Vad kan du göra när motståndarna är proffs?

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Teknisk systemintegration , Verksamhetsskydd
onsdag 14 september 2022

Det jämna riksdagsvalet och de skenande elpriserna har nästan raderat cybersäkerhet från nyhetsflödet. Inte för att jag för ett ögonblick tror att den ljusskygga cyberverksamheten avtagit för det. Snarare tror jag den gynnas av att få agera i fred.

Bilden är genererad på ett par minuter med hjälp av DALL.E, ett AI-verktyg. Verktyg blir kraftfulla på många områden, inte bara de som används för cyberbrott. Vi behöver använda mer kraftfulla verktyg för att hinna med.

Det otäcka för oss som vill skydda oss är att motståndarna blir så mycket duktigare. Varje del i ett intrång kan skötas av en erfaren och högst kompetent individ. På it-avdelningen är situationen snarare den motsatta. Samma grupp människor tvingas hantera allt fler verktyg och allt fler regler.

Problemet stannar inte vid cybersäkerhet. Hela it-stacken blir allt mer svårhanterad i takt med logiska lager, komponenter och integrationer blir fler.

”Vi behöver använda mer kraftfulla verktyg för att hinna med”

Dessutom har det ena laget fria tyglar och är fokuserade på ett enda mål, medan det andra måste hålla sig till reglerna och sprida fokus och kompetens över hela sitt ansvarsområde. Det funkar inte. Vi måste ändra spelplanen.

Basalt jobbar hårt för att hjälpa till. Vi har en lång tradition av att säkra Sveriges mest skyddade it-system. Just nu går våra tankar på hur vi sätter den nya spelplanen i två spår:

Vi startar ett forskningsprogram för att bli bättre på riskhantering.
Vi lanserar en plattform som är ett privat moln, som ersätter ”lappa & laga”-tänket.

Nytt forskningsprogram för riskhantering

Gartner har undersökt vad styrelser frågar sin ledning om cyberhot. När man vänder frågorna till åtgärder, blir det tre kategorier; riskhantering, arbetsrutiner och verktygsstöd. Vi tycker de ramverk som finns för riskhantering är alldeles för generiska för att fungera för it-säkerhet och drar därför igång ett forskningsprogram på området.

Att adressera säkerhetsfrågor i en större organisation har jag själv upplevt bli nio-siffriga belopp, utan garanti för att problem faktiskt löses. Och grundorsakerna till att problem uppstod var det första som prioriterades bort. Det blev i praktiken för svårt och omöjligt att balansera med andra prioriteringar och budget. Alltför ofta stannar initiativ vid snabba och enkla åtgärder med kortsiktig effekt. Det är i min mening långt ifrån tillfredsställande. Vår ståndpunkt är att it-branschen behöver ta ett större ansvar för hur vi säkrar våra kunder system.

”Det är vi i branschen som gjort det för krångligt,
och vårt ansvar att fixa.”

Det är vi i branschen som gjort det för krångligt, och vårt ansvar att fixa. Vi måste kunna hjälpa till med prioriteringar och kvalitativa underlag för beslut. Basalt har, liksom alla bolag i cybersäkerhetsbranschen, ett samhällsansvar och det här är vårt sätt att dra ett strå till stacken för att göra it-världen säkrare, och lättare att hantera. Därför startar Basalt, tillsammans med Blekinge Tekniska Högskola, ett forskningsprogram för att bättre, snabbare och enklare förstå och hantera säkerhetsrisker.

Sluta lappa och laga!

När jag började på Basalt fick jag en chans att göra något åt att helheten i praktiken blir för komplex. Två decenniers erfarenhet av att lösa arkitektur-problem[1] kokar ner till principer som landar i vår backlog:

Enklare är bättre.
Nu är bättre än sen
Karta funkar, till skillnad från backspegel

Vår plattform tacklar de tre punkterna – något jag som sagt kämpat med i åratal. De adresserar centrala problemställningar som jag sett i princip på varje företag jag har varit på. Ju mer av de erfarenheterna jag kan hälla in i våra produkter, desto bättre.

Det är kartan, eller en helhetssyn på vad du behöver åstadkomma, som är nyckeln. Utan kartan blir enkelt ofta för enkelt, och kräver extra efterarbete – och då var det inte längre enkelt. Och utan kartan blir nu gärna fort men fel.

Vi som leverantör kan ändra spelplanen genom att ta ett större ansvar och bygga in det i våra produkter. Vi kan se till att det faktiskt blir enklare, att det går att fixa något nu och att vi kan förenkla din karta.

”En karta, eller en tydlig målbild, är central för att hunna prioritera risker – och cybersäkerhetsrisker i synnerhet, eftersom de ofta är knutna till dramatiska konsekvenser.”

Att därför ha en bottenplatta – en plattform – som eliminerar delar av problemet blir en förutsättning. Vi kanske talar i egen sak, men det hindrar inte att vår vision för plattformen är vettig, eller hur?

Vår plattform separerar driftsfunktionerna från verksamhetssystemen, vilket ger verksamheten full frihet att agera i sin bubbla, men på samma sätt som i publika moln kommer de inte åt ”bakplanet”. Eftersom bakplanet är 100% automatiserat och därmed fritt från mänsklig hantering är såväl risk som spårbarhet fundamentalt bättre.

