Bygga säkra IT-system på riktigt! Del 9: Data in och data ut, det är där det händer

191001_basalt-1024x614

Åke på HR fick ett mail med en länk i. Han klickade på länken, och nu är hela vårt IT-system med 3000 klienter krypterat och oåtkomligt. Jäkla Åke!” Eller? Är det kanske IT-avdelningen, eller kanske IT-branschen som förtjänar en uppsträckning? En ordning där IT-hantverkare konstruerar IT-system som är så pass sköra att en välvillig och godkänd användare i ett IT-system kan skapa en stor katastrof genom att öppna en länk i ett mail, måste vara föremål för förändring. Det kanske till och med borde underkännas…

Icke förty så är förmågan att tillföra och föra ut information en riskfaktor i alla IT-system. Den absoluta majoriteten av IT-system på myndigheter och företag är idag kopplade mot Internet av förklarliga skäl. Virus och hackerattacker är den del av vardagen och tiden att sitta och hålla tummarna att just du inte ska drabbas är sedan länge förbi. Stor tilltro sätts till anti-virus, brandväggar och komplicerade lösenordspolicies. Dessa funktioner behövs såklart, men istället för att endast fokusera på ett hårt yttre skal, måste systemet konstrueras att vara väldigt svårtuggat även inuti. Det handlar om att implementera zero-trust mellan applikationer, införa krypterade och autentiserade nätverk, loggning, övervakning, låga behörigheter för användare, och för driften, m.m. Syftet är att säkerställa att Åke inte sänker hela systemet, utan bara möjligen hans egen arbetsstation.

Informationssäkerhet är en annan aspekt. Hur pass känsligt data vill du ha i ett system där användaren sitter på sociala medier i ena stunden och arbetar med ritningar till företagets nästa stora innovation i nästa? Separation mellan det som är publikt och det som är känsligt eller hemligt behövs. Beroende på riskaptit görs den separationen logiskt eller fysiskt.

För att hantera situationen i ett system som innehåller säkerhetsskyddsklassad information, och således inte har en öppen koppling mot Internet, behöver man tänka på aspekter som:

  • USB-stickor och andra externa media – vem får lägga information på externt media, och varför vill man det?
  • Arbete hemifrån – att använda samma nät hemma som barnen använder för online-spel, som många kan lösenordet till och där säkerhet och loggning är betydligt sämre. En mjukvarubaserad VPN-koppling ger kanske en falsk trygghet.
  • Utskrifter – vem får och varför?
  • Registrator – Hur föra register på vad som skrivs ut, eller förs ut digitalt? Vem för bok på antal kopior av ett visst dokument?
  • Behörighetssystem – Vem får läsa vad? Vem styr?
  • Tydliga säkerhetsklassificerings- och hanteringspolicies – gör det enkelt att göra rätt!
  • Nya arbetssätt – kanske det svåraste och mest resurskrävande. Om man hanterar känslig information i sitt arbete kan det vara aktuellt att förändra hur arbetet bedrivs och medarbetare kommer behöva acceptera att IT-stödet på arbetsplatsen hanteras på ett markant annat sätt än den privata datorn hemma.

Ett arbete runt informationssäkerhet, med tydliga regelverk, en anpassad kravnivå, all information inplacerad i informationssäkerhetsklass, regler för in- och utförsel m.m. är ett nödvändigt arbete att genomföra för att komma fram till vilka tekniska lösningar som krävs. Med det regelverk som Säkerhetsskyddslagen stipulerar MÅSTE en säkerhetsanalys genomföras och för många organisationer där ute kommer det vara som att öppna Pandoras ask. Det kan kännas som att stå framför Mount Everest, men det gäller ta sig fram bergknalle för bergknalle. Att göra allt i ett enda kliv är omöjligt.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation
Del 7: Säkerhetsfunktioner
Del 8: Användartjänster på en säker grund

Basalt arbetar mycket med säkerhetsskyddsklassificerad information och de tekniska stöd som krävs för att göra den hanteringen säker och trygg. Vi arbetar också kontinuerligt med kunder som inte har stor vana av att klassificera information, än mindre arbeta med säkerhetsskydd. Här erbjuder vi utbildning och projekt för att finna arbetssätt, policies och tekniska lösningar för att göra resan mot att efterfölja lagen (compliance) hanterbar.

niha_300

Skribent

  • Nicklas är grundare, delägare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, IT-säkerhet, IT-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och IT-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.