Så skyddar du dig från dataintrång (på riktigt)
Många företag har investerat tungt i IT-säkerhet men är ofta ändå inte skyddade på grund av grundläggande misstag.
- Ärligt talat är jag faktiskt lite oroad över detta. Jag tror att många ledningsgrupper snart börjar ifrågasätta om det verkligen går att skydda sig mot angrepp överhuvudtaget, menar Greg Van Der Gaast, ex-hacker och före detta medarbetare på FBI.
Greg Van Der Gaast (https://www.linkedin.com/in/gregvandergaast/ )har gjort sig ett namn inom cybersäkerhet under de senaste åren och har en lång karriär - från båda sidorna om lagen. Karriären tog fart när han som 16-åring hackade en amerikansk kärnvapenanläggning i Indien i slutet av 90-talet. Efter att ha blivit gripen av FBI (och jobbat av sin skuld i några år) är han idag en av världens mest anlitade experter inom IT-säkerhet. Han har skrivit böcker och är en ständig föreläsare.
Enligt Greg är hela IT-säkerhetsbranschen extremt reaktiv och full med produkter som ska lösa specifika problem - istället för att fokusera på det som verkligen gör skillnad. Det vill säga grundläggande kunskaper och ordning och reda.
- Jag ser ofta att man försöker lösa komplicerade problem med olika produkter, istället för att ge företagen goda råd och vägledning. Trots att IT-säkerhet idag omsätter enorma summor pengar har säkerheten inte blivit bättre. Istället har intrången snarare ökat. Så pass att många företag idag börjat ställa sig frågan: “varför spenderar vi pengar överhuvudtaget på detta? Varför tecknar vi