Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Cyberrymdens kassako – ransomware attacker

| Kronika

Hur kommer det sig att ett av de mer omtalade hoten i cyberrymden fortfarande fungerar? Varför fungerade inte föreläsningen där vi förklarade vad ransomware är och hur det fungerar? Är det för att attackerna tar medarbetarna på sängen i deras stressade vardag? Eller är det att vi helt enkelt fortfarande år 2020 fortfarande saknar kunskapen om det mest effektiva sättet mot detta hot?

Nyligen släpptes en rapport från EMSISOFT kring ransomwareattacker i USA. Resultatet var svidande. Och även om resultatet fokuserade på USA vill jag mena att utfallet i rapporten är talande för hur det sannolikt ser ut i övriga världen. Visst finns det berömda mörkertalet. Men det åsidosatt så pekar rapporten på att dessa attacker fungerar och kommer göra det i framtiden med. Ransomware är snabba pengar, lätta pengar och ofta mycket svårt att följa eller reda ut då kryptovaluta är svårt att spåra. Men rapporten har i sin slutsats i en enda mening slagit huvudet på spiken i vad som måste göras – man måste bli bättre på att göra säkerhet. Kristallklart. Rapporten berättar dock inte hur.

En djupanalys av rapporten vittnar om att lagstiftningen på området måste hänga med. Det anser jag den i stora delar gör eller har börjat göra. Visst, den har mycket i övrigt att önska bitvis. Men det händer något i positiv riktning. Men rapporten pekar i tre stora punkter på något som jag tror många förstår men inte vet hur och som kan sammanfattas i ett enda ord. Individen. Hen har blivit den enskilt största attackvektorn i varje modernt digitalt ekosystem. Rapporten pekar på avsaknad av processer, ledningssystem och kunskapsluckorna som de tre största anledningarna till varför dessa attacker funkar. Läs det igen. Processer, ledningssystem och kunskap. Även om jag yrkesmässigt är jävig i mitt svar då mitt företag jobbar med denna frågan dagligen och effektivare än många så vill jag förtydliga.

Processer, ta vilka du vill, handlar om individer och inte teknik. Individer måste ha processer annars blir det cyberanarki – shadow IT etc. Processerna garanterar systematik och struktur. Och även om många tror att dessa skall sättas uppifrån och ner behöver man inse att dessa processer sällan funkar eller är förankrade i en realistisk säkerhetskultur i verksamheten – för vem skall processerna fungera? Framgångsfaktorn här är processer som är individcentriska snarare än dokumentcentriska.

Processerna måste dock ledas av någon där syfte, mål och krav är tydligt kommunicerade och kända. – ledningssystem. Många skaffar standardiserade och förlegade ledningssystem som låter fint i munnen eller ser bra ut på pappret. Att börja i änden om du vill ha ett ledningssystem eller inte är fel. Börja med att inventera din verksamhet och sen vilket system som kommer fungera korrelerat till dit mål med systemet. Less is more and keep it simple. Något som dagens stora ledningssystem helt missat.

Men allt detta är inget värt utan grundstenen – kunskap. Din verksamhet, ALLA, måste ha kunskapen och förmågan kring vad hoten och riskerna är, vad syftet med det systematiska säkerhetsarbetet är. Utan det kommer säkerhetsarbetet misslyckas varje gång. Om du en gång om året under 45 minuter får en dragning om hoten, hot som ändrar sig från den ena sekunden till den andra, kommer de inte ihåg. Detta vet angriparen. Därför kommer den lyckas gång på gång på gång, för att din utbildningsinsats är ett projekt snarare än en process.

Vad skall du börja göra 2020, vad måste börja hända? Du måste inse att kunskapen är grunden till detta med cybersäkerhet. Och kunskapen är en färskvara. Den måste vara tillgänglig, enkel och repeteras med jämna mellanrum. Att göra det som en process är en förutsättning för att ändra riskfyllda beteende och processuellt minska risken för dessa attacker.

Slutsats

Säkerhetsarbetet är komplext, om vi låter det bli så. I själva verket är det inte raketforskning direkt, finns det ett problem så måstet vi lösa det i grunden och inte på ytan. Att genom projekt, reaktiva åtgärder försöka mota det digitala monstret i grinden är behovsställt helt klart. Men ambitionen 2020 när vi pratar om ett moget och systematiskt cybersäkerhetsarbete måste man analysera varför monstret motiveras att angripa just er grind, varför monstret lyckas och varför era medarbetare inte förstår vikten av processer kring detta. Ledningen måste förstå att ”grinden” inte finns framför era viktigaste medarbetare eller nyckelindivider. 2020 är alla nyckelindivider i din verksamhet. Alla måste ha förutsättningen att kunna medverka i detta arbete så de inte blir motarbetare. Kunskap som process. Cybersäkerhet som process. Medvetenhet året runt som process, inte projekt.

Robert Willborg, CISO Junglemap

Hög tid att sluta använda Windows 7 – innan något allvarligt händer

| Kronika

Den 14 januari drog så Microsoft ut den slutgiltiga pluggen ur Windows 7 – ett datum man kommunicerade lång tid i förväg. Trots det visar siffror att många fortsätta använda operativsystemet. Det riskerar att få allvarliga följder, skriver Tobias Helmer, marknadschef, på Dell Technologies Sverige.

Windows 7 har varit ett otroligt populärt operativsystem för små- och mellanstora företag i väldigt många år nu. Men när nu Microsoft slutligen meddelar att man helt skrotar supporten har det återigen blivit högaktuellt.

