Vad kan du göra när motståndarna är proffs?

Det jämna riksdagsvalet och de skenande elpriserna har nästan raderat cybersäkerhet från nyhetsflödet. Inte för att jag för ett ögonblick tror att den ljusskygga cyberverksamheten avtagit för det. Snarare tror jag den gynnas av att få agera i fred.


Bilden är genererad på ett par minuter med hjälp av DALL.E, ett AI-verktyg. Verktyg blir kraftfulla på många områden, inte bara de som används för cyberbrott. Vi behöver använda mer kraftfulla verktyg för att hinna med.

Det otäcka för oss som vill skydda oss är att motståndarna blir så mycket duktigare. Varje del i ett intrång kan skötas av en erfaren och högst kompetent individ. På it-avdelningen är situationen snarare den motsatta. Samma grupp människor tvingas hantera allt fler verktyg och allt fler regler.

Problemet stannar inte vid cybersäkerhet. Hela it-stacken blir allt mer svårhanterad i takt med logiska lager, komponenter och integrationer blir fler.

”Vi behöver använda mer kraftfulla verktyg för att hinna med”

Dessutom har det ena laget fria tyglar och är fokuserade på ett enda mål, medan det andra måste hålla sig till reglerna och sprida fokus och kompetens över hela sitt ansvarsområde. Det funkar inte. Vi måste ändra spelplanen.

Basalt jobbar hårt för att hjälpa till. Vi har en lång tradition av att säkra Sveriges mest skyddade it-system. Just nu går våra tankar på hur vi sätter den nya spelplanen i två spår:

  1. Vi startar ett forskningsprogram för att bli bättre på riskhantering.
  2. Vi lanserar en plattform som är ett privat moln, som ersätter ”lappa & laga”-tänket.

Nytt forskningsprogram för riskhantering


Gartner har undersökt vad styrelser frågar sin ledning om cyberhot. När man vänder frågorna till åtgärder, blir det tre kategorier; riskhantering, arbetsrutiner och verktygsstöd. Vi tycker de ramverk som finns för riskhantering är alldeles för generiska för att fungera för it-säkerhet och drar därför igång ett forskningsprogram på området.

Att adressera säkerhetsfrågor i en större organisation har jag själv upplevt bli nio-siffriga belopp, utan garanti för att problem faktiskt löses. Och grundorsakerna till att problem uppstod var det första som prioriterades bort. Det blev i praktiken för svårt och omöjligt att balansera med andra prioriteringar och budget. Alltför ofta stannar initiativ vid snabba och enkla åtgärder med kortsiktig effekt. Det är i min mening långt ifrån tillfredsställande. Vår ståndpunkt är att it-branschen behöver ta ett större ansvar för hur vi säkrar våra kunder system.

”Det är vi i branschen som gjort det för krångligt,
och vårt ansvar att fixa.”

Det är vi i branschen som gjort det för krångligt, och vårt ansvar att fixa. Vi måste kunna hjälpa till med prioriteringar och kvalitativa underlag för beslut. Basalt har, liksom alla bolag i cybersäkerhetsbranschen, ett samhällsansvar och det här är vårt sätt att dra ett strå till stacken för att göra it-världen säkrare, och lättare att hantera. Därför startar Basalt, tillsammans med Blekinge Tekniska Högskola, ett forskningsprogram för att bättre, snabbare och enklare förstå och hantera säkerhetsrisker.

Sluta lappa och laga!

När jag började på Basalt fick jag en chans att göra något åt att helheten i praktiken blir för komplex. Två decenniers erfarenhet av att lösa arkitektur-problem[1] kokar ner till principer som landar i vår backlog:

  • Enklare är bättre.
  • Nu är bättre än sen
  • Karta funkar, till skillnad från backspegel

Vår plattform tacklar de tre punkterna – något jag som sagt kämpat med i åratal. De adresserar centrala problemställningar som jag sett i princip på varje företag jag har varit på. Ju mer av de erfarenheterna jag kan hälla in i våra produkter, desto bättre.

Det är kartan, eller en helhetssyn på vad du behöver åstadkomma, som är nyckeln. Utan kartan blir enkelt ofta för enkelt, och kräver extra efterarbete – och då var det inte längre enkelt. Och utan kartan blir nu gärna fort men fel.

Vi som leverantör kan ändra spelplanen genom att ta ett större ansvar och bygga in det i våra produkter. Vi kan se till att det faktiskt blir enklare, att det går att fixa något nu och att vi kan förenkla din karta.

”En karta, eller en tydlig målbild, är central för att hunna prioritera risker – och cybersäkerhetsrisker i synnerhet, eftersom de ofta är knutna till dramatiska konsekvenser.”

Att därför ha en bottenplatta – en plattform – som eliminerar delar av problemet blir en förutsättning. Vi kanske talar i egen sak, men det hindrar inte att vår vision för plattformen är vettig, eller hur?


Vår plattform separerar driftsfunktionerna från verksamhetssystemen, vilket ger verksamheten full frihet att agera i sin bubbla, men på samma sätt som i publika moln kommer de inte åt ”bakplanet”. Eftersom bakplanet är 100% automatiserat och därmed fritt från mänsklig hantering är såväl risk som spårbarhet fundamentalt bättre.

