Det är inte konstigt att många tycker att det är svårt att mäta säkerheten i it-system. Det är nämligen omöjligt, åtminstone med de metoder som finns i dag.

Det hävdar biträdande professor Erland Jonsson vid Chalmers Tekniska Högskola. Och han borde veta. Han har forskat kring it-säkerhet och säkerhetsmetrik i närmare 20 år och är en av Sveriges mest respekterade inom området.

Varför går det inte att mäta?
– Det finns flera problem. Ett är att det inte finns någon gemensam definition av vad säkerhet är. Och begreppet inbegriper så många olika delar. Det är helt enkelt ett svårdefinierat begrepp.
– Det handlar också om att säkerhet egentligen är frånvaron av osäkerhet. Ett säkert system är ett som helt saknar hål. Och det går ju inte att mäta på samma sätt exempelvis bandbredd eller mängder data i ett system.

Men går något att mäta?
– Nja, det finns inga bra metoder. Vi har inte lärt oss vilka modeller som fungerar. I mitten av 90-talet gjorde jag ett enkelt experiment där vi lät ett stort antal studenter försöka göra intrång i ett visst it-system som vi hade satt upp. Då kunde vi få fram hur lång tid det tog i genomsnitt innan olika typer av intrång inträffade. Och det var ju en slags mätning.
– Problemet är att den mätningen bara gäller för just det systemet. Vi har inget sätt att skapa en generell modell som gör att metoden går att använda på valfritt system.

Men hur ska man bete sig då? Det måste ju finnas något sätt att få ett grepp om hur hög säkerhet man har i sitt it-system?
– Det vanliga är att man utgår från hur systemet är uppbyggt, och utifrån det avgör hur hög säkerheten är. Men det visar ju inte hur hög den faktiska, operativa säkerheten är utan bara vilket skydd som används.

Kommer det överhuvudtaget vara möjligt att mäta säkerhet i it-system?
– Jag tror inte att vi kommer att hitta ett heltäckande sätt att mäta säkerheten inom överskådlig tid. Däremot kommer vi nog att nå delmål, så att vi exempelvis kommer att kunna klassificera system utifrån säkerhetsnivåer.