Varför, kan man kanske fråga sig. Windows 7 lanserades trots allt i en tid då Apple började sälja Iphone 3GS – och hur många telefoner har de anställda inte bytt ut sedan dess? IT-området är under ständig förändring, och ser man tillbaka på början av förra decenniet är det svårt att känna igen sig.

Med det sagt: Siffror från säkerhetsföretaget Kaspersky visar att 48 procent av alla små- och mellanstora företag fortfarande använder Windows XP och Windows 7 någonstans i sin verksamhet, trots att nyare versioner av Microsofts operativsystem sedan länge finns tillgängliga. Det är inte annat än dumdristigt – särskilt med tanke på dagens osäkra klimat med allt fler sofistikerade säkerhetshot, och med nätkriminella som är blixtsnabba på att utnyttja säkerhetshål.

AV-Test.org registrerade 67,7 miljoner nya malwares för Windows under 2018. Den siffran förväntas öka drastiskt framöver nu när Microsoft inte längre stödjer ett av sina mest framgångsrika operativsystem. Sett ur det perspektivet är det oförsvarbart att använda ett operativsystem som inte längre täpper till hot.

Att bortförklara sig är dessutom svårt. Trots att Microsoft satte en slutgiltig deadline för sin support till 14 januari 2020 har man faktiskt inte supportat Windows 7 sedan 2015, åtminstone inte på bred front.

För att minska risken att något allvarligt händer är det kritiskt att företag uppgraderar till aktuella Windows-versioner så snart som möjligt. Att företag som använder sig av operativsystem som inte längre stöds också utsätter sig för större risker är trots allt ett faktum. Här leker man med företagets ekonomiska resurser, med personalens uppgifter och med hela firmans förtroende. Ett intrång till följd av ett föråldrat operativsystem lär med all säkerhet slå mycket hårt.

På Dell Technologies förespråkar vi Windows 10. Det är ett transparant system med framför allt aktuella säkerhetsverktyg, och med betydligt bättre interaktionsmöjligheter med molnet. Windows 10 är också flexibelt nog att tillgodose den nya typen av arbetsmarknad som växer fram – där flexibilitet och anpassning ses som självklarheter.

Det börjar med andra ord bli dags att slänga ut det gamla och istället omfamna det nya. Vi verkar trots allt i en era av innovation och tillväxt. Och det är hög tid att alla inser detta – helst innan något riktigt allvarligt händer.

Tobias Helmer, marknadschef Dell Technologies Sverige

Utan IT – ingen ledning

| Kronika

Det svenska totalförsvaret måste ha relevanta IT-system!

Ett totalförsvar ska byggas upp i Sverige för att i första hand öka tröskeleffekten mot väpnat angrepp. Om Sverige trots detta angrips ska angreppet avvärjas med eller utan stöd från andra.

Begreppet totalförsvar kan förenklat sägas bestå av två delar:

  • det handlar om att förbereda oss för krig och
  • de civila och de militära delarna av samhället (civilt och militärt försvar) ska samordnas.

Nicklas Haglund, foto: Ulrica Hållén

Om totalförsvaret skall kunna ledas behöver aktörerna kunna kommunicera med varandra, utan att angriparen kan ta del av informationen eller störa verksamheten. För att leda moderna organisationer behövs IT-system som kan dokumentera, lagra och kommunicera information mellan olika aktörer. Alla delar av samhället leds i fred med hjälp av IT. Det indikerar att även i en krigssituation behövs fungerande IT, för att ledning skall kunna utövas på ett optimalt sätt.

För att skydda information bland annat i IT-system beslutade riksdagen så sent som i fjol, 2019, om en ny säkerhetsskyddslag. Enligt lagen delas skyddsvärd information in i fyra säkerhetsskyddsklasser: kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Grunden för indelningen är vilken skada för Sveriges säkerhet som ett röjande av informationen innebär. De olika säkerhetsskyddsklasserna innebär att all skyddsvärd information ska ges olika grader av skydd från intrång och manipulation. Kvalificerat hemlig information ges ett synnerligen gott skydd medan begränsat hemlig information kan ges ett enklare och mindre kvalificerat skydd. Det är varje verksamhetsutövares uppgift att bedöma om och hur verksamheten omfattas av säkerhetsskyddslagen.

De IT-system för det civila försvaret som hittills har studerats och införts tar bara höjd för att kunna hantera säkerhetsskyddsklassen begränsat hemlig. Säkerhetsskyddslagen anger att om begränsat hemlig information röjs innebär det endast ringa skada för Sveriges säkerhet. Därför kan informationen ges ett sämre skydd mot en angripares aktiviteter.

Frågan vi ställer oss är om detta är tillräckligt. För att besvara den behöver vi undersöka vilken typ av information aktörer inom det civila försvaret behöver kunna dokumentera, lagra och kommunicera i sina IT-system, både i planering inför höjd beredskap och under ett krig.

Anders Brännström, foto: Ulrika Hållén

För att totalförsvaret ska kunna avvärja angrepp av en kvalificerad motståndare och skydda befolkningen behöver IT-systemen bland annat kunna dokumentera, lagra och kommunicera

  • lägesbilder (där även svagheter behöver framgå),
  • rapporter och orienteringar (där även svagheter behöver framgå),
  • direktiv till underställda aktörer (där planer och intentioner behöver framgå) och
  • stöd till Försvarsmakten (där detaljer om var, när och hur behöver framgå).

