Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Studie: Cyberkriminella har god tid på sig att stjäla data

| Linda Kante

Åtta av tio nordiska företag vet hur en angripare har tagit sig in i den egna IT-miljön. Men en tredjedel (32 procent) vet däremot inte hur länge angriparen befunnit sig där. Det visar en ny studie. 

Teckna din prenumeration på Aktuell Säkerhet här 

Per Söderqvist, Sophos

Studien bekräftar svårigheten att upptäcka cyberintrång i tid samt risken att obehöriga har gott om tid på sig för att stjäla data, kontouppgifter och annan känslig information. Dock svarade sju av tio företag (71 procent) att IT-säkerhet tas på större allvar i dag än för två år sedan.

Studien har genomförts på uppdrag av IT-säkerhetsföretaget Sophos och totalt 328 IT- och IT-säkerhetsansvariga vid nordiska privata och offentliga organisationer med minst 150 anställda har medverkat.

– Den här studien bekräftar att många företag tyvärr är tvåa på bollen när det kommer till IT-säkerhet. Den visar också på vikten av att arbeta proaktivt och så långt det går stoppa attacken innan intrånget är ett faktum. Och om inkräktaren får tillgång till IT-miljön måste tiden mellan intrång och upptäckt kortas till ett minimum, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.

Nio av tio tillfrågade anger att det finns en policy för att kontrollera IT-säkerheten hos leverantörer. Samtidigt säger mer än var fjärde (27 procent) att den bara tillämpas på mindre leverantörer. Lika många säger att de bara har en policy för sina större leverantörer. Endast 36 procent säger att de har en policy för alla leverantörer – oavsett storlek.

​– En policy är i sig ingen garant för säkerheten. Däremot visar den på en medvetenhet om de risker som finns när företag kopplar samman system och delar information med leverantörer och partner. En angripare kommer alltid att söka efter den svagaste länken. Den här studien bekräftar att alltför många företag underskattar vikten av säkerhet i alla led, inklusive leverantörer och partner, säger Per Söderqvist.

Ny skadlig programvara utnyttjar 71 säkerhetshål

| Linda Kante

Palo Alto Networks har identifierat en ny skadlig programvara som verkligen skiljer ut sig från mängden. Programvaran utnyttjar inte mindre än 71 olika säkerhetshål, varav 13 inte tidigare använts för skadliga ändamål. Intrången kan därmed drabba en lång rad av olika tekniska apparater, främst inom IoT.

Teckna din prenumeration på Aktuell Säkerhet här 

Den skadliga programvaran är en variant av den sedan tidigare kända Mirai, som sedan i våras flera gånger återkommit i nya versioner. De säkerhetshål som den aktuella programvaran riktar in sig på är i vissa fall sådana som varit kända länge, som längst ända sedan 2003. Samtidigt inkluderas även säkerhetshål som är helt nya och rapporterades först för ett par veckor sedan.

Denna ovanliga kombination av nya och gamla säkerhetshot gör att Palo Alto Networks tror att programvaran riktar in sig på att angripa IoT-apparater, antingen genom intrång i äldre enheter som inte kan uppdateras längre eller genom att använda säkerhetshål som är så nya att många användare inte har uppdaterat programvaran och täppt igen hålet.

Går det att beräkna nyttan med IT-säkerhet?

| Kronika

När jag arbetade som CIO tyckte jag en av de svåraste utmaningarna var att räkna hem investeringar i IT-säkerhet. Att mäta nytta är inte enkelt, helt enkelt. Men metoderna som används har blivit bättre och idag är det möjligt att väga fördelar mot kostnader och få fram en summa. Därmed kan vi förutspå hur kostnadseffektivt en insats kan förhindra intrång.

En bra början är att sätta siffror på vad ett intrång skulle kosta. Dessa kan sedan användas för att avgöra hur mycket en viss investering får kosta. När vi har de siffrorna på plats blir det mycket enklare för en säkerhetsansvarig att övertyga ledningen om att satsningen behövs.

Digitaliseringen har gjort att IT-säkerheten blivit ännu viktigare än tidigare, eftersom det nu finns mer data som är viktiga för företagen att spara. Ett intrång kan förutom kostnader även leda till ett skadat varumärke och problem med affärsrelationer. Samtidigt är hoten idag allt mer sofistikerade, bland annat beroende på att grupperna som ligger bakom intrången har gott om resurser i ryggen och är mer välorganiserade än tidigare.

