Bygga säkra it-system på riktigt! Del 11: Försvarbara it-system

DS2_4427

Vad är försvarbara it-system? För att svara på den frågan så måste vi börja med vad just it-säkerhet är? En kort och enkel fråga som kräver ett längre svar. Basalts svar på denna fråga är kortfattat ”kunskap och kontroll”. För att kunna hålla en god it-säkerhetsförmåga så måste kunskapen om it-miljöer, olika hot och hur olika it-system interagerar med varandra vara hög. Varje företag och myndighet bör ha full kunskap om hur deras it-miljöer med tillhörande informationsflöden. 

Men endast kunskap räcker inte. För att upprätthålla en riktig it-säkerhetsförmåga krävs även kontroll. Ni behöver ha full kontroll över vad som händer i era it-miljöer. Hur information flödar in och ut i era system samt hur information bearbetas. För att kunna ha kontroll över era it-miljöer krävs kontroll över hela försörjningskedjan. Från utveckling av era it-system till drift och underhåll vidare till avveckling.  

Genomförs inte utveckling på ett korrekt sätt så uppstår omfattande risker vilket vi alla såg konsekvenserna av i it-attacken mot Solarwinds och deras kunder (https://www.solarwinds.com/securityadvisory). En säker utveckling är fundamentet som all annan säkerhet står på. 

För att uppnå kontroll över hela kedjan krävs automation. Att i så stor omfattning som möjligt endast exekvera kodade uppgifter via systemrobotar, vilka alltid genomför uppgiften på exakt samma sätt, bygger bort stora delar av en av våra största risker. Den mänskliga faktorn. 

Det är där kunskapen och kontrollen finns som it-system på allvar börjar bli möjliga att försvara aktivt. Det är först då vi kan upptäcka attacker av olika slag i ett tidigt skede och hantera och agera på säkerhetsincidenter på ett lämpligt sätt. Attacker kan då inte bara avvärjas utan även analyseras för att på så sätt få vetskap om vem som genomför olika attacker och vad deras mål med attacken är. Ett aktivt försvar av era it-miljöer gör att ni har möjligheten att ligga steget före era angripare. 

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund
Del 9: Data in och data ut, det är där det händer
Del 10: Förvaltningsstrategi och evolutionär IT-säkerhet

Skärmavbild 2023-02-03 kl. 10.25.40

Skribent

  • Nicklas är Basalts grundare och VD, med en bakgrund som teknisk konsult och projektledare inom systemintegration, it-säkerhet och it-arkitektur. Idag ligger hans fokus på att driva företagets utveckling framåt genom strategiskt ledarskap, affärsutveckling och fortsatt arbete för att leverera skydd och utveckling till samhällsviktig verksamhet. Med ett starkt intresse för teknik och säkerhet i botten kombinerar Nicklas lojalitet och pliktkänsla med teknisk förståelse, något som präglar både Basalts kultur och erbjudande.

    • More news

    Alla nyheter
    Ny cybersäkerhetslag_artikel

    Ett steg närmare en ny cybersäkerhetslag

    AI-förordningen Svensk anpassning

    Förslag på anpassningar av svensk rätt till EU:s AI-förordning