Då är det enligt vår mening inte tillräckligt att informationen placeras i säkerhetsskyddsklassen begränsat hemlig. Vi menar att systemen behöver kunna skydda information upp till och med säkerhetsskyddsklassen hemlig. Säkerhetsskyddslagen föreskriver att röjandet av sådan information innebär en allvarlig skada för Sveriges säkerhet. Därför ska hemlig information ges ett betydligt bättre skydd än begränsat hemlig. Det är nödvändigt för att våra operationer och vår verksamhet inom totalförsvaret skall kunna bedrivas utan att störas av en kvalificerad angripare. Det är också viktigt för att svensk militär och civil personal inte skall dödas eller skadas i onödan.

Nu är det hög tid att förse även det civila försvaret med IT-system som kan hantera information upp till och med säkerhetsskyddsklassen hemlig. Det militära försvaret använder sedan många år sådana system.

Om vi inte tar det steget utan fortsätter att ta fram system som bara klarar av att hantera information upp till säkerhetsskyddsklassen begränsat hemlig kommer alltför stora risker att behöva tas.

I mikrosituationerna kommer brukarna att ställas inför ett val mellan två oacceptabla alternativ när de behöver hantera information som anges ovan – lägesbilder, rapporter, direktiv och stöd till Försvarsmakten – i system som bara är konstruerade för begränsat hemlig information.

Det ena alternativet är att bryta mot bestämmelserna och hantera hemlig information i system som bara är konstruerade för att hantera begränsat hemlig information. På det sättet är risken stor att informationen kommer att röjas. Därmed riskerar vår verksamhet att utsättas för allvarlig påverkan av angriparen. Svensk militär och civil personal kommer att utsättas för livsfara.

Det andra är att följa bestämmelserna och undvika att förmedla för mottagaren nödvändig hemlig information. På motsvarande sätt kan detta innebära att vår verksamhet äventyras och svenska personer därigenom utsätts för livsfara.

Vilket alternativ av de två som är det sämre överlåter vi åt läsaren att fundera över.

Vi förordar att staten skyndsamt ska se till att ingen ska behöva stå inför det val som beskrivs ovan. Personal i det svenska totalförsvaret behöver förses med relevanta IT-system för att kunna leda försvaret av Sverige och stödet till medborgarna under ett krig.

Teknik och kunskap finns i Sverige, operativ sedan många år bland annat inom Försvarsmakten. Inom det svenska näringslivet finns kunskap och erfarenhet för att stödja arbetet att förse även det civila försvaret med relevanta IT-system. Inget behöver uppfinnas! Beslutsunderlag finns redan, om man är intresserad att ta del av det.

Arbetet borde ha igångsatts för längre sedan. Nu är det hög tid att i uppbyggnaden av totalförsvaret också tillse att verksamheten kan ledas på ett relevant sätt.

Vi behöver göra något nu. I morgon kan det vara för sent!

Nicklas Haglund

Anders Brännström

Båda tillhörande företaget Basalt AB i Enköping och Stockholm

Vad är egentligen ett modernt säkerhetsarbete?

| Kronika

Säkerhetsbranschen slänger sig med ”buzz-words” som ska försäkra alla att vi vet vad vi pratar om. Vi träffas i forum, på mässor och event för att i olika grad skrämma upp varandra och potentiella kunder att cyberdomedagen är nära, och att vi sitter på lösningen. Lösningen på vaddå egentligen? 

Teckna din prenumeration på Aktuell Säkerhet här 

För ett bra tag sedan lyssnade jag på en föreläsare som pratade om det moderna säkerhetsarbetet kring cybersäkerhet. En sak som dröjt sig kvar likt en öronmask är att hen sade att ”det är dags att riva de digitala brandväggarna”. Nu tror jag inte på att ta bort brandväggar per se. Men uttalandet var en metafor, det var visionärt, det var något nytt.

Digital infrastruktur idag blir mer och mer segmenterad. Vissa verksamheter är dessutom på väg tillbaka till silo liknande strukturer. Min bestämda uppfattning är att detta i sig är en enorm risk långt värre än alternativen. Risken ligger i att man mycket sällan angriper själva strukturen utifrån. Vår digitala borg med skinande brandväggar, dess sårbarheten ligger i att dessa borgar sällan är skapta för människan utan för verksamheten. Men människan är verksamheten. Rent konkret så menar jag att vi låser in oss i enorma digitala fästningar, bakom säkerhetstekniska lösningar så till den grad att vi missar Akilleshälen som med överväldigande majoritet är grunden till det mesta som händer innanför murarna – människan. individen bli attackvektorn som kan göra en skadlig länk till ett inferno. Den mänskliga brandväggen ses aldrig eller sällan över. Individen blir akterseglad trots att den är den första frontlinjen i detta cyberkrig.

