Martin Dohmen, Solutions Director på Tripnet, hälsade alla deltagare välkomna till årets andra Kunskapsfrukost en tidig morgon i slutet av april och konstaterade samtidigt att det var femte gången i rad som detta event hölls helt digitalt. Dagens samtalsämne var lika spännande som komplext – IT-säkerhet. Som sakkunniga välkomnades Johan Guste, lösningsarkitekt på Orange Cyberdefense och Jakob Schlyter som arbetar med IT- och informationssäkerhet på Kirei.
Som en effekt av pandemin och det plötsliga behovet av omfattande distansarbete, tvingades världen till en hastig global digitalisering på kort tid. Effekten av detta blev oundvikligen ökad sårbarhet. Även om lösningar för distansarbete fanns tidigare så har de inte varit byggda för den kris vi nu befinner oss i.
– Att idag arbeta ifrån caféer, hotell eller flygplatser har blivit vårt nya normalläge, så det behövs nya sätt att se på säkerhet – även om problemet alltid har funnits, konstaterar Jakob Schlyter.
Säkerhet kräver strategisk och operativ effektivitet, vilket betyder mogna beslut
Teknik löser inte problemet. Tyvärr har det överlag gjorts stora investeringar i just utrustning, medan arbetssätt och rutiner hamnat i skymundan. Bolagen behöver se detta som en utbildningsfråga – det behövs en grundkunskap i IT-säkerhet. Radars undersökning Cybersecurity 2020 visar just att pengar i bolag som kan klassas som IT-säkerhetsmogna investerar mer i operationell säkerhet.
– Organisationer som saknat exempelvis bra e-postsystem eller samarbetsverktyg har hittat egna sätt att lösa problemen. IT-avdelningar har försökt att bromsa men säkerheten har hamnat i baksätet. Användarna vill bara göra sitt jobb, men IT-avdelningarna behöver förekomma av säkerhetsskäl. Däremot behöver de vara lyhörda för medarbetarnas behov och vidta de åtgärder som behövs utifrån detta, säger Jakob, och fastslår att det oftast behövs en komplett arbetsmiljö för att kunna arbeta på ett säkert sätt på hemmaplan.
En del av lösningen sitter i att förstå omvärlden, att förstå vad är det jag behöver skydda mig emot. Det gäller att ha en utarbetad plan och vara förberedd om något händer.
– I en självskattningsundersökning anger endast 16 % att det är säkerhetsmässigt mogna, berättar Johan Guste. Detta är katastrofalt lågt
Att riskerna är abstrakta gör dem lättare att ducka för
Branschen behöver bli bättre på att nå ut med hur hotbilden ser ut. Eftersom de är abstrakta är de också ogreppbara vilket gör det svårt att göra en korrekt bedömning. Även myndigheternas agerande, såsom Säpo och MSB, spelar stor roll här.
– Vi på Tripnet försöker alltid vara helt transparenta vid incidenter, även om vi har inte haft några mängder av säkerhetsincidenter. Vårt mål är att vara helt öppna mot våra kunder, berättar Martin Dohmen från Tripnet.
Många branschkollegor följer Tripnets initiativ till total transparens, inte minst eftersom exempelvis GDPR ställer krav på öppenhet. Idag råder bland annat anmälningsplikt vid intrång med persondataförlust.
– Fler och fler blir transparenta, håller Johan Guste med om. Därför blir förberedelser nödvändiga. Man måste planera för eventuella incidenter, både tekniskt och operationellt. Vad ska vi säga till media, kunder och medarbetare? Det är viktig att kunna göra det på ett bra sätt, säger Johan.
– Handhavandefel som orsakar säkerhetsrisker är däremot lite jobbiga för många att prata om, men vi behöver lära oss att lära oss av våra misstag, säger Jakob.
Man kan inte outsourca sitt IT-säkerhetsansvar
Regeringen beslutade i slutet av förra året om ett nationellt cybersäkerhetscenter och det hoppas kunna bidra till en mer allmän, generell syn på IT-säkerhet. Men – var börjar man någonstans? Vad gäller exempelvis när man flyttar ut tjänster i molnet? Lagar och regler styr till viss del. Vad ska man inte flytta till molnet?
– Man behöver se över informationsklassificeringen – viktig data kanske måste behandlas på annat sätt, tipsar Jakob. Vissa situationer och olika typer av data är till och med direkt olämpliga att hantera på distans. Man bör tänka till när det gäller exempelvis ekonomi, övervakning, samhällsfunktioner osv, säger Jakob.
Johan gav oss två handfasta råd:
- Ta hjälp. Försök inte lösa detta själv. Hot-operatörerna jobbar tillsammans – det måste vi också göra. Man kan inte outsourca sitt IT-säkerhetsansvar men däremot få hjälp så man kan fokusera på rätt saker.
- Budgeten kommer alltid vara begränsad. Se till att nyttja resurserna i relation till den aktuella riskbedömningen.
– Väldigt många har öppnat upp dammluckorna (läs: VPN) vilket gör det svårt att backa hem och gå tillbaka till kontoret. Vi lever i en ny verklighet som vi behöver anpassa oss till, säger Johan.