Enkelhet är nyckeln

Ett annat sätt att lösa samma problem är att använda publika moln, och jag är en varm förespråkare av det angreppssättet. Molnet har varit en fantastisk räddare i nöden – ett Alexanderhugg rakt genom den gordiska it-stacken. Här kan man enkelt överlåta tekniskt krångel till leverantörer med fantastiska resurser. Principen är ju densamma: Ta bort en stor del av problemen från den egna organisationen. Ha en plattform i botten du inte behöver bry dig om och som du kan lita på är säker och fräsch. Över tid kommer dessutom allt fler lösningar som hjälper verksamheten att ”bo” i molnet. Den utveckling industrins jättar pekat ut gäller tills vidare.

Legenden säger att Alexander den store löste problemet med den Gordiska knuten med ett svärdshugg. Det kanske är ett lite dramatiskt sätt att beskriva it-säkerhet i existerande miljöer, men faktum kvarstår att vi ofta byggt på oss ett komplext sammanflätat system som byggdes med helt andra säkerhetskrav i åtanke. Vår plattform och molnet är två strukturellt lika sätt att hugga igenom existerande systempark och förbättra säkerheten.

”…men det blev ganska dyrt” reflekterar en före detta kollega till mig som nu är CIO på ett mindre bolag. Ibland finns det juridiska hinder, och allt kan man inte flytta på en gång. Informationshantering behöver ju inte vara lagreglerad genom säkerhetsskyddslagen, GDPR eller – för att ta ett aktuellt exempel – patientdatalagen, för att vara känslig. Även de största aktörerna i branschen har utmaningar med att förstå hur information kan utnyttjas och vad den leder till som till exempel sommarens stämningar mot Meta Group visat, där personlig, medicinsk information utnyttjats i vinstsyften till och med på tvären av bolagets egna etiska principer. Då har jag inte ens berört behovet av att skydda affärshemligheter eller att garantera integritet och spårbarhet i affärstransaktioner. Dessutom har du säkert dina egna viktigare skäl.

Tillsammans bakar vi sötebröd av dina surdegar!

Det som blir kvar ”hemma” är oftast det som är svårast att lösa, men det måste också vara omhändertaget och säkert.

Vi ser till exempel att i princip alla bolag har säkerhetsutmaningar i sitt utbyte av information med omgivningen, och att personal ägnar mycket tid åt att bygga egna strukturer, men i praktiken saknar medel för att utveckla det som byggts – ofta projektdrivet – för att hantera hotbilden över tid.

Även här hjälper vår plattform. Vår produkt är ett eget, säkert moln som snurrar i dina lokaler. Du har full koll och är fullt trygg. Hela din infrastrukturplatta kan du köra, expandera, segmentera och integrera i den takt du hinner, och ditt prioriterade verksamhetsstöd kan du flytta dit, till virtuella servrar som är så lika din nuvarande miljö det bara går. Vi tar hand om hur det funkar.

”Komplexitet är, och ska vara, vår sak att hantera.”

Det är det jag menar med att vi tar ansvar för att göra verkligheten väsentligt enklare. Det handlar inte om hemma eller molnet. För de allra flesta gäller både och. Oavsett om du lägger din affär i molnet eller lokalt, ska din information vara skyddad och du ska kunna vara säker på att du håller dig till reglerna i din organisation. Det är därför vi bygger vår plattform. Och vi fortsätter att utveckla den med nya funktioner på de områden vi bedömer vara viktigast för allas vår it-trygghet, och med ständigt högre mål för hur enkelt och automatiskt allt ska fungera.

Tänker vi likadant?

Vi har talat mycket om att säkerhet inte bara består av att har lösningar för att möta hot. Det kräver också rutiner och arbetssätt som säkerställer att man vet vilka problem man löser. Men det behövs ytterligare en del: medveten riskhantering. När du kvantifierar de risker du tar, har du ett sätt att sätta ett mål, vilket i sin tur gör det möjligt att förstå vad som behöver prioriteras för att nå målet. Men riskbedömning är svårt, så många hoppar över det och prioriterar på känsla. Resultatet blev att man – utan att egentligen vilja det – driver plakatpolitik på säkerhetsområdet.

Vill du vara med på resan och påverka vår utveckling? Hör av dig till mig! Jag tycker det är fantastiskt viktigt att vår basplatta löser våra viktigaste gemensamma säkerhetsbehov. Vi har börjat med plattformen och att säkra upp den. Vi fortsätter med riskhantering som jag nämnt ovan. Planen just nu är att nästa steg blir informationsutbyte in och ut ur plattformen – eller varför inte dina prioriteringar?

Att göra cybersäkerhet lättare är att göra it lättare, det är vårt kall och vår plikt. Vi tar, nu som förr, steget vidare; från att städa efter att saker har hänt till att ligga steget före.

[1] Fördjupning och mer finns här

Författare

Michael Buczek
Produktstrateg

Kontakta mig

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Vad kan du göra när motståndarna är proffs?