För en lyckad investering krävs det enligt min erfarenhet två steg:

  • Steg ett är att göra en ordentlig genomgång av riskerna i fråga om IT-säkerhet. Att inte bedöma riskerna är i sig den största risken, vill jag påstå. Genomgången kan gärna utgå från de branschstandarder som finns på området, som till exempel den jag själv använt, ISO 27001 Security Framework. Denna går igenom 14 områden som var och en påverkar risken, bland annat säkerhetspolicy, regelefterlevnad, asset management samt leverantörskontakter. Med hjälp av standarden går det att bedöma var verksamheten behöver bli bättre. Andra bra utgångspunkter är National Institute of Standards Cybersecurity Framework och COBIT 5 For Information Security. Vilken som helst går bra så länge som standarden är begriplig för ledningen och den kan användas för att mäta våra framsteg.
  • Steg två är att utveckla och implementera en strategi och taktik för att minska riskerna. Strategin ska ha att göra med verksamhetens mål, till exempel undersöka kostnaderna för ett intrång och hur mycket risk verksamheten är beredd att tolerera, identifiera ”kronjuvelerna” och så vidare. Det här kan göras med ett öga på standarden, för att inte glömma bort riskabla områden som till exempel ofullständig kontroll eller brist på personal.

Säkerhetsansvariga kan med fördel tänka kreativt kring de verktyg och den teknik som finns tillgänglig. Det finns många i branschen som kan hjälpa till. Genom att använda de ovan nämnda standarderna går det att mäta var, när och hur förändringar i policy, investeringar, personal och så vidare kan ge förbättringar. Nästa steg är att gå igenom kostnaderna, målsättningar och tidsperspektiv för att minska riskerna på ett systematiskt sätt.

Den svåraste delen av beräkningen är att slå fast hur mycket riskerna minskat i kronor och ören. Här menar jag att det är mest värdefullt att utgå från erkänd branschresearch och best practice.

Att sätta siffror på riskerna

Ett verktyg jag kan rekommendera är rapporten Cost of a Data Breach från Ponemon Institute, beställd av IBM. Rapporten är offentlig och ger mycket information om vinster med investeringar i ökad säkerhet.

I 2019 års rapport sägs det bland annat att den genomsnittliga kostnaden för ett intrång var 3,92 miljoner dollar och den genomsnittliga kostnaden för en förlorad uppgift var 150 dollar. Rapporten ger extremt detaljerad information, till exempel:

  • Verksamheter som genomgick en större molnmigration under tiden för intrånget drabbades av ökade kostnader på ca 300 000 dollar
  • Systemkomplexitet ökade kostnaden för ett intrång med ca 290 000 dollar
  • Kryptering reducerade intrångets kostnader med i genomsnitt runt 360 000 dollar
  • Att genomföra omfattande tester av planen för att hantera incidenter kunde reducera kostnaden för ett intrång med ett genomsnitt av 1,23 miljoner dollar
  • Verksamheter som inte använder automation hade 95 % högre kostnader för intrång än verksamheter som fullt ut implementerat automatiserad säkerhet

Hur kan den här informationen användas? Som ett exempel så kan en verksamhet enligt beräkningen välja att investera 200 000 dollar för att införa kryptering av data, och reducerar då kostnaden för ett intrång med 360 000 dollar.

Rapporten från Ponemon ger också insikter för olika regioner och branscher, vilket gör det enklare att få relevant information för den specifika verksamheten. Siffrorna kan sedan användas för att skapa presentationer och diskutera med ledningen på ett sätt som de förstår. Genom att kunna ange totalkostnader och roi.

Det här är något som alla beslutsfattare i företag och andra verksamheter borde kräva som beslutsunderlag. Varför nöja sig med mindre?

Fred Streefland är chief security officer för norra och östra Europa på Palo Alto Networks

 

Fico tipsar för hantering av cyberrisker hos tredje part

| Linda Kante

Under de senaste åren har flertalet stora dataintrång uppmärksammat – intrång som fått omfattande konsekvenser för de drabbade organisationerna. Detta har lett till allt större och mer omfattande satsningar inom IT-säkerhet, men många företag missar att täcka upp hela ekosystemet. Fico har satt samman fyra steg för hur cyberrisker hos tredjepartsaktörer bör hanteras.

