Bygga säkra it-system på riktigt! Del 7: Säkerhetsfunktioner

mas-14

Utöver att det krävs kontroll för att uppnå IT-säkerhet, systematik i utveckling, korrekt dokumentation m.m. måste ett antal tekniska säkerhetsfunktioner implementeras, konfigureras och genomgå samma granskning som övriga delar system för att bygga assurans.

Exempel på säkerhetsfunktioner är:

  • Behörighetskontroll
  • Intrångsdetektering
  • Övervakning
  • Loggning
  • Röjande signaler
  • Skydd mot skadlig kod
  • Signalskydd/krypterad kommunikation

En text som behandlar så vitala delar av it-säkerhet som säkerhetsfunktionerna ovan ryms inte i artikelform, vilket i sin tur kräver en genomtänkt struktur för att vara lättläst.

Samtliga ingående säkerhetsfunktioner i en it-lösning måste anpassas efter vilka behoven är. Uppenbart kan tyckas, men vår erfarenhet är att det är sällan som säkerhetsfunktionerna är anpassade efter behoven. Ofta investeras stora summor pengar i gränsskydd som brandväggar och VPN-lösningar, medan andra mer djupgående säkerhetsfunktioner har installerats med en ”klicka next, next, next”-mentalitet.

För att ett it-systems säkerhetsfunktioner ska ge ett fullgott skydd och ingjuta tillit måste det vara korrekt implementerat, hållas uppdaterat och det måste finnas en väl anpassad övervakning av att dessa funktioner fungerar som avsett. Då säkerhetsfunktioner är den mekanism i ett it-system som faktiskt fattar beslut om huruvida en användare får/eller inte får access till ett visst informationsobjekt, är det av största vikt att utvärdera och över tid omvärldsbevaka de applikationer eller den maskinvara som fattar dessa viktiga beslut. Det är inte ovanligt med bakdörrar, rena buggar och/eller  generiska krav från leverantörer av säkerhetsfunktioner som inte överensstämmer med en given verksamhets säkerhetsambitioner.

Ett exempel på detta är kryptering  som handlar om att med olika tekniker göra information oläslig om man saknar rätt nyckel. Hur stark är krypteringen, finns det något inbyggt sätt att komma runt den eller finns det bakdörrar eller buggar t.ex. för att olika länders underrättelsetjänster ska kunna tillgodogöra sig information? Det är svårt att verifiera, för att inte säga omöjligt.

För många verksamheter kan kommersiella krypteringsfunktioner vara helt tillräckligt, både mjukvaru- och maskinvarubaserade varianter. En aspekt av kryptering är att varefter datorkraften ökar försvagas styrkan i kryptoalgoritmerna över tid. Dvs en kryptering som var toppsäker för tio år sedan kan i praktiken vara värdelös idag. Därför är det viktigt att vara medveten som vilka algoritmer som nyttjas och löpande hålla säkerhetsfunktioner som baseras på kryptografi uppdaterade.

Hanterar it-systemet säkerhetsskyddsklassificerade uppgifter finns det tydliga regleringar kopplat till kryptering då signalskydd ska användas. Signalskydd är egentligen en förkortning för ”kryptografisk utrustning/funktioner som är rigoröst granskade av MUST och har befunnits leverera mycket hög grad av assurans”. Återigen, hur skyddar jag mig från dom som jag litar mest på? (Tips: Se MSBs webbutbildning Grundkurs Signalskydd här).

Oavsett säkerhetsfunktion är alla mer eller mindre viktiga för att uppnå kontroll och känna tillit. Samtliga säkerhetsfunktioner kräver stor noggrannhet och övervägande vid införande, drift och förvaltning för att vara effektiva.

Så länge man har i åtanke att leverantörer från exempelvis USA, Israel, Kina och Ryssland nästan garanterat har ett handskak med det egna landets nationella underrättelseorgan om att data ska göras åtkomligt, under förespeglingen av hot från terrorism, spionage eller dylikt. Finns det en bakdörr, finns det alltid en risk någon som är intresserad av just din information kommer åt den. Ett sätt att arbeta med säkerhetsfunktioner är, att förutom att säkerställa att dessa är korrekt uppsatta, även bygga dubbla skydd med mekanismer från olika leverantörer samt att försåtsminera systemet med larm som fångar olika försök till intrång.

Läs även de andra delarna i serien:
Del 1: Kontroll
Del 2: Krav, utvecklingsmiljö och medarbetare
Del 3: Arkitektur, kultur och metod
Del 4: Granskning av tredje part, spårbarhet och assurans
Del 5: Bygga säkra IT-system på riktigt! Del 5: Assume breach och IT-säkerhetsprogram
Del 6: Dokumentation

 

Skärmavbild 2023-02-03 kl. 10.25.40
  • Nicklas är grundare och VD i Basalt AB. Nicklas har bakgrund som teknisk konsult och projektledare. Fokus för konsultarbetet har hela tiden kretsat runt systemintegration, it-säkerhet, it-arkitektur och projektledning i olika roller. Nicklas är numera fokuserad på ledarskap, företagsledning, försäljning och marknadsfrågor även om säkerhet och it-arkitektur finns som ett intresse och är en del av den totala arbetsupplevelsen.

    • Många står inför samma utmaningar: Hur ställer man rätt krav? Varför blir det ofta dyrare och mer komplicerat än planerat?

    För att möta upp frågor och diskussioner på temat, och bjuda på egna viktiga erfarenheter från området, har vi tagit fram en seminarieserie om säkerhetsskydd i digitala system.

    Läs mer om seminariet och anmäl dig här.

    More news

    Alla nyheter
    [Frukostseminarium] - Cybersäkerhet med LIVE penetrationstest och SIEM-demo

    Bygga säkra it-system på riktigt! Del 9: Data in och data ut, det är där det händer

    Basalt erbjuder stöd med att förbättra krisledningsorganisation och ledning av staber

    Bygga säkra it-system på riktigt! Del 8: Användartjänster på en säker grund