Enkelhet är nyckeln

Ett annat sätt att lösa samma problem är att använda publika moln, och jag är en varm förespråkare av det angreppssättet. Molnet har varit en fantastisk räddare i nöden – ett Alexanderhugg rakt genom den gordiska it-stacken. Här kan man enkelt överlåta tekniskt krångel till leverantörer med fantastiska resurser. Principen är ju densamma: Ta bort en stor del av problemen från den egna organisationen. Ha en plattform i botten du inte behöver bry dig om och som du kan lita på är säker och fräsch. Över tid kommer dessutom allt fler lösningar som hjälper verksamheten att ”bo” i molnet. Den utveckling industrins jättar pekat ut gäller tills vidare.


Legenden säger att Alexander den store löste problemet med den Gordiska knuten med ett svärdshugg. Det kanske är ett lite dramatiskt sätt att beskriva it-säkerhet i existerande miljöer, men faktum kvarstår att vi ofta byggt på oss ett komplext sammanflätat system som byggdes med helt andra säkerhetskrav i åtanke. Vår plattform och molnet är två strukturellt lika sätt att hugga igenom existerande systempark och förbättra säkerheten.

”…men det blev ganska dyrt” reflekterar en före detta kollega till mig som nu är CIO på ett mindre bolag. Ibland finns det juridiska hinder, och allt kan man inte flytta på en gång. Informationshantering behöver ju inte vara lagreglerad genom säkerhetsskyddslagen, GDPR eller – för att ta ett aktuellt exempel – patientdatalagen, för att vara känslig. Även de största aktörerna i branschen har utmaningar med att förstå hur information kan utnyttjas och vad den leder till som till exempel sommarens stämningar mot Meta Group visat, där personlig, medicinsk information utnyttjats i vinstsyften till och med på tvären av bolagets egna etiska principer. Då har jag inte ens berört behovet av att skydda affärshemligheter eller att garantera integritet och spårbarhet i affärstransaktioner. Dessutom har du säkert dina egna viktigare skäl.

Tillsammans bakar vi sötebröd av dina surdegar!

Det som blir kvar ”hemma” är oftast det som är svårast att lösa, men det måste också vara omhändertaget och säkert.

Vi ser till exempel att i princip alla bolag har säkerhetsutmaningar i sitt utbyte av information med omgivningen, och att personal ägnar mycket tid åt att bygga egna strukturer, men i praktiken saknar medel för att utveckla det som byggts – ofta projektdrivet – för att hantera hotbilden över tid.

Även här hjälper vår plattform. Vår produkt är ett eget, säkert moln som snurrar i dina lokaler. Du har full koll och är fullt trygg. Hela din infrastrukturplatta kan du köra, expandera, segmentera och integrera i den takt du hinner, och ditt prioriterade verksamhetsstöd kan du flytta dit, till virtuella servrar som är så lika din nuvarande miljö det bara går. Vi tar hand om hur det funkar.

”Komplexitet är, och ska vara, vår sak att hantera.”

Det är det jag menar med att vi tar ansvar för att göra verkligheten väsentligt enklare. Det handlar inte om hemma eller molnet. För de allra flesta gäller både och. Oavsett om du lägger din affär i molnet eller lokalt, ska din information vara skyddad och du ska kunna vara säker på att du håller dig till reglerna i din organisation. Det är därför vi bygger vår plattform. Och vi fortsätter att utveckla den med nya funktioner på de områden vi bedömer vara viktigast för allas vår it-trygghet, och med ständigt högre mål för hur enkelt och automatiskt allt ska fungera.

Tänker vi likadant?


Vi har talat mycket om att säkerhet inte bara består av att har lösningar för att möta hot. Det kräver också rutiner och arbetssätt som säkerställer att man vet vilka problem man löser. Men det behövs ytterligare en del: medveten riskhantering. När du kvantifierar de risker du tar, har du ett sätt att sätta ett mål, vilket i sin tur gör det möjligt att förstå vad som behöver prioriteras för att nå målet. Men riskbedömning är svårt, så många hoppar över det och prioriterar på känsla. Resultatet blev att man – utan att egentligen vilja det – driver plakatpolitik på säkerhetsområdet.

Vill du vara med på resan och påverka vår utveckling? Hör av dig till mig! Jag tycker det är fantastiskt viktigt att vår basplatta löser våra viktigaste gemensamma säkerhetsbehov. Vi har börjat med plattformen och att säkra upp den. Vi fortsätter med riskhantering som jag nämnt ovan. Planen just nu är att nästa steg blir informationsutbyte in och ut ur plattformen – eller varför inte dina prioriteringar?

Att göra cybersäkerhet lättare är att göra it lättare, det är vårt kall och vår plikt. Vi tar, nu som förr, steget vidare; från att städa efter att saker har hänt till att ligga steget före.

[1] Fördjupning och mer finns här

skarmavbild-2022-02-28-kl.-17.08.39

Författare

Marknadens säkraste it-plattform

Craton

Craton uppfyller de högsta kvalitets- och säkerhetskraven på marknaden och klarar till och med militära krav för hemligstämplad information – utan att krångla till driften. Läs mer i vårt produktblad.