Hallå, talar du säkriska?!

Föreställ dig ett scenario där en kirurg ber den assisterande sjuksköterskan om en skalpell men får en tesked(!). Att lyckas genomföra operationer utan en etablerad taxonomi för kirurgi känns föga troligt. De flesta etablerade industrier har ett gemensamt industrispråk, något som binder dem samman och effektivt hanterar problem av typ “och det betyder?”.

Inom IT-säkerhet har vi inte något sådant språk. Eller vänta, det är inte korrekt; vi har ett sådant språk men beroende på vem du talar med skiftar språkets innebörd och betydelse. Det är ett dynamiskt och odefinierat språk vilket åtminstone jag tycker är både frustrerande och jobbigt.

I branschen talar vi om t.ex. hot, risker, svagheter, sårbarheter och åtgärder som om det vore självklart vad varje individuellt begrepp innebär. Så äro inte fallet. Risk används väldigt ofta synonymt med hot, för vissa är hot en svaghet eller kombination av aktör, konsekvens och sannolikhet. Det är inget annat än en begreppssoppa, och den smakar rätt bittert.

Är jag den enda som förundras över hur vi överhuvudtaget får något gjort utan ett precist och gemensamt språk? Och att vi sedan accepterar en hänsynslös användning av dessa termer gör inte saken bättre.

Tillsammans med min vän, och tillika kollega, Stefan Pettersson upprättade vi i en (förhoppningsvis) ömsesidig frustration ett delat dokument (hos Google). Ambitionen och den övergripande intentionen var egentligen ganska enkel; dokumentera vanligt förekommande termer och definiera dessa. Vi skulle således åtminstone oss emellan använda en gemensam ordbok för rapporter och andra skriverier, eller vardagligt tal.

Tanken är god, och kanske en vettig start, men hur tar vi den vidare? Hur etablerar vi detta industrigemensamma språk? Är det överhuvudtaget användbart? Har jag grävt ner mig i detaljer ingen egentligen behöver bry sig om, eller ska bry sig om?

// Christoffer Strömblad
Informationssäkerhetskonsult SAFESIDE SOLUTIONS AB