Det är inte speciellt avancerat att öka säkerheten. Ett enkelt exempel är tvåfaktorsautentisering.
– Att ha bråttom står ofta i vägen. Risker man förstår och kan sätta sig in i är man duktigare på att prioritera. När man inte förstår, klassar vi i stället ner risken. Vi måste öka vår medvetenhet – det skulle ta oss långt med billiga medel, säger Jakob.
I dag går trenden mot färre lösenord och nyttjande av lösenordstjänster. Även fingeravtryck och ansiktsigenkänning är i dag fungerande och har till viss del ökat säkerheten. Användarna måste ha lätt att göra rätt för att undvika risker.
– En bra variant är stickprovskontroller, vilket gör det totalt smidigare för användaren, konstaterar Johan. När obekväma hinder försvinner försöker vi inte hitta genvägar.
Ett holistiskt synsätt kommer ta oss framåt
Vi kan konstatera att det inte är tekniklösningarna som kommer att göra IT-säkerheten bättre – vi måste se till helheten. Än så länge råder en enorm kunskaps- och resursbrist.
– Det kommer finnas mängder med jobb i den branschen i många år framöver, säger Johan.
I jakten på säkerhetsluckor används olika typer av detektion. Gartner pratar om SOC (Security Operations Center) Visibility Triad som kombinerar tre fundamentala verktyg för incident management.
- Loggbaserad detektion
- Nätverksbaserad detektion
- Endpoint-baserad detektion
De två senare är oftast automatiserade för att hitta larm. Vilken eller vilka metoder som är bäst är omöjligt att svara på. En kombination är dock oftast att föredra.
– Vi rör oss mer åt loggar och klienter. Undantag är verksamheter med väldigt höga krav på säkerhet, säger Jakob.
– Johan fyller i: De flesta attacker vi ser börjar på en anställds laptop, inte i en SQL-databas. Ju tidigare vi kan fånga risken, desto mindre skada åsamkar den. Men – man behöver ta hjälp för att få effekt av sina investeringar. Tänk inte produkt – tänk nytta!
”S-et i IoT står för säkerhet”
Finns det då något koncept som är mer aktuellt och i ropet just nu?
– Zero Trust som arkitektur är bra, säger Johan, men konstaterar i nästa andetag att han ännu inte har sett någon lyckad implementering. Detta är svårt att få till!
För de flesta är lösningen med Zero Trust en väldigt lång resa. Google är ett snyggt och framgångsrikt exempel, men de har å andra sidan väldigt stora resurser och mycket pengar.
– Det finns jättemycket pinaler i våra interna nät som inte får så mycket kärlek. I synnerhet gällande IoT där s:et står för säkerhet, säger Jakob ironiskt och syftar till att säkerhetsaspekten oftast saknas. Vi behöver ha lagom mycket öppet, men stänga in de saker som är viktiga. Vi måste ställa krav på våra leverantörer så de inte bygger systemen att bete sig säkerhetsriskfullt. Då kan vi bli mer tillåtande. Behöver verkligen skrivaren kunna ringa hem och berätta att den har slut på papper, undrar Jakob.
Snittiden att patcha en 0-day är fortfarande tre månader …
När det kommer till patchning är problemet snarare vår brist på kompetens att bedöma huruvida de är nödvändiga eller inte. Att de egentligen är fullt automatiserade räcker inte.
– De flesta sårbarhetsscannar inte ens. Kanske behöver vi ha utarbetade processer som kompletterar patcharna, funderar Johan.
En del av problemet verkar ligga i att systemen är felkonstruerade och kräver nertid.
– Man bör kunna sköta löpande underhåll och patchar under drift. ”Här byter vi flygplansvingarna medan vi flyger”, säger Jakob.
Sista samtalsämnet för dagen landade i 0-days – säkerhetshålen som tillverkaren fortfarande är omedveten om och som det inte finns patchar för. Den svarta marknaden är stor och omsätter enorma belopp. men sedan är den förbrukad.
– Man måste agera snabbt, konstaterar Johan bestämt.
Vi hoppas att frågan om säkerhet har fått välbehövlig fokus och konstaterar att svaren på våra initiala frågor är att investeringar i teknik faktiskt inte hjälper. Visserligen bidrar det till att stoppa och skydda, men det stora avgörandet sitter i det strategiska och operativa arbetet. Ta hjälp och säkerställ att dina resurser gör nytta på rätt sätt! Självklart står vi på Tripnet redo att stötta dig i detta arbete. Kontakta oss gärna!
Vi gläds åt att vi ännu en gång överlåtit åt våra deltagare att fixa sin egen frukost så att vi kunnat bidra med ytterligare 9800 kr till Majblomman i kampen mot barnfattigdom i Sverige.
Snart är våren här och förhoppningsvis även sommaren. Vi önskar alla varmt välkomna tillbaka till Kunskapsfrukost den 30 september, då vi gräver djupare i ”Moderna metoder för effektiv IT-drift. Varför riskera att missa? Anmäl dig redan idag!