Bygga säkra IT-system på riktigt! Del 2: Krav, utvecklingsmiljö och medarbetare
Kontroll var det ja. Det har länge varit känt att en tydlig och relativt sett öppen väg för en angripare att ta kontroll över ett IT-system är att introducera en sårbarhet eller en bakdörr långt innan systemet är taget i drift. Under drift kan det vara svårare att introducera ny kod eller stänga av säkerhetsfunktioner utan upptäckt. Om en angripare istället lägger in en bakdörr tidigt i processen, hos en av leverantörerna av ett delsystem eller applikation där skyddet är mer bristfälligt, kan målet för angriparen nås vid ett senare tillfälle. Bedömer man att ens IT-system kan vara föremål för en angripare som är tålmodig och resursstark måste man bygga skydd mot den typen av hot.
Krav och nedbrytning av dessa är en vital del av systemutveckling. Inte bara vilka krav verksamheten har för att driva affärerna framåt utan också säkerhetskrav. Aktivt arbete med säkerhetskrav är ett måste för att uppnå kontroll. Som nämns ovan är det också viktigt att dessa krav också tillåts påverka hur utveckling/integration/inköp sker, oavsett om det sker inom egen organisation eller via leverantörer.
- Vem ska arbeta med att ta fram systemet? Vilka behörigheter har dessa personer och hur kan detta följas upp.
- Sker det någon säkerhetgranskning av personalen? Känner du verkligen din personal som bygger dina framtida IT-system? Hur säkerställer du att personal hos externa leverantörer är tillförlitlig?
- Finns det funktioner i utvecklingsmiljöerna för att kunna se vem som gör vad och hindra medvetna eller omedvetna felgrepp?
- Finns det metodik och arbetsflöden som underlättar för alla att göra rätt?
- Kan någon tredje person med en rimlig arbetsinsats kontrollera att inga fel har begåtts?
- Hur ofta genomförs faktiskt sådana typer av kontroller?
Utöver dessa punkter bör också lokaler, larm och passagesystem belysas. Det är relevant att säkerställa att inga obehöriga kan komma åt systemet innan det är klart och alla säkerhetsfunktioner är aktiverade. Fysisk access till en server under en tid ger en motiverad och långsiktig angripare stora möjligheter att tillföra kod som senare är svår att upptäcka och kan vara förödande för verksamheten som ska bedrivas.
Miljön som erbjuds de tekniker som arbetar med att konstruera ett IT-system är viktig. Miljön bör hålla samma nivå av säkerhet och spårbarhet som det system som ska tas fram. Versionshantering, tydlig kommunikation i form av spårbara kommentarer och systemdokumentation, autentisering och loggning av åtgärder, lättrörlighet och ett fungerande kvalitetssystem med hantering av avvikelser är viktiga instrument. Att utveckla ett IT-system ska påminna om kodbaserad utveckling av en applikation.
Läs även de andra delarna i serien:
Del 1: Kontroll
Basalt har under över 10 år arbetat nästan uteslutande med kunder som ställer mycket höga säkerhetskrav. Styrande regelverk, krav och dragna erfarenheter har lett fram till att Basalt har implementerat ett gediget system för personkännedom av våra medarbetare, regelbundna kontroller av våra leverantörer, ändamålsenliga lokaler och fysiska tillträdesskydd samt utvecklingsmiljöer som håller samma eller högre säkerhetsstandard än de system vi levererar till våra kunder. Vårt mål är full transparens avseende vilka hot och risker som identifierats och vad som är gjort för att motverka och undvika dem samt minska skadeverkningar om något inträffar. Våra kunder ges möjlighet att kontrollera och granska allt detta i detalj.
Skribent
-
Få tips och inspiration från Basalt
Prenumerera på vårt nyhetsbrev -
Ligg steget före
Låt Basalt ansvara för ert verksamhetsskydd.
Kontakta oss så guidar vi er rätt!
Sök på sidan
Sök efter sidor eller nyheter
Cookiesamtycke
Vi behandlar personuppgifter och använder cookies på vår webbplats i enlighet med vår integritetspolicy. Vissa cookies krävs för att ge dig åtkomst till webbplatsen, medan andra används för att uppgradera din användarupplevelse och är frivillig att acceptera. Välj nedan om du samtycker till att vi bearbetar cookies för att aktivera och analysera tillhandahållandet av funktionaliteter från tredje part (t.ex. plugins för sociala medier) och förbättra din användarupplevelse genom att analysera din användning av webbplatsen. Du kan när som helst dra tillbaka ditt samtycke.Sekretessöversikt
Nödvändiga cookies är absolut nödvändiga för att webbplatsen ska fungera korrekt. Dessa cookies säkerställer grundläggande funktioner och säkerhetsfunktioner på webbplatsen, anonymt.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| cookielawinfo-checbox-analytics | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics". |
| cookielawinfo-checbox-functional | 11 months | Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell". |
| cookielawinfo-checbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
| cookielawinfo-checkbox-advertisement | 1 year | Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons". |
| cookielawinfo-checkbox-necessary | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt". |
| cookielawinfo-checkbox-performance | 11 months | Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda". |
| viewed_cookie_policy | 11 months | Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter. |
Funktionella cookies hjälper till att utföra vissa funktioner som att dela innehållet på webbplatsen på sociala medieplattformar, samla in feedback och andra tredjepartsfunktioner.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| bcookie | 2 years | LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID. |
| bscookie | 2 years | LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen. |
| lang | session | LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning. |
| lidc | 1 day | LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter. |
Prestandacookies används för att förstå och analysera webbplatsens nyckelprestandaindex, vilket hjälper till att leverera en bättre användarupplevelse för besökarna.
Analytiska cookies används för att förstå hur besökare interagerar med webbplatsen. Dessa cookies hjälper till att ge information om mätvärden för antalet besökare, avvisningsfrekvens, trafikkälla, etc.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| _ga | 2 years | _ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare. |
| _ga_756JKDQ1KE | 2 years | Denna cookie installeras av Google Analytics. |
| _gat_gtag_UA_55739322_1 | 1 minute | Inställd av Google för att särskilja användare. |
| _gat_UA-55739322-1 | 1 minute | En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till. |
| _gid | 1 day | Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt. |
| _hjAbsoluteSessionInProgress | 30 minutes | Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien. |
| _hjFirstSeen | 30 minutes | Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren. |
| _hjIncludedInPageviewSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns. |
| _hjIncludedInSessionSample | 2 minutes | Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns. |
| _hjTLDTest | session | För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas. |
| CONSENT | 2 years | YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data. |
| Google_Tag_Manager | 1 year | |
| nQ_cookieId | 1 year | Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning. |
| UserMatchHistory | 1 month | LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID. |
Annonscookies används för att ge besökarna relevanta annonser och marknadsföringskampanjer. Dessa cookies spårar besökare över webbplatser och samlar in information för att tillhandahålla anpassade annonser.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| VISITOR_INFO1_LIVE | 5 months 27 days | En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet. |
| YSC | session | YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor. |
| yt-remote-connected-devices | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
| yt-remote-device-id | never | YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video. |
Andra okategoriserade cookies är de som analyseras och som ännu inte har klassificerats i en kategori.
| Kaka | Varaktighet | Beskrivning |
|---|---|---|
| _hjSession_2668272 | 30 minutes | Ingen beskrivning |
| _hjSessionUser_2668272 | 1 year | Ingen beskrivning |
| AnalyticsSyncHistory | 1 month | Ingen beskrivning |
| li_gc | 2 years | Ingen beskrivning |
| nQ_userVisitId | 30 minutes | Ingen beskrivning |