Så vad menade då föreläsaren jag inledningsvis nämnde? Jag väljer att tolka hens uttalande som visionärt i den meningen att verkligt proaktivt säkerhetsarbete á la 2020 måste inrikta sig till att börja göra annorlunda kring förmedlingen hur vi skall jobba med säkerhet. För att lämna den digitala medeltiden bakom oss så måste samtliga börja prata i termer kring hur vi gör de sociala plattformarna, länkarna, apparna, lösenorden allt som finns i vår digitala vardag till en säker vardag. Jobbet utgör i medel åtta timmar av vår tid, fritiden överstiger med 16 timmar. Detta trots att vi sover som bäst åtta av dem, många är uppkopplade även då. Vi måste fokusera på att riva det gamla tänket och de gamla strategierna som är baserade ofta på domedagskonsulter vilka är piskade att sälja timmar och produkter snarare än fylla verksamheters verkliga behov. Sällan eller aldrig funkar exkludering, segmentering eller utanförskap i den digitala era vi lever i. Förstå mig rätt, segmentering är behovsställt i vissa fall. Men sällan är de baserade på en objektiv och korrekt nulägesanalys eller konsekvensanalys. Segmentering är i många fall ett resultat av att någon beslutsfattare tror detta är lösningen på ett hot, att segmentering gör det lättare att göra rätt. Är det inte bättre att utföra en rotanalys och sen ändra det som möjliggjort felet? Och forskning visar ju just på att den omedvetne anställda är det enskilt största hotet, att människan i sig är det enskilt största hotet på internet. Så varför låter sig verksamheter övertygas av domedagskonsulter att segmentering, brandväggar och säkerhetstekniska lösningar är lösningen på den utmaningen?

Om vi alla skall umgås på den digitala slätten, om vi alla skall komma överens kring grundläggande förhållningssätt så måste vi förstå värdet av att leka ihop – what´s in it for me? För om generationerna som kommer, om de anställda du redan har inte förstår värdet av en sund säkerhetskultur kommer deras personliga behov gå före verksamhetens. Och då verksamheten är en del av verkligheten snarare än att den definierar den så kommer individens behov alltid vara i det främsta rummet om det digitala sociala livet har större pay off än verksamhetens. Verksamheten måste börja odla sina informationstillgångar – medarbetaren– på rätt sätt. Begränsar du, hindrar eller låser in kommer dina snabbt bli motarbetare. Du måste, likt en förälder, lära dem och stötta dem processuellt över tiden för att de skall bli medvetna, utvecklas och bli bättre. Ett barn mår inte bra av att styras av allt för många onödiga och tvingande regler.

Det är en farlig värld där ute, direkt skadlig. Den blir än mer skadlig om vi försöker avskärma oss ifrån den, hoten verkar bli fler och fler per sekund. Men du kommer skada dig förr eller senare, klicka på länkar eller att ditt lösenord bli läckt. Men tillfällena kommer bli färre med en medveten medarbetare, en som vet vad den skall göra nu och hur den skall bidra till ett progressivt säkerhetsarbete genom att förstå värdet av det. Om inte så kommer IoT inte stå för Internet of Things utan Internet of Threats.

Robert Willborg, Junglemap

Går det att beräkna nyttan med IT-säkerhet?

| Kronika

När jag arbetade som CIO tyckte jag en av de svåraste utmaningarna var att räkna hem investeringar i IT-säkerhet. Att mäta nytta är inte enkelt, helt enkelt. Men metoderna som används har blivit bättre och idag är det möjligt att väga fördelar mot kostnader och få fram en summa. Därmed kan vi förutspå hur kostnadseffektivt en insats kan förhindra intrång.

En bra början är att sätta siffror på vad ett intrång skulle kosta. Dessa kan sedan användas för att avgöra hur mycket en viss investering får kosta. När vi har de siffrorna på plats blir det mycket enklare för en säkerhetsansvarig att övertyga ledningen om att satsningen behövs.

Digitaliseringen har gjort att IT-säkerheten blivit ännu viktigare än tidigare, eftersom det nu finns mer data som är viktiga för företagen att spara. Ett intrång kan förutom kostnader även leda till ett skadat varumärke och problem med affärsrelationer. Samtidigt är hoten idag allt mer sofistikerade, bland annat beroende på att grupperna som ligger bakom intrången har gott om resurser i ryggen och är mer välorganiserade än tidigare.

För en lyckad investering krävs det enligt min erfarenhet två steg:

  • Steg ett är att göra en ordentlig genomgång av riskerna i fråga om IT-säkerhet. Att inte bedöma riskerna är i sig den största risken, vill jag påstå. Genomgången kan gärna utgå från de branschstandarder som finns på området, som till exempel den jag själv använt, ISO 27001 Security Framework. Denna går igenom 14 områden som var och en påverkar risken, bland annat säkerhetspolicy, regelefterlevnad, asset management samt leverantörskontakter. Med hjälp av standarden går det att bedöma var verksamheten behöver bli bättre. Andra bra utgångspunkter är National Institute of Standards Cybersecurity Framework och COBIT 5 For Information Security. Vilken som helst går bra så länge som standarden är begriplig för ledningen och den kan användas för att mäta våra framsteg.
  • Steg två är att utveckla och implementera en strategi och taktik för att minska riskerna. Strategin ska ha att göra med verksamhetens mål, till exempel undersöka kostnaderna för ett intrång och hur mycket risk verksamheten är beredd att tolerera, identifiera ”kronjuvelerna” och så vidare. Det här kan göras med ett öga på standarden, för att inte glömma bort riskabla områden som till exempel ofullständig kontroll eller brist på personal.

Säkerhetsansvariga kan med fördel tänka kreativt kring de verktyg och den teknik som finns tillgänglig. Det finns många i branschen som kan hjälpa till. Genom att använda de ovan nämnda standarderna går det att mäta var, när och hur förändringar i policy, investeringar, personal och så vidare kan ge förbättringar. Nästa steg är att gå igenom kostnaderna, målsättningar och tidsperspektiv för att minska riskerna på ett systematiskt sätt.

Den svåraste delen av beräkningen är att slå fast hur mycket riskerna minskat i kronor och ören. Här menar jag att det är mest värdefullt att utgå från erkänd branschresearch och best practice.