Bakgrunden till fokus på tredjepartsaktörer är att attackerna blir allt mer sofistikerade och ofta kommer angreppen via en källa som företaget litar på. Därför har Fico nu formulerat fyra steg som kan hjälpa svenska företag att hantera cyberrisker hos tredje part, från leverantörer till partners.

Steg 1: Bygg ett ramverk för att kartlägga och kategorisera tredjepartsaktörer

Effektiv riskhantering i leveranskedjan kräver att man kartlägger och kategoriserar alla affärsrelationer och relaterade riskfaktorer. Ramverket beskriver vilken relation organisationen har till tredje part samt en genomgång av faktorer i tredjepartsorganisationen.

Steg 2 – Utveckla arbetsflöden för att hantera kopplingen mellan risk och påverkan

I det första steget handlar det om att bestämma kriterier för när ytterligare information behöver hämtas in för att bedöma en organisations cyberrisk. I detta steg för man samman en bedömning av cyberrisk med en bedömning av potentiell påverkan/genomslag, för att ha de två faktorerna sammankopplade när man utvecklar en strategi för att hantera aktören.

Steg 3 – kontinuerlig monitorering av viktiga leverantörer

Utifrån bedömningen av risk och potentiell påverkan, bör organisationen etablera rutiner för att kontinuerligt granska viktiga leverantörer regelbundet. Här kan exempelvis externa aktörers cybersäkerhetsbetyg vara ett värdefullt stöd.

Steg 4 – säkerställ rimlig risköverföring kopplad till försäkringsskydd

Genom att utvärdera risk och relevans/potentiell påverkan från tredje part, kan man urskilja de aktörer som kan göra att extra försäkringsskydd behövs. Därför är det viktigt att säkerställa att försäkringen täcker de risker som organisationen exponeras för. Cyberförsäkringar är en snabbväxande marknad och försäkringsbolagen utvärderar ständigt nya sätt att bedöma risk och premier för företagen.

Palo Alto Networks förutspår IT-säkerhetstrender 2020

| Linda Kante

Det här är de åtta saker som vi behöver hålla ögonen på, enligt Greg Day, säkerhetsansvarig i EMEA på Palo Alto Networks:

1. AI förenklar IT-säkerhetsarbetet
Den viktigaste trenden inom IT-säkerheten 2020 är artificiell intelligens (AI). Redan idag kan AI användas för att identifiera nya säkerhetshot och pågående intrång. Samtidigt som även hackers använder AI, till exempel för att hitta nya säkerhetsluckor. Båda sidor kommer fortsätta att utveckla sina förmågor, men under 2020 kommer AI dessutom underlätta det vardagliga arbetet med IT-säkerhet. Framför allt genom att AI nu kan automatisera de enkla och repetitiva uppgifter som ingen säkerhetsansvarig gillar att lägga tid på. SOAR är en sådan teknik, som redan existerar och som under 2020 blir allt vanligare på företagen.

2. Förfalskningar blir ett ännu värre problem
Idag förfalskas allt från identiteter till information. Såväl konsumenter som företag utsätts exempelvis för identitetsstölder, ofta för att få tillgång till deras nätverk. Det sprids allt oftare förfalskningar av video, ljud och andra digitala format. Medan det tidigare handlat om att skämta eller genomföra enklare bedrägerier blir motiven och metoderna nu allt mer komplicerade. Snart kommer alla verksamheter behöva ha någon slags skydd mot detta, inte minst för att undvika att det förtroende som krävs för samarbetet i verksamheter förstörs.

Läs även: Palo Alto Networks och Europol ska motverka cyberbrottslighet i Europa

3. Molnet specialiseras
Först fanns bara ”molnet”, sedan dök begrepp som ”hybridmoln” upp och idag är det ”multimoln” som gäller. I framtiden kommer vi se mer specialiserade moln. I hela Europa ser vi att virtuella gränser mellan data blir vanligare, till exempel genom kraven på att data stannar inom landet. Omsorg om personlig integritet är en pådrivande faktor och en annan är IoT, eftersom denna teknik utnyttjar datakraft i kanten av nätverket. Effekten av dessa utvecklingslinjer är att molnet specialiseras för att klara olika krav. Detta leder också till ökad komplexitet vilket gör att säkerheten blir svårare att hantera.

