”Kan själv” leder dig rakt in i väggen

Nyhet , Systematiskt säkerhetsarbete , Teknisk systemintegration , Verksamhetsskydd
söndag 1 januari 2023

”Kan själv” är, och har alltid varit, praxis för hur vi bygger IT-säkerhet. Hotet har dock förändrats. Rejält. När vi ”kan själva” kör vi slut på vår nyckelresurs – människor.

Proffsen behöver inte mörk kostym
– bara virtuellt mörker

Hotbilden [1] som målas upp av myndigheter i Europa, eller för den delen av amerikanska bolag är inte direkt rolig. Efter min första månad på Basalt kan jag – lite förenklat – sammanfatta hotbilden så här:

Glöm hackers. Jojo, de finns där, men de är tyvärr inte det stora hotet. Små privata aktörer utan agenda har försumbart med kapacitet jämfört med de stora hoten. SVT:s skrämselprogram ”Hackad” missar till exempel hotbilden fullständigt.
Kriminella organisationer låser information eller hotar att sprida den med stora konsekvenser för det drabbade bolagets varumärke eller informationsägarens trovärdighet – så stora att kostnaden för att betala blir långt lägre, vilket dessutom stärker finansieringen av de aktörer som agerar så här. Att statliga aktörer ser hur känsligt vårt samhälle är för dessa attacker gör inte direkt saken bättre eller mindre intressant för dem heller.
Statligt organiserade cyberintrång är en välfinansierad verksamhet med välutbildad personal, som är ute efter att stjäla stats- eller industrihemligheter. Om de lyckas, sopar de igen spåren efter sig och vi har aldrig märkt att de var där. Vilka de är? Detta är ganska väl dokumenterat i den hotbild som beskrivs i officiella källor. Men det spelar väl egentligen inte så stor roll? Vi vill ju inte ha dem i våra system, och det vi behöver göra, måste vi göra oavsett varifrån attacken kommer.

De som vill komma åt dina system är kort sagt fokuserade, professionella, kunniga och välfinansierade. De har sina egna nätverk av specialister. Hur ska din säkerhetsavdelning klara av att hålla dem ute?

Skicka din Dobermann rakt in i vargflocken

Det tråkiga är att så många organisationer säger ”vi gör tillräckligt.” Eller ”vår säkerhetsavdelning är fantastiskt proffsig.” Visst, så är det säkert. Jag har ingen anledning att betvivla det. Tvärtom! Jag har stor respekt för alla de duktiga tekniker som sitter där ute och jobbar hårt för att hålla våra system skyddade. Men för mig handlar det inte om kompetensen hos individerna. För oavsett hur tränad min Dobermann är, skulle jag inte skicka in den för att slåss mot en vargflock.

Sluta plöja åkern för hand

Vi är i ett läge där vi måste inse att när motståndet är automatiserat och organiserat, kan vi inte förlita oss på manuellt hantverk. Att vara utbildad på det senaste, att hinna se till att existerande verktyg hålls aktuella, att komma till en lösning snabbare än angriparna och att dessutom lösa verksamhetens normala behov, blir rimligen för mycket. Det finns en gräns för hur länge det fungerar.
Att hålla säkerheten uppdaterad är en utmaning redan på det tekniska planet, med en rörlig hotbild. Att vi använder kortsiktiga sätt att säkra att vi har tillräckliga resurser gör inte saken bättre, för vem känner inte igen sig i den här beskrivningen?

Inom IT-säkerhet har vi nått vägs ände. Vi har väldigt namnkunniga och stora kunder som har försökt att skapa heltäckande lösningar för att säkra sina system, men när lösningarna verkligen blivit granskade har man konstaterat att de antingen inte räcker till, att man inte orkar göra klart, eller att uppgiften helt enkelt är för komplex. Då har man gett upp och vänt sig till Basalt i stället – men det är en helt annan story.

Precis som de som vill åt vår information specialiserar sig och hjälper varandra med att komma åt våra system, menar jag att vi behöver samma grad av specialisering. Intern-IT behöver ha tiden att vara specialister på de egna affärsbehoven, medan saker som säkerhet, där behoven är någorlunda fördefinerade, bör hanteras av specialister.

