Braskande rubriker om nyupptäckta säkerhetshål riskerar många gånger att orsaka mer skada än nytta. De spelar roll för forskare och utvecklare, men för oss vanliga användare är de mest grundläggande råden kring it-säkerhet fortfarande relevanta.
Rubriken i det amerikanska affärsmagasinet Forbes kan inte annat än att upplevas som skrämmande. Apple’s iPhone FaceID Hacked In Less Than 120 Seconds. Hos källan som Forbes hänvisar till, Threatpost, är tonläget betydligt mer nedtonad: Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’.
Det här är ett färskt exempel på hur jag tycker att det ofta ser ut när media rapporterar om nyupptäckta säkerhetshål. Nischmedierna lite mer nyanserade, medan medier med bredare målgrupp slår på stora trumman.
Spelar det någon roll? Av flera skäl, skulle jag säga.
Skapar onödig oro hos allmänheten
Den första invändningen tangerar att vara mediekritik. Gå till dig själv. Hur många fler rubriker än artiklar läser du varje dag? Svår fråga att svara på, men rubrikerna är gissningsvis mångdubbelt fler än antalet artiklar. Rubriker som spetsar till omständigheterna lite extra kan vara ett sätt att locka fler till ett klick. Men samtidigt lämna dem som inte klickar med en felaktig bild av de faktiska omständigheterna.
I det aktuella fallet går det inte att anklaga Forbes för att fara med osanning. Men rubriken drar, i min mening, definitivt åt det sensationella hållet. Och det var också vad som fick mig att klicka på den. Efter att ha läst klart Forbes artikel, och Threatposts sammanfattning av forskarna presentation på den stora säkerhetskonferensen Defcon står det klart att a) det finns ett säkerhetsproblem som b) det är långt i från trivialt att utnyttja men c) de som utvecklar den här typen av biometriska säkerhetslösningar måste känna till och försöka hitta sätt att hantera.
För många rop på vargen är ett problem
Problemet är att den här typen av rapportering för den breda allmänheten blir som pojken som ropade vargen. Många säkerhetshål är av just det här slaget, intressanta och viktiga för utvecklare, men av mindre intresse för den genomsnittliga användaren.
Men, och det här är ett stort och viktigt men, emellanåt upptäcks säkerhetshål som är allvarliga i den bemärkelsen att de faktiskt påverkar användare här och nu, i stor skala. Säkerhetshål där användarna inte bara kan utan också behöver agera, exempelvis genom att uppdatera operativsystemet i sin mobiltelefon så snart som möjligt.
Men om man redan är uttröttad av braskande rubriker om än det ena och än det andra säkerhetshålet är risken stor att man inte tar det som är på allvar på allvar.
Känsla av att säkerhetsåtgärder inte spelar någon roll
Det största problemet med onyanserad rapportering kring nyupptäckta säkerhetsproblem är att det kan skapa känslan av att ingenting spelar någon roll. Om det hela tiden upptäcks nya säkerhetshål, varför då bry sig om vardagsråd om exempelvis vad som är bra lösenord?
Av den enkla anledning att vardagsråden ger ett bra skydd mot vardagsproblemen.
Att en forskargrupp hittar ett sätt att lura mobiltelefoners fingeravtrycksläsare är inte ett problem för de flesta av oss så länge det krävs massor av avancerad teknisk utrustning för att lyckas med det. Avancerade angrepp kommer möjligen utnyttjas mot högprofilerade måltavlor, men det är få av oss som är av intresse för exempelvis säkerhetsmyndigheter runt om i världen.
Däremot kan det vara många av oss som har en kollega eller klasskamrat som är lite för nyfiken av sig och har svårt att hålla fingrarna i styr om vi glömmer mobilen på bordet medan vi går på toaletten. I det läget är både fingeravtrycksläsare och pinkoder ett utmärkt skydd. Att det går att ta sig runt de skyddsmekanismerna är inte ett problem i det sammanhanget.