4. Säkerhetsansvariga lär sig DevOps
5G kommer leda till en explosion av data från IoT, och företag behöver använda agila metoder för att utnyttja detta. Något som många säkerhetsansvariga idag kämpar för att hantera. De kommer behöva lära sig hur säkerheten kan hanteras i den nya miljön, och under 2020 kommer de som inte redan behövt ta tag i frågan göra det. Därför kommer många säkerhetsansvariga gå tillbaka till skolbänken och lära sig om DevOps.

5. 5G implementeras långsammare än väntat, vilket gör det ännu viktigare att vara förberedd
5G finns än så länge i några få pilotinstallationer runt om i Europa. Nu sätter politiska beslut käppar i hjulet och 5G slår därför igenom ett eller två år senare än väntat. Trots detta verkar IoT och smarta hem fortsätta öka stort, men än så länge används de existerande 4G-nätverken. När väl 5G slår igenom finns det alltså mängder av 5G-förberedda produkter hos företag och konsumenter. Vilket innebär att alla dessa apparater kommer börja använda 5G samtidigt – något som innebär att säkerheten sätts på prov redan från början. Under 2020 inser många att det är en mycket bra idé att vara förberedd.

6. Fler styrelser och ledningar kan ställa rätt frågor om säkerheten
Allt fler i ledande ställning ställer smarta frågor till sina säkerhetsansvariga. De svar de får höra gör att de förstår hur stora riskerna faktiskt är. Delvis drivs dessa förändringar av nya lagar och regler, men mycket handlar också om att det för varje år är fler företagsledningar och styrelser som inser att säkerheten är en verksamhetskritisk uppgift.

7. Edge computing tar fart
Edge computing handlar om att låta första nivån av databearbetning ske i nätverkets kant, nära där datan skapas, istället för att skickas till molnet för bearbetning. Säkerheten kan bli en utmaning, inte minst eftersom nya funktioner och apparater alltid lockar de som försöker utnyttja de intrångsmöjligheter som uppstår. Dessutom handlar det här om en intressant måltavla, eftersom väldigt mycket data passerar och bearbetas samtidigt som den sannolikt inte har ett lika starkt skydd som i mer centrala delar av nätverket.

8. Allt svårare för en traditionell säkerhetsorganisation att hantera säkerheten
Digitaliseringen fortsätter i hög takt men samtidigt har processen för att ta hand om alla möjliga incidenter inte utvecklats i samma fart. Detta gör att det inte finns tillräckligt med personal för att hantera alla larm. Processerna för att ta hand om moderna intrång behöver därför utvecklas, för en traditionell säkerhetsorganisation räcker inte längre till.

FBI rekommenderar separata nätverk för IoT

| Linda Kante

FBI går  nu ut med en rekommendation att vi skapar separata nätverk för våra uppkopplade saker i hemmet, så som smart-tv, kylskåp, lampor och larm. På så sätt blir det svårare för skadlig kod att leta sig in i våra digitala liv. 

Teckna din prenumeration på Aktuell Säkerhet här 

Skadlig kod kan vandra genom enheter för att nå fram till en primär enhet. Exempelvis kan den angripa en uppkopplad högtalare och sedan färdas genom nätverket till en primär enhet, som mobiltelefon, platta eller dator.

Techworld skriver att andra säkerhetsråd från FBI är att byta ut förvalda lösenord, inte använda samma lösenord mer än en gång, installera uppdateringar så fort de kommer samt inte klicka OK på alla dialogrutor som dyker upp.

Digitalisering ger bättre vård – men hur blir det med IT-säkerhet?

| Linda Kante

Gigantiska säkerhetsproblem väntar i takt med att vården digitaliseras. Det kräver ökat fokus på utbildning, säkra klientenheter, centrala lösningar och strategier, skriver Dynabooks Kenni Ramsell.