Att sätta siffror på riskerna

Ett verktyg jag kan rekommendera är rapporten Cost of a Data Breach från Ponemon Institute, beställd av IBM. Rapporten är offentlig och ger mycket information om vinster med investeringar i ökad säkerhet.

I 2019 års rapport sägs det bland annat att den genomsnittliga kostnaden för ett intrång var 3,92 miljoner dollar och den genomsnittliga kostnaden för en förlorad uppgift var 150 dollar. Rapporten ger extremt detaljerad information, till exempel:

  • Verksamheter som genomgick en större molnmigration under tiden för intrånget drabbades av ökade kostnader på ca 300 000 dollar
  • Systemkomplexitet ökade kostnaden för ett intrång med ca 290 000 dollar
  • Kryptering reducerade intrångets kostnader med i genomsnitt runt 360 000 dollar
  • Att genomföra omfattande tester av planen för att hantera incidenter kunde reducera kostnaden för ett intrång med ett genomsnitt av 1,23 miljoner dollar
  • Verksamheter som inte använder automation hade 95 % högre kostnader för intrång än verksamheter som fullt ut implementerat automatiserad säkerhet

Hur kan den här informationen användas? Som ett exempel så kan en verksamhet enligt beräkningen välja att investera 200 000 dollar för att införa kryptering av data, och reducerar då kostnaden för ett intrång med 360 000 dollar.

Rapporten från Ponemon ger också insikter för olika regioner och branscher, vilket gör det enklare att få relevant information för den specifika verksamheten. Siffrorna kan sedan användas för att skapa presentationer och diskutera med ledningen på ett sätt som de förstår. Genom att kunna ange totalkostnader och roi.

Det här är något som alla beslutsfattare i företag och andra verksamheter borde kräva som beslutsunderlag. Varför nöja sig med mindre?

Fred Streefland är chief security officer för norra och östra Europa på Palo Alto Networks

 

Smartare säkerhet i nollavbrottens tid

| Linda Kante

Richard Kullenberg, Sverigechef på Link11, tar en titt på hur riktade DDoS-attacker hotar dagliga tjänster vi förlitar oss på – och hur företag kan mildra och blockera dem.

Teckna din prenumeration på Aktuell Säkerhet här 

Richard Kullenberg, Link11

Vi lever i den ”smarta eran”: vi har smarta telefoner, smarta apparater, uppkopplade bilar, smarta hem, smarta fabriker, till och med smarta städer. Alla drivs de av och är beroende av realtidsuppkoppling. Ett allvarligt problem är att service- eller uppkopplingsavbrott på bara några få sekunder kan orsaka kostsamma förluster och rentav riskera liv. Så, vi lever också i nollavbrottens tid.

Vår ökande tillit till ständig uppkoppling ger också brottslingar fler möjligheter att skapa just avbrott och störningar. I oktober 2016 drabbades till exempel Internet-leverantören Dyn av den största DDoS-attacken dittills, genom botnätet Mirai IoT. Attacken resulterade i att stora delar av internet låg nere flera timmar, inklusive Twitter, Netflix, Reddit och CNN.

År 2017 förlamades nätverk och system på sjukhus över hela Storbritannien av WansCry, en global attack med utpressartrojaner, vilket ledde till att medicinska behandlingar avbröts och sjukhuspersonal fick ta till penna och papper. Det finns många exempel.

Botnät ger attackerna spridning

Ett viktigt fokus för cyberbrottslingar är att bygga botnät för att infektera enheter. Dessa botnät kan sedan aktiveras närhelst angriparen väljer och störa de infekterade enheternas normala drift och även påverka andra enheter, system och tjänster – som vi såg med attackerna från botnätet Mirai 2016.

Om till exempel en stad eller ett samhälle har tusentals smarta elmätare utplacerade, kan de alla tas över av ett botnät som attackerar andra nätverk och tjänster i samhället. Det sker redan: en färsk Trend Micro-rapport beskriver hur ryska hackare säljer modifierade smarta elmätare, som en konsekvens av den ryska lagstiftningen om att alla mätare ska vara uppkopplade. Firmware för dessa enheter ändras så de registrerar lägre elanvändning – det är också lätt för kriminella att addera skadlig programvara så mätarna läggs till i stora botnät som kan angripa onlinetjänster och nätverk. Brottslingarna kan dra in ytterligare pengar på samma botnät genom att hyra ut dem till andra som vill utföra attacker.

Smarta skydd mot DDoS-attacker

Så hur kan företag skydda sig? Eftersom de brukar ha komplexa nätverk som arbetar både lokalt och i molnet är det enbart molnbaserade skydd som kan ta hand om hela den IT-infrastruktur de är beroende av. Lokala lösningar kan inte skydda helheten.

Den effektivaste typen av DDoS-begränsning brukar kallas ”clean pipe”. Den är en extern, molnbaserad skyddstjänst som säkerställer att företagets eller myndighetens webbplats endast får ren, legitim IP-trafik. För att vara verkligt effektiv bör den också använda AI-teknik för att identifiera och filtrera bort all skadlig trafik, såväl de största DDoS-attackerna som nya, sofistikerade och komplexa attacker. Denna strategi bryter eventuella attacker innan de kan påverka kritiska tjänster. Överlag ser vi idag hur sådana automatiska system blir både allt vanliga och allt mer sofistikerade. Maskiner är – som bekant – betydligt effektivare än människor när det gäller att upptäcka avvikelser.