Tänk utanför boxen

Basalt har byggt en färdigpaketerad och förvaltad driftsmiljö med de viktigaste komponenterna för affärsapplikationer att köra i. Script, automatiserade tester och automatiserad dokumentation gör att vi alltid kan ha en 100% uppdaterad, dokumenterad och ”tilltäppt” miljö rullande. Det blir ungefär som att köra en molnlösning, alltså alltid uppdaterad där någon annan – alltså Basalt i det här fallet – ser till att allt står rätt till, men på ditt eget nätverk, och utan att någon utländsk ”säkerhetsmyndighet” har rätt att läsa i den.

Min egen ”box” då?

För mig var det patos som finns på Basalt en starkt bidragande orsak till att jag tackade ja till mitt nya jobb. Viljan att gå till botten med problemet och att verkligen ge något tillbaka till samhället är en del av företagskulturen. Att göra ”rätt saker” har alltid varit viktigt för mig.

Det är inte utan en viss stolthet jag nu axlar rollen att driva Basalts produktstrategi, vidareutveckla produkten och paketera vår kunskap. Vi vill göra varje företag till superproffs på säkra IT-miljöer. Självklart innebär ”köp färdigt” vissa begränsningar.

De komponenter som finns i lådan är de komponenter som finns – inga andra. Men ur ett användarperspektiv spelar det ingen roll. Det är Basalts låda och Basalt håller den i prima skick. Du behöver – precis som när du köper en molntjänst – inte ansvara för att hålla egen kompetens kring innehållet eller att förvalta driftsmiljön.

Det här är bara starten!

Jag ser det som en personlig utmaning att göra livet enklare för varje IT-avdelning. Jag hade samma mål när jag jobbade som chefsarkitekt. Enkelhet är nyckeln till såväl förståelse av hur IT-problem kan lösas, som direkta kostnader. Bolag som Basalt, som har djup specialistkunskap, kan omvandla kunskapen i organisationen till något som underlättar för var och en av oss. Produktpaketeringen är en bra start och ett viktigt steg som vi hoppas kan hjälpa många bolag som idag har infrastruktur de behöver drifta ”hemma”. Här har vi en miljö som levererar, och vi skruvar in den hos så många kunder vi hinner.

Men vi får inte stanna här. Vi behöver vara proaktiva, vi behöver kunna identifiera hot innan dessa når fler företag – och helst innan de når ett enda. AI spelar en allt viktigare roll här och kommer fortsätta att göra det. Vi behöver jobba vidare på vad som gör ett system säkert. Tänk om du hade en virtuell CISO som kunde hjälpa din egen personal, som alltid var påläst på det senaste och kom med en komplett verktygslåda av driftslösningar för dina verksamhetssystem. Det är det jag ser att vi kan göra.

Vi har en bra heltäckande bild i svensk lagstiftning, som KSF [2], men vi behöver samla branschen och nå längre. KSF är ett gediget tänk i Sverige på hur vi säkerställer att vi har en ständigt komplett bild av hur våra nät fångar allt elakt. När regelverken blir så specifika, kan vi tolka dem och bygga in dem i system. Men vi kan bättre. Vi som är i branschen måste kunna samarbeta, dela med sig av vår bästa kunskap för att hålla de mörka krafterna ute.

Det är till toppen av pilen du ska för att faktiskt vara säker. Punktinsatser på tekniksidan är och förblir punktinsatser. Ramverk för säkerhet hjälper dig att säkerställa att du får rätt saker gjorda. Man vill ju undvika överlapp som driver kostnader och risk för fel. Som i så många andra lägen är det först när helheten ”sitter” som du uppnår önskat resultat. Det gäller att både göra rätt saker och att göra saker rätt!

[1] Referenser till hotbild

[2] Referens till KSF:

Krav på godkända säkerhetsfunktioner, version 3.1

Skribent

Michael Buczek
Produktstrateg

Kontakta mig

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning