Ingen kan göra allt

November 21, 2019

Begreppen Cybersecurity och IT-säkerhet kan ofta upplevas som väldigt komplexa och för många kanske inte något man gärna diskuterar över frukostbordet. Även om det kan vara extremt avancerat så behöver inte alltid betyda att man måste vara raketforskare för att förstå en produkt som endast två personer på planeten kan förklara betydelsen av.

Ingen produkt kan än idag rent tekniskt lösa alla IT-säkerhetsutmaningar och man behöver jobba med detta på flera olika plan för att uppnå effekt. Om man ser till den enskilde användarens insats så finns en del enkla punkter för att förbättra och skydda säkerhet och hantering av information oavsett om det gäller privat eller professionellt.

Nätfiske eller Phising – Konceptet som innebär att man försöker få åtkomst till känslig data genom ”fiska fram” den av användaren på olika sätt. Detta är något som drabbar mer eller mindre alla organisationer och individer idag och man behöver som användare många gånger göra en egen bedömning om vad som är trovärdigt eller inte. I en stressad vardag kan det vara lätt att ”slentrianklicka” på ett mail eller länk utan att tänka efter.

Lägg lite extra energi på hemsidor du besöker och vem som försöker kontakta dig via olika medier. Gör du en första bedömning om att det inte är trovärdigt, gå på det!

Lösenord – Lösenord är fortfarande en kritisk parameter och undersökningar visar att över 75% av användarna har samma lösenord för de flesta om inte alla websidor/tjänster de använder både privat och professionellt. Samtidigt genomförs 4/5 dataintrång idag med stulna och/eller svaga lösenord som många gånger publicerats eller sålts på ett eller annat sätt.

Skapa unika och komplexa lösenord för olika tjänster och använd tvåfaktorsautentisering om det finns tillgängligt.

Lösenordshanterare – Det är svårt att komma ihåg eller lagra sina lösenord säkert om man skall följa föregående punkt med unika och komplexa lösenord.

Använd en lösenordshanterare(Password manager) för att säkert kunna lagra och komma åt dina lösenord på ett ställe. Det finns lösningar både i molnet och på din egna dator.

Låsskärm – Våra enheter följer med oss överallt i vardagen och ibland glömmer vi dem eller lämnar de obevakade. Samtidigt innehåller de ofta mycket information vilket vem som helst har åtkomst till om man får tag i enheten.

Aktivera och använd låsskärm på alla enheter för att undvika att en potentiell förövare kan få direktåtkomst till data från enheten. Idag finns det förutom lösenord ibland även biometrisk verifiering vilket möjligtvis kan stärka skyddet ytterligare.

Ingen kan göra allt, men alla kan göra något.

Comment

Obefintlig säkerhetsanalys

March 5, 2019

Beror säkerhetsbrister i din IT-miljö p.g.a bristfällig eller obefintlig säkerhetsanalys?

Dagens behov och konsumtion av IT har i takt med den snabba utvecklingen förändrats dramatiskt de senaste åren. I och med denna förändring så ställer det högre krav på ett kontinuerligt säkerhetsarbete i verksamheten vilket i slutändan ofta hamnar på IT-avdelningens ansvar.

Att ta reda på vad som är skyddsvärt i den egna verksamheten är grunden i allt säkerhetsskyddsarbete. Görs säkerhetsanalysen korrekt vet den upphandlande enheten vart den ska rikta sina säkerhetskyddsinsatser och hur de ska dimensioneras.

För att lyckas är det en god idé att utgå från en verksamhetsanalys och avgränsa den delen som är föremål för säkerhetsanalysen. Vad är skyddsvärt i verksamheten, vilka konsekvenser är acceptabla och vilka är inte det? Skapa spårbarhet till skäl för åtgärder genom att beskriva detta.

Sårbarheter som identifierats behöver värderas och knytas till adekvata skyddsåtgärder. Endast systemtekniska åtgärder som brandväggar, spamfilter etc. är sällan ett komplett säkerhetsskydd utan behöver kompletteras med utbildning av personal och kontroll av säkerhetsskyddets efterlevnad.

För de som omfattas av upphandlingslagstiftningen kan det medföra extra stora problem med en bristfällig säkerhetsanalys då lagen medger begränsade möjligheter att ändra ett avtal.

Checklista för att komma igång med säkerhetsarbetet:

Genomför en grundlig säkerhetsanalys
Upprätta processer/rutiner och säkerställ spårbarhet
Utbilda personalen
Följ upp och säkerställ efterlevnad

Comment

IT-säkerhet åt folket

February 12, 2019

I ett tappert försök att göra titeln till en travesti av romartidens devis, “bröd och skådespel åt folket” vill vi ta tillfället i akt att kort reflektera över Försvarets radioanstalt’s (FRA) relativt nyutgivna årsrapport för 2018.

Snabbt konstateras att cyberfrågorna uppmärksammas med emfas, vilket är högst rimligt i dagens digitaliserade samhälle. FRA har uppgiften att vara statens resurs för teknisk informationssäkerhet, vilket innebär att de lämnar stöd till andra myndigheter och statliga bolag för att stärka deras förmåga att stå emot IT-angrepp.

I färskt minne har vi händelserna med till exempel Transportstyrelsen och Svenska Kraftnät som illustrerar behovet av IT-säkerhet. Man kan också antaga att det finns ett visst mörkertal av statliga aktörer som har haft incidenter och brister gällande IT-säkerheten. Antagande stärks av att årsrapporten berättar om en ökad efterfrågan av stöd från FRA angående informationssäkerhet. Den ökade medvetenheten och sannolikt kunskapen om de alltmer intrikata hoten är såklart också en parameter till varför efterfrågan ökat.

Intrycket av rapporten är att IT-säkerheten verkligen är i fokus och att mycket görs för att utveckla och stärka förmågor. Även vikten av samverkan, både mellan myndigheter och privata företag, fastslås som en nyckel till framgång.

Frågorna om IT-säkerhet som historiskt sätt varit på IT-avdelningens bord för beslut behöver förankras och tilldelas resurser på ledningsnivå för att nå önskat resultat. Detta är i linje med utvecklingen för dagens organisationer, där IT generellt kan användas som ett strategiskt vapen för de som drar nytta av det på rätt sätt i sin affärsverksamhet.

Hur har ni det med segmentering i nätverket, brandväggar, lösenord och autentisering?

Comment