kan det retfærdiggøres, at efterretningstjenester i al hemmelighed lagrer oplysningerne om sikkerhedsbristerne, så de selv kan bruge dem til egen vinding?

Det er nogle af de centrale spørgsmål, efter hackere igen har låst virksomheder og myndigheder i store dele af verden ude af deres it-systemer og computere.

Virksomhederne og efterretningstjenesterne har modstridende interesser, forklarer ph.d.-studerende Kristoffer Kjærgaard Christensen fra Københavns Universitet, der forsker i private virksomheders rolle i forhold til cybersikkerhed.

- Det kan være svært at styre det digitale våbenkapløb, der er derude. Og i den sammenhæng opstår diskussionen om, hvilken rolle vores efterretningstjenester skal spille, siger han.

Microsoft revser NSA

Kristoffer Kjærgaard Christensen påpeger, at virksomhederne med det samme ville forsøge at lukke sikkerhedsbrister, der potentielt kan udnyttes af it-kriminelle, hvis de blev gjort opmærksom på hullerne.

Omvendt kan efterretningstjenesterne kun udnytte sårbarhederne, hvis de ikke er offentligt kendt.

Den amerikanske efterretningstjeneste NSA er i den sammenhæng blevet voldsomt kritiseret, efter der er blevet lækket informationer om sikkerhedshullerne i forældede Microsoft Windows-styresystemer, som efterretningstjenesten selv skal have brugt i offensive aktioner mod andre.

Blandt kritikerne er en af de øverste chefer i Microsoft, præsident og juridisk chef Brad Smith, der har revset efterretningstjenesten og USA's regering for ikke at beskytte civile godt nok mod it-kriminelle.

Kritikken blev fremsat efter angrebet i maj, hvor hundredtusindvis af computere blev ramt.

- Gentagne gange er sårbarheder, som har været i regeringers hænder, blevet lækket til offentligheden og har skabt omfattende skade, skrev Brad Smith i et indlæg på Microsofts hjemmeside.

Samme sikkerhedshuller udnyttet

Kristoffer Kjærgaard Christensen fortæller også, at hackerne i det igangværende angreb har anvendt nogle af de samme sikkerhedshuller, som blev udnyttet i forbindelse med angrebet i maj.

Han er enig i, at NSA ikke har passet godt nok på informationen om sikkerhedsbristen.

- Det har de jo ikke, eftersom den er sluppet ud og er blevet brugt, siger han.

Kristoffer Kjærgaard Christensen påpeger, at det ikke er Microsoft alene, der kan blive ramt, men også alle dem, der anvender Microsofts styresystemer og produkter.

- Derfor har det ret vidtrækkende konsekvenser, når efterretningstjenester som NSA ikke gør opmærksom på huller i styresystemer, men i stedet anvender dem til egne formål, siger han.