Sjukvården förväntas liksom de flesta andra branscher dra stor nytta av digitalisering under de närmaste åren. Enligt en undersökning från Market Research Future kommer marknaden för mobila lösningar till hälso- och sjukvården att växa med 25 procent per år de närmaste åren. Det ska innebär en marknad värd mer än en miljard kronor globalt under 2025.

Inom sjukvården har man redan erfarenhet av personal som jobbar på avstånd, med hjälp av mobila lösningar. Det finns undersökningar som visar på rejäla produktivitetsökningar för mobil personal, en undersökning i Storbritannien visar till exempel på en ökning på 40 procent.

Inte bara guld och gröna skogar

De flesta inblandade torde förstå potentialen för mobila lösningar inom sjukvården. Det gäller inte minst möjligheter till bättre åtkomst till data om patienter, vilket förhoppningsvis leder till smidigare processer och i slutändan till en bättre vård.

Men det finns så klart utmaningar också. En av de största är att ökad digitalisering och fler mobila lösningar kommer att leda till att mer data, till exempel om patienter, genereras och att risken för dataintrång ökar. Det är inte bara vårdorganisationer som riskerar att exponera vårddata, även försäkringsbolag och andra aktörer hanterar sådana.

Det här är inte bara ett integritetsproblem. Problemet är att många vårdorganisationer inte verkar ta hoten på allvar, eller inte har tid och energi att göra det. Enligt en undersökning som vi lät genomföra nyligen var det bara 18 procent av vårdorganisationerna som tillhandahöll utbildning om IT-säkerhet för sina anställda, och den allmänna känslan bland de respondenterna var att mer kunde göras. 12 procent tyckte att utfallet av utbildningarna var dåligt, bland annat för att de inte var obligatoriska.

Behovet av utbildning inom IT-säkerhet lär öka. Enligt Cisco ökar till exempel antalet cyberattacker med uppseendeväckande 350 procent per år generellt. Och det kommer att bli värre i takt med att nya tekniker som 5G och IoT blir allt mer populära.

Säkra enheterna

Det behövs inte bara utbildning. Det är viktigt att använda säkra klientenheter, till exempel bärbara datorer. Enheter kan till exempel säkras med hjälp av biometrisk inloggning, som fingeravtryck. Nästa steg är att använda klientenheter som inte lagrar några data, så kallade Mobile Zero Clients.

Det gäller helt enkelt att eliminera säkerhetshoten mot klientenheterna. För att lyckas med det krävs inte bara säkra klientenheter, utan även centraliserade lösningar för att övervaka och administrera dem, och för säker lagring. Med säker central lagring kan sjukvårdspersonal få tillgång till känsliga data mobilt, till exempel under hembesök, utan att data exponeras för attacker.

Det krävs insatser för att höja IT-säkerheten inom vården. Beslut måste fattas och strategier fastställas.

Han blir ny varumärkesambassadör för Trend Micro

| Linda Kante

Den svenske tiokamparen Fredrik Samuelsson blir ny varumärkesambassadör och frontman för för Trend Micros kampanj ”Förberedelse är nyckeln till framgång” för att uppmana företag att förbereda sig för morgondagens säkerhetshot.

Teckna din prenumeration på Aktuell Säkerhet här 

Fredrik Samuelsson tävlar i världseliten inom tiokamp och har åtta SM-guld i ryggen. För att prestera sitt bästa samt undvika skador gäller det att förbereda sig väl, och kontinuerligt finjustera strategier efter utmaningar som ständigt förändras beroende på exempelvis dagsform eller mängd träningstid till nästa tävling. Denna typ av förberedelse är precis lika viktig för företags IT-säkerhetsarbete som för en elitidrottsman. Även företag måste fokusera på god förberedelse och anpassning efter förändrade förhållanden, för att minimera riskerna för intrång och cyberattacker.

– Med dagens allt mer uppkopplade samhälle, och ökande spridning av såväl person- som företagsdata, är detta ämne mer aktuellt än någonsin säger Johhny Krogsbøll, säkerhetsexpert på Trend Micro Sverige.

Kampanjen består av tio filmer som var och en kopplar ihop en gren i tiokamp med en rekommenderad förberedelse företag bör göra inom IT-säkerhet, för att vara förberedd på morgondagens säkerhetshot och säkerställa att de tryggt kan fokusera på affärsmålen.