När den smarta eran mognar och antalet anslutna sensorer och enheter världen över fortsätter att spridas blir DDoS-attacker allt populärare, både för utpressning och som vapen. Cyberbrottslingar kan attackera enkelt och effektivt till låg kostnad – och tyvärr spelar den smarta eran dem rätt i händerna. Men genom att förstå hur DDoS-attacker genomförs och med rätt säkerhetsskydd kan organisationer se till att attackerna resulterar i nollavbrott.

Digitalisering ger bättre vård – men hur blir det med IT-säkerhet?

| Linda Kante

Gigantiska säkerhetsproblem väntar i takt med att vården digitaliseras. Det kräver ökat fokus på utbildning, säkra klientenheter, centrala lösningar och strategier, skriver Dynabooks Kenni Ramsell.

Sjukvården förväntas liksom de flesta andra branscher dra stor nytta av digitalisering under de närmaste åren. Enligt en undersökning från Market Research Future kommer marknaden för mobila lösningar till hälso- och sjukvården att växa med 25 procent per år de närmaste åren. Det ska innebär en marknad värd mer än en miljard kronor globalt under 2025.

Inom sjukvården har man redan erfarenhet av personal som jobbar på avstånd, med hjälp av mobila lösningar. Det finns undersökningar som visar på rejäla produktivitetsökningar för mobil personal, en undersökning i Storbritannien visar till exempel på en ökning på 40 procent.

Inte bara guld och gröna skogar

De flesta inblandade torde förstå potentialen för mobila lösningar inom sjukvården. Det gäller inte minst möjligheter till bättre åtkomst till data om patienter, vilket förhoppningsvis leder till smidigare processer och i slutändan till en bättre vård.

Men det finns så klart utmaningar också. En av de största är att ökad digitalisering och fler mobila lösningar kommer att leda till att mer data, till exempel om patienter, genereras och att risken för dataintrång ökar. Det är inte bara vårdorganisationer som riskerar att exponera vårddata, även försäkringsbolag och andra aktörer hanterar sådana.

Det här är inte bara ett integritetsproblem. Problemet är att många vårdorganisationer inte verkar ta hoten på allvar, eller inte har tid och energi att göra det. Enligt en undersökning som vi lät genomföra nyligen var det bara 18 procent av vårdorganisationerna som tillhandahöll utbildning om IT-säkerhet för sina anställda, och den allmänna känslan bland de respondenterna var att mer kunde göras. 12 procent tyckte att utfallet av utbildningarna var dåligt, bland annat för att de inte var obligatoriska.

Behovet av utbildning inom IT-säkerhet lär öka. Enligt Cisco ökar till exempel antalet cyberattacker med uppseendeväckande 350 procent per år generellt. Och det kommer att bli värre i takt med att nya tekniker som 5G och IoT blir allt mer populära.

Säkra enheterna

Det behövs inte bara utbildning. Det är viktigt att använda säkra klientenheter, till exempel bärbara datorer. Enheter kan till exempel säkras med hjälp av biometrisk inloggning, som fingeravtryck. Nästa steg är att använda klientenheter som inte lagrar några data, så kallade Mobile Zero Clients.

Det gäller helt enkelt att eliminera säkerhetshoten mot klientenheterna. För att lyckas med det krävs inte bara säkra klientenheter, utan även centraliserade lösningar för att övervaka och administrera dem, och för säker lagring. Med säker central lagring kan sjukvårdspersonal få tillgång till känsliga data mobilt, till exempel under hembesök, utan att data exponeras för attacker.

Det krävs insatser för att höja IT-säkerheten inom vården. Beslut måste fattas och strategier fastställas.

Bristande tillsyn av nödbelysning kan bli en dödsfälla

| Linda Kante

Föreningen Säkerhet genom Nödbelysning (FSN) har nyligen genomfört en förstudie om hur situationen ser ut i offentliga lokaler när det gäller nödbelysning. FSN har tittat på om den befintliga nödbelysningen fungerar och om fastighetsägarnas respektive myndigheternas tillsyn fungerar. Resultatet är nedslående, och allt för ofta är nödbelysningen ur funktion. Orsaken är att fastighetsägarna inte utför det underhåll som krävs och att myndigheterna inte utövar den lagstadgade tillsynen i tillräcklig omfattning.

Mikael Castanius

Nödbelysning är nödvändig i offentliga lokaler och på arbetsplatser för att göra det möjligt att snabbt utrymma människor när det uppstår brand, elavbrott, terrordåd eller likande. Krav på nödbelysning gäller i alla former av lokaler där barn och vuxna vistas, till exempel skolor, arbetsplatser, hotell, shoppingcenter, evenemangslokaler.

I förstudien som FSN genomförde upptäcktes bland annat hotell där nästan all nödbelysning var ur funktion, skolaula för 450 elever utan synlig hänvisningsarmatur, konsertlokal för 1400 besökare utan fungerande nödbelysning. Detta är enbart några exempel på den bristande kontrollen från fastighetsägarna, såväl som den ofta totala avsaknaden av tillsyn från de ansvariga myndigheterna. I nästan samtliga upptäckta fall skulle en plötslig brand riskera att drabba ett mycket stort antal människor.

Ronnie Bergdahl

Frågan om säkerheten i offentliga lokaler har periodvis debatterats flitigt. Inte minst efter den tragiska diskoteksolyckan i Göteborg, som visserligen till stor del berodde på blockerade utrymningsvägar. Vi är därför många som förletts till att tro att situationen idag är betydligt bättre. Att ansvariga myndigheter har kontroll och att de utför den tillsyn de är ålagda att genomföra. Sanningen är dock att situationen blivit successivt sämre under de år som gått.

Tillsynen av nöd- och hänvisningsbelysning i offentliga lokaler och andra fastigheter måste prioriteras av ansvariga myndigheter som Räddningstjänsten och Arbetsmiljöverket. Samtidigt måste krav ställas på landets samtliga fastighetsägare. Där har framför allt kommunen ett särskilt ansvar som största fastighetsägare av offentliga lokaler.

Ett par Riksdagsledamöter har nu insett allvaret i situationen och frågan kommer att behandlas av Riksdagen inom kort. Det är bra! Men, det är nu dags att även regeringen tar problemen på allvar och agerar. En första åtgärd för regeringen är att omedelbart tvinga ansvariga myndigheter att utföra sin tillsynsskyldighet av nödbelysning i samtliga offentliga lokaler, fastigheter och arbetsplatser. En andra åtgärd är att införa en årlig s k rapporteringsplikt avseende underhåll av nöd-och hänvisningsbelysning liknande den som idag finns för ventilationskontroll (OVK). Vi har väldigt svårt att förstå varför ventilation idag har högre prioritet än nödbelysning, speciellt eftersom det krävs så små investeringar för att säkerställa att enkelt skydd faktiskt fungerar – ett skydd som garanterar människors säkerhet.

Ingen av oss vill vakna upp en morgon till nyheten om en ny katastrof med oskyldiga offer, en katastrof som med enkla medel hade kunnat undvikas.

Mikael Castanius, vd                                  Ronnie Bergdahl, ordförande

Belysningsbranschen                                 Föreningen Säkerhet genom Nödbelysning (FSN)

 

Ett ledningssystem är ett ledningssystem är ett ledningssystem

| Linda Kante

Det finns ca 1 000 000 företag i Sverige (källa: Bolagsverket 2018-12-10). 95 av dem, om jag läst siffrorna rätt, har ett ISO 27000 certifikat – ett certifikat som garanterar att du har ett ledningssystem för informationssäkerhet enligt standard. I Europa finns långt fler företag och summan totalt för antalet certifikat just nu är lite mer än 31 000 (källa: The ISO Survey of Management System Standard Certifications 2018).

Men frågan är. Varför är antalet certifikathållare så lågt bland företagen? Och hur kan det vara så viktigt med certifiering om så få har det?

En möjlig förklaring

Jag är förespråkare av ordning och reda, ett systematiskt arbete med informationssäkerhet kräver systematik i processer och struktur. Ett ledningssystem kan mycket väl vara svaret på utmaningarna kring informationssäkerhet idag. Så vad missar man? Varför har då inte fler just ISO. Det är helt enkelt en dinosaurie på den digitala stäppen. Ramverket och standarderna är väldigt byråkratiskt formulerade. En certifieringsprocess tar dessutom tid. Den som läser igenom de kompendier med skallkrav, riktlinjer mm finner, om personen inte somnat efter första sidorna, att även om 27 000 har som ambition att fokusera på att göra säkerhet med individen i fokus så är verkligheten en helt annan. ISO är dokumentcentrerat, byråkratiskt och blir lätt en digital pappersprodukt. Detta är den bild jag fått under dessa massa år i branschen och de många kommentarer från de som anser sig veta, de som gått igenom processen och de som är mitt i det. Notera nu att jag ännu inte berört vad nyttan är, vad själva vinsten är. Det jag pratar om är hur det tas emot och anses – byråkratiskt och dokumentcentriskt.

Vad är nyttan då?

Många kan säga vad de vill nu. Men ett arbete med informationssäkerhet är i grunden 5 saker: Identifiera, skydda, upptäcka, agera och återställa (NIST). Det är enkelt summerat vad själva arbetet går ut på. Men vad som missas är varför och för vem. Inte ens ISO fokuserar på detta. Inte tydligt i alla fall. Ett ledningssystem är som en säkerhetsansvarig, en stödfunktion. Men här är skillnaden. Vi stödjer företagets huvudsyfte för sin existens – tjäna pengar på en produkt eller tjänst (väldigt förenklat). Den enskilt viktigaste tillgången ett företag har är sina anställda – individer. Alltså existerar så väl den ansvarige som ledningssystemet i huvudsak för dem. Utmaningen och fokus bör därför ligga på att kommunicera vad de vinner på att efterleva ett ramverk för ett ledningssystem, inte nödvändigtvis ha dokumentation enligt standard. Rätt logiskt när man tänker efter.

Jag kan garantera att trots att du kommunicerat ut både policy och ledningssystemets krav i organisationen, något som är ett krav enligt ISO 27000, så garanterar inte certifikatet att du gör säkerhet. Det garanterar inte ens att du har säkerhet. Certifikatet garanterar att en revisor funnit att du har en dokumentation av ditt ledningssystem som följer standard, inget mer.

Vidare är det anmärkningsvärt att MSB nyligen har deklarerat i relation till ledningssystem att man bör beakta ISO ramverk. BEAKTA. Vissa påstår att det i framtiden kommer bli ett skallkrav, att 27k är ett måste. Jag tror tvärtom. Beakta är en hänvisning vad det(ledningssystemet) kan se ut som. För alla verksamheter är unika och ett ramverk som upplevs som byråkratiskt och dokumentcentriskt kommer alltid få vika undan för verksamhetens existenssyften där säkerhetsspecialisten är en stödfunktion, ledningssystemet en hämmande process – en dinosaurie.

Så vad är det som det felar?

