Bygga säkra it-system på riktigt! Del 5: Assume breach och it-säkerhetsprogram

Creative concept of code skull illustration and modern desktop with computer on background. Hacking and phishing concept. Multiexposure

Hur ser motståndaren ut? Vem är fienden och hur motiverad och långsiktig är han? Den sammantagna hotbilden mot samhällets bärande funktioner förvärras år för år, och i takt med att digitaliseringen av våra företag och institutioner fortgår, ökar komplexitet och sårbarheten. Hur ska man som CIO, CSO, CISO eller liknande funktion hantera denna eskalerande problembild?

Som leverantör av säker infrastruktur och säkra it-system har Basalt valt att svara på den frågan genom att implementera ett robust och transparent it-säkerhetsprogram. Arbetet inom it-säkerhetsprogrammet definierar vår motståndare som en betrodd användare med behörighet i systemet. En fiktiv person med hög motivation, stora resurser och lång tidshorisont. Vidare har vi anammat en ”assume breach”-mentalitet, där vi förutsätter att vi konstant är under attack och att detta pågår hela tiden.

Basalts kan med stöd av vårt it-säkerhetsprogram genomföra en initial analys tillsammans med våra kunder där vi tillsammans reder ut hur fienden ser ut, vad han vill och vilken nivå av motivation han kan tänkas ha. Beroende på vad systemet ska bära för information så kan man komma fram till olika svar. Är det finansiella transaktioner, pengar, sjukjournaler, beskrivningar av vital infrastruktur eller säkerhetsskyddsklassad information landar bedömningen i att motståndaren är högt motiverad. När den första analys är klar vidtar arbetet med förstudier för it-säkerhetsarkitekterna. Där ingår analys av möjliga attackvektorer, svagheter i it-systemet, svagheter i person-dator-gränssnittet, lokaler, driftpersonal etcetera.

Osäker IT med ökade cyberintrång

Alla resultat dokumenteras som krav, åtgärder kopplas till dessa krav liksom vilka tester och verifieringar som ska genomföras. I slutändan får våra kunder en tydlig beskrivning av vad vi identifierat och vad vi kommer genomföra. Kanske ännu viktigare är att kunden ser vad vi inte har identifierat, och därmed inte kommer genomföra.

Vidare levererar Basalt en restrisklista med hot som av olika anledningar inte kan byggas bort eller har prioriterats ner. Vilket utgör ett beslutsunderlag för verksamheten som ska använda systemet, och naturligtvis för den/de som har till uppgift att bedöma huruvida säkerheten är tillräcklig.

När vi har en bild av hur fienden ser ut, vilken grad av motivation han har samt vet vilket data som måste skyddas och vilka svagheter som finns kan vi börja konfigurera den tröskeleffekt som krävs.

I it-branschen är det väldigt vanligt att den här processen präglas av ”security by obscurity”, eller ”vi skriver inget om det så kommer ingen att fatta att risken finns”. Den inställningen har lett till att vi idag har en mycket stor mängd it-system som ”är säkra som sjutton” men i verkligheten läcker som såll. Detta beteende vill Basalt vara en del i att åtgärda genom att våga vara ärliga mot kunder och medarbetare och leva under devisen ”vi är under attack nu och hela tiden”.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans

Skärmavbild 2023-02-03 kl. 10.25.40

Skribent

  • Nicklas är grundare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, it-säkerhet, it-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och it-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.

    • Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?

    För att möta upp frågor och diskussioner på temat, och bjuda på egna viktiga erfarenheter från området, har vi tagit fram en seminarieserie om säkerhetsskydd i digitala system.

    Läs mer om seminariet och anmäl dig här.

    More news

    Alla nyheter
    [Frukostseminarium] - Cybersäkerhet med LIVE penetrationstest och SIEM-demo

    Bygga säkra it-system på riktigt! Del 9: Data in och data ut, det är där det händer

    Basalt erbjuder stöd med att förbättra krisledningsorganisation och ledning av staber

    Bygga säkra it-system på riktigt! Del 8: Användartjänster på en säker grund