Lögn, förbannad lögn och cybersäkerhetscertifiering
IT-säkerhet har seglat upp till toppen av den politiska och affärsstrategiska agendan. I september lade EU-kommissionen fram ett förslag om en europeisk förordning för cybersäkerhetscertifiering (KOM (2017) 477). Men bakgrundsarbetet är mediokert och lögnaktigt, och premisserna för förslaget tveksamma.
För IT-produkter är certifiering av intuitiva skäl en dålig idé. Certifiering har nämligen bara förutsättning att fungera när det tar längre tid för nya produkter och nya hot att utvecklas, än det tar för existerande produkter att certifieras. För de flesta mjukvaruberoende produkter stämmer inte det. Nya hot upptäcks snabbare än man kan certifiera produkter, och nya produkter lanseras på marknader snabbare än man hunnit certifiera föregående generations produkter. En produkt certifieras i sitt slutgiltiga tillstånd: alla säkerhetsproblem som upptäcks efter att produkten förts ut på marknaden riskerar alltså att förbli att olösta.
EU-kommissionen borde veta det här, inte minst för att det står i en bakgrundsrapport från konsultföretaget PWC. PWC-rapporten beskriver hur protektionistisk certifiering i Frankrike, Tyskland och Storbritannien på marknaderna för smarta kort (passerkort, bussbiljetter och dylikt) och smarta elmätare har skapat marknadshinder i EU. De tre stora länderna erkänner inte varandras certifieringar, vilket gör det omöjligt dyrt att verka på alla tre marknaderna samtidigt.
De tre stora länderna erkänner inte varandras certifieringar, vilket gör det omöjligt dyrt att verka på alla tre marknaderna samtidigt.
Kommissionen har sopat PWC-rapporten under mattan, och hävdar i stället att det nya förslaget stärker cybersäkerheten. I ett fuldrag utan like ger kommissionen en obefogad känga till det amerikanska storföretaget Microsoft, som hävdas ha utsatts för WannaCry-attackerna till följd av en brist på europeiska certifieringar. WannaCry var den krypteringsattack som under våren 2017 drabbade tusentals datorer i offentlig sektor världen över, och fick stora rubriker. Kängan är oärlig.
Microsofts produkter är för det första redan självcertifierade, enligt den metod som EU-kommissionen föreslår. WannaCry skulle alltså inte ha avhjälpts av kommissionens förslag.
WannaCry möjliggjordes för det andra med stor sannolikhet av att amerikanska underrättelsetjänster lägger stor energi på att undergräva säkerheten i amerikanska företags produkter. Det gör det nämligen lättare för underrättelsetjänsterna att komma åt information. Certifiering kommer inte att påverka sådana ansträngningar att förstöra företags produkter. Microsoft har kritiserat underrättelsetjänster för denna arbetsmetod, och arbetar i detta avseende hårdare än någon europeisk industrijätte för att få bra IT-säkerhet i konsumentprodukter.
För det tredje göder kommissionen protektionismen med sina lögner om i och för sig inte i alla avseenden felfria, men i det här fallet faktiskt klanderfria, utländska storföretag. De hoppas att vi ska tänka ”Jahaja, klart amerikanerna är dumma och ocertifierade, till skillnad från tyska eller franska företag som betalar ur näsan för att få en förtroendeingivande stämpel”.
De hoppas att vi ska tänka ”Jahaja, klart amerikanerna är dumma och ocertifierade, till skillnad från tyska eller franska företag som betalar ur näsan för att få en förtroendeingivande stämpel”.
Certifieringsindustrier är tunga ekonomiska aktörer vars intressen i de stora EU-länderna (och i Sverige, för den delen) det är svårt att gå emot. En europeisk cybercertifiering kan motiveras bara om det är omöjligt att på något annat sätt motverka cyberprotektionismen. Men då cybercertifiering har få förutsättningar att höja säkerheten, bör den begränsas till de marknader där man upptäckt protektionism.
Certifiering är dyrt för den som måste certifieras, så onödiga certifieringskrav kan leda till sämre konkurrens. Framför allt blir det dyrare att vara småföretag eller nystartat företag. Vi förtjänar bättre, både som konsumenter och som entreprenörer.