Om då ISO är något som ger 99% säkerhet (100% finns inte) och 100% dokumentation uppstår ett problem när konkurrenter har lika mycket säkerhet men 20% dokumentation. Oavsett rätt eller fel. Då är ju beslutet rätt uppenbart eller hur, om inget annat har ju historien visat på det. Klart det skall finnas dokumentation, och det finns det också. Men inte i den utsträckning som ISO kräver. Det är då det faller, det är då ISO blir ett byråkratiskt dokumentcentriskt ramverk som få har tid, lust eller ork med om det finns ett alternativ som levererar samma nivå av säkerhet men med mindre dokumentation som behöver kommuniceras ut.

Summerat

Jag vet att det hela låter extremt kritiskt mot just ISO. Vilket är något orättvist. Men, som jag skrev är jag i grunden för ett systematiskt arbete med säkerhetsfrågor och gärna i ett ramverk. Det borgar för just systematik. Men det får aldrig bli i absurdum. ISO är just det, ett byråkratiskt absurdum. Visst finns det mycket nyttigt i det, mycket är till och med bra. Men felet är att det inte kommuniceras ut i verksamheten och faller då på ett enkelt grepp – alla gör inte säkerhet. En annan punkt är att om process finns i verkligheten behöver inte alltid dokumenteras, ISO kräver detta. Låter det och ser ut som en anka så är det nog sjutton en anka. Jag behöver ingen dokumentation som även beskriver ankan. Dokumentationen blir bara ännu ett papper att kommunicera ut. Och byråkrati är svårt att kommunicera ut utan pedagogisk förmåga. Och ansvariga för ISO processen har inte tänkt på det, än mindre bemästrar de förmågan att kunna kommunicera ut mervärdet av ramverket – what´s in it for the people. Och får du inte med dig massan så är ramverket inget mer än ett byråkratiskt luftslott.

Robert Willborg, Junglemap

Säkerhetsfrågan underprioriterad i företagens digitalisering

| Kronika

Sverige halkar efter på många områden jämfört med andra länder i Europa när det gäller digitalisering. It-brotten mot företag ökar också konstateras i en nyligen publicerad rapport från MSB. En av orsakerna till detta är att företag fortfarande i alltför hög grad förlitar sig på lösenord som enda inloggning i sina system. I offentlig förvaltning är varianter på e-legitimation sedan länge det säkra sättet att logga in i verksamhetskritiska system. Privatpersoner har sedan länge kunnat använda BankID. Hos företag är det generellt lösenorden som regerar. Det är inte i närheten av tillräckligt skydd i en tid då angreppen ökar konstant och blivit allt mer sofistikerade

Nätfiske och annat lösenordsslarv är en av de vanligaste attackvägarna idag mot företag. Det blir samtidigt allt svårare att identifiera personerna som begår dessa brott, och var de befinner sig, vilket för med sig helt nya utmaningar.

En starkt bidragande orsak är just lösenordsanvändningen, som trots kända svagheter ändå är den vanligaste inloggningsmetoden på företag. Därför är tvåfaktorsautentisering en av de viktigaste och snabbaste säkerhetsinvesteringarna man kan göra som företag idag. Metoden innebär att det krävs minst två sätt att verifiera sig mot företagets system.

Den ökade digitaliseringen hos företag med satsningar på en ”digitalt först”-strategi i sin kontakt med omvärlden, innebär i hög grad att förtroendet för organisationerna hänger på hur bra de hanterar säkerhetsfrågorna. Förtroendekapitalet för ett varumärke kan gå från hundra till noll på mycket kort tid i samband en incident. Vissa branscher har här kommit längre, som bank- och finans, i att stärka sitt skydd. Generellt är medvetenheten högre inom känsliga branscher just för att man är väldigt medvetna om att man förvaltar ett förtroende, vilket är det som hela säkerhetsproblematiken kokar ner till.

Men informationssäkerhet är enligt vår erfarenhet i hög grad ett underinvesterat område, som borde prioriteras högre utifrån både det ökade antalet hot som betydelsen för varumärket. Parallellt vet vi också att företagen tyngs av ett ökat antal regulatoriska krav, såsom GDPR, NIS, Säkerhetsskyddslagen samt EU Cybersecurity Act. Regulatoriska krav har dock det goda med sig att det driver den här typen av frågor.

Det är också viktigt att komma ihåg att cyberattacker såsom överbelastningsattacker och nätfiske är globala hot. Enskilda organisationer kan inte längre ensamma skydda sig effektivt mot dessa. Skydd måste också införas på nationell och internationell nivå. För det är alltför tids- och resurskrävande, dyrt och osäkert när organisationer var och en försöker uppfinna hjulet och införa egna lösningar på gemensamma problem. Med andra ord – säkerhetsfrågorna borde inte vara ett enskilts företags konkurrensfaktor utan snarare en fråga fler tjänar på att samverka kring. Så sker redan i utsatta branscher som hälso-och sjukvård, bank och finans och i myndigheterna vilket visat sig framgångsrikt.

Vi måste helt enkelt samverka och koordinera aktiviteter tillsammans för att få bukt med problemen. Och en stor andel av problemen i samband med nätfiske skulle kunna lösas om tvåfaktorautentisering i någon form var standard för företag och organisationer. Då kan riskerna med kontokapning minskas väsentligt, som i sin tur innebär en väsentligt minskad risk att företagen ska förlora känsliga data vid ett intrång och därmed riskera att underminera sitt varumärke eller tappa värdefulla immateriella tillgångar.

Niklas Anderson, vd och grundare av SecMaker

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29