– Vi är jättestolta att ha Fredrik Samuelsson som vår varumärkesambassadör och ansikte utåt för den här kampanjen. Med denna kampanj vill vi hjälpa företag att göra tio åtgärder som stärker deras IT-säkerhet, så de kan framtidssäkra verksamheten och inte riskera att tappa konkurrenskraft på grund av en cyberattack, säger Lena Clefberg, marknadschef för Trend Micro i Sverige och Finland/Baltikum.

Ny studie: GDPR påverkar såväl kundförtroende som datasäkerhet

| Linda Kante

En ny studie, i vilken 1000 CTO:er, CIO:er, IT-chefer och säkerhetschefer tillfrågades i Frankrike, Tyskland, Italien, Spanien och Storbritannien, undersökte hur europeiska företag har mött GDPR-kraven. Tre fjärdedelar (75 procent) av de tillfrågade menar att GDPR har haft en gynnsam påverkan på kundernas förtroende, och 73 procent hävdar att förordningen har förbättrat deras datasäkerhet.

Teckna din prenumeration på Aktuell Säkerhet här 

Men i studien, som genomfördes av OnePoint på uppdrag av Check Point, framgick även att två tredjedelar (60 procent) av respondenterna anser att deras verksamhet helt har antagit alla GDPR-åtgärder – bara 4 procent menar att de inte har påbörjat processen. När de tillfrågade blev ombedda att betygsätta sina resultat att hantera GDPR-kraven på en skala från 0 till 10 (där 0 är ”inte alls” och 10 är ”helt”) var den genomsnittliga poängen optimistiska 7,91.

– Undersökningen visar att många europeiska verksamheter har gjort betydande framsteg när det gäller att genomföra de åtgärder som krävs för att bli GDPR-kompatibla. Verksamheterna har investerat mycket och ser nu fördelar i form av ökat kundförtroende och förbättrad datasäkerhet. Samtidigt finns det fortfarande många företag som har mycket kvar att göra för att möta alla kraven, säger Fredrik Johansson, säkerhetsexpert hos Check Point i Sverige.

Hela rapporten finns att ta del av här.

Komplex IT-säkerhet hinder för DevOps

| Linda Kante

DevOps prioriteras mycket högre idag bland företag än för ett år sedan och att majoriteten redan har implementerat en DevOps-kultur men att bristen på kompetens och rätt verktyg står i vägen för utvecklingen. Det visar en ny undersökning från Trend Micro.

Teckna din prenumeration på Aktuell Säkerhet här 

Undersökningen genomfördes i juni i år av det oberoende undersökningsföretaget Vanson Bourne på uppdrag av Trend Micro, med syfte att bättre förstå DevOps-kulturen inom stora samt små och medelstora företag världen över.

Rapporten visar att 80 procent av företagen redan arbetar med eller är igång med att implementera DevOps, men 94 procent av respondenterna uppger att de har stött på säkerhetsrisker vid genomförandet av projekt. Trots detta uppger 34 procent att de inte alltid konsulterar IT-säkerhetsteamet vid implementering av nya projekt.

För Sverige ser det bättre ut än för de flesta andra länderna i undersökningen. 70 procent av de svenska IT-beslutsfattarna uppger att de alltid engagerar IT-säkerhetsteamet i DevOps-initiativ, men att säkerhetsteamet behöver involveras mycket mer (47 procent). Dock – för att kunna anamma en DevOps-kultur fullt ut menar varannan svensk respondent att man behöver anställa mer personal med rätt kompetens inom IT-säkerhet.

– För oss är det väldigt viktigt att förstå svenska företags utmaningar och behov för att kunna erbjuda dem rätt vägledning och säkerhetslösningar, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro.

– I Sverige är vi snabba att anamma nya arbetssätt och det finns stora fördelar med DevOps, framför allt om man vill kunna få ut maximal effekt av agila utvecklingsmetoder. Men om denna agilitet innebär risker för IT-säkerheten måste man se till att inkludera IT-säkerhetsteamet så tidigt som möjligt för att kunna säkra sina DevOps-aktiviteter och inte utsätta företaget för onödiga säkerhetsrisker.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29