Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram

torsdag 18 mars 2021

Creative concept of code skull illustration and modern desktop with computer on background. Hacking and phishing concept. Multiexposure

Hur ser motståndaren ut? Vem är fienden och hur motiverad och långsiktig är han? Den sammantagna hotbilden mot samhällets viktiga funktioner förvärras år för år, och digitaliseringen av våra företag och institutioner, ökar komplexitet och sårbarhet. Hur ska man som CIO, CSO, CISO eller liknande funktion hantera denna eskalerande problembild?

Ett svar på den frågan, och det sätt som Basalt har valt att tackla denna verklighet som leverantör av säker infrastruktur och säkra IT-system, är att implementera ett robust och transparent IT-säkerhetsprogram. Arbetet inom IT-säkerhetsprogrammet har definierat vår motståndare som en betrodd användare i systemet med hög motivation, stora resurser och lång tidshorisont. Vidare har vi alltid en ”assume breach”-mentalitet, alltså, vi är konstant under attack, och att den pågår antagligen just nu.

Basalts IT-säkerhetsprogram gör en initial analys tillsammans med våra kunder där vi tillsammans reder ut hur fienden ser ut, vad han vill och vilken nivå av motivation han kan tänkas ha. Beroende på vad systemet ska bära för data så kan man komma fram till olika svar. Är det finansiella transaktioner, pengar, sjukjournaler, brister i vital infrastruktur eller säkerhetsskyddsklassad information blir ofta bedömningen att motståndaren är högt motiverad. När denna första analys är klar vidtar arbetet för IT-säkerhetsarkitekterna. Analys av möjliga attackvektorer, svagheter i IT-systemet, svagheter i person-dator-gränssnittet, lokaler, driftpersonal etc.

Osäker IT med ökade cyberintrång

När detta är gjort och vi har en bild av hur fienden ser ut, grad av motivation, vi vet vilket data som måste skyddas och vi vet hur svagheterna ser ut kan vi börja bygga motstånd. Alla resultat dokumenteras som krav, åtgärder kopplas till dessa krav liksom vilka tester och verifieringar som genomförs. I slutändan får våra kunder en väldigt tydlig beskrivning av vad vi sett och vad vi gjort. Kanske ännu viktigare är att kunder ser vad vi inte har sett, och därmed inte gjort. Vidare levererar Basalts IT-säkerhetsprogram en rest-risklista med hot som av olika anledningar inte kan byggas bort eller har prioriterats ner, vilket utgör ett beslutsunderlag för verksamheten som ska använda systemet, och naturligtvis för den/de som har till uppgift att bedöma huruvida säkerheten är tillräcklig.

I IT-branschen är det väldigt vanligt att den här processen präglas av ”security by obscurity”, eller egentligen ”vi skriver inget om det så kommer ingen att fatta att det är dåligt”. Den inställningen har lett till att vi idag har en mycket stor mängd IT-system som ”är säkra som sjutton” men i verkligheten läcker som såll. Det vill Basalt vara en del i att åtgärda genom att våga vara ärliga mot kunder och medarbetare och leva under devisen ”vi är under attack nu och hela tiden”

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans

Basalts IT-säkerhetsprogram är konstruerat av hundratals manår av erfarenhet av utveckling, leverans, förvaltning och drift av IT-system. Det är ur erfarenheter dragna av leveranser till kunder som på allvar granskar säkerheten, hot, agenter, sårbarheter, värdet av information och vilka åtgärder som har vidtagits, som en formaliserad process har växt fram. Det finns säkerligen många varianter på denna process, och ett av Basalts mål med ett IT-säkerhetsprogram är full transparens. På riktigt.

Skribent

Nicklas Haglund
VD
nicklas.haglund@basalt.se

Nicklas är grundare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, it-säkerhet, it-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och it-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram

Skribent

More news