”Åke på HR fick ett mejl med en länk i. Han klickade på länken, och nu är hela vårt it-system med 3000 klienter krypterat och oåtkomligt. Jäkla Åke!” Eller? Är det kanske it-avdelningen, eller kanske it-branschen som förtjänar en uppsträckning?
En ordning där it-hantverkare konstruerar it-system som är så pass sköra att en välvillig och godkänd användare i ett it-system kan skapa en stor katastrof genom att öppna en länk i ett mejl, måste vara föremål för förändring. Denna ordning kanske till och med borde underkännas.
Förmågan att tillföra och föra ut information är en riskfaktor i alla it-system. Den absoluta majoriteten av it-system på myndigheter och företag är av förklarliga skäl kopplade till Internet. Virus och hackerattacker är en del av vardagen och tiden att sitta och hålla tummarna att just du inte ska drabbas är sedan länge förbi. Stor tilltro sätts till anti-virus, brandväggar och komplicerade lösenordspolicys. Dessa funktioner krävs givetvis, men det räcker inte att fokusera på ett hårt yttre ”skal”. Ett system måste konstrueras för att vara säkert på djupet då även dyra och avancerade ”skal” går att penetrera. Det handlar om att implementera ”zero-trust” mellan applikationer inom ett system, införa krypterade och autentiserade nätverk, loggning, övervakning, låga behörigheter för användare och driften m.m. Syftet är att säkerställa att Åke inte kan sänka hela systemet med okunskap, utan möjligen bara hans egen arbetsstation.
Informationssäkerhet är en annan aspekt. Hur pass känsligt data vill du ha i ett system där användaren sitter i samma dator på sociala medier i ena stunden och arbetar med känslig eller hemlig information i nästa? Separation mellan det som är publikt och det som är känsligt eller hemligt är alltid att föredra. Beroende på riskaptit kan den separationen genomföras logiskt eller fysiskt.
För att hantera situationen i ett system som innehåller säkerhetsskyddsklassad information, och således inte har en öppen koppling mot Internet, behöver man tänka på aspekter som:
- USB-stickor och andra externa media – Vem får lägga information på externt media, och varför vill man det?
- Arbete hemifrån – Att använda samma nät hemma som barnen använder för online-spel, som många kan lösenordet till och där säkerhet och loggning är betydligt sämre är ingen bra idé. En mjukvarubaserad VPN-koppling ger kanske en falsk trygghet.
- Utskrifter – Vem får och varför?
- Registrator – Hur föra register på vad som skrivs ut, eller förs ut digitalt? Vem för bok på antal kopior av ett visst dokument?
- Behörighetssystem – Vem får läsa vad? Vem styr?
- Tydliga säkerhetsklassificerings- och hanteringspolicys – Gör det enkelt att göra rätt!
- Nya arbetssätt – Kanske det svåraste och mest resurskrävande. Om man hanterar känslig information i sitt arbete kan det vara aktuellt att förändra hur arbetet bedrivs och medarbetare kommer behöva acceptera att IT-stödet på arbetsplatsen hanteras på ett helt annat sätt än den privata datorn hemma.
En gedigen kartläggning runt informationssäkerhet, med tydliga regelverk, en anpassad kravnivå, all information inplacerad i informationssäkerhetsklass, regler för in- och utförsel m.m. är nödvändig att genomföra för att komma fram till vilka tekniska lösningar som krävs.
Med det regelverk som Säkerhetsskyddslagen stipulerar ska en säkerhetsanalys genomföras och för många verksamheter kommer det vara som att öppna Pandoras ask. Det kan kännas som att stå framför Mount Everest, men det gäller ta sig fram steg för steg och vara envis. Att göra allt i ett enda kliv är omöjligt.
Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund
![[Frukostseminarium] - Cybersäkerhet med LIVE penetrationstest och SIEM-demo](https://www.basalt.se/wp-content/uploads/2019/11/191001-basalt-1024x614-900x506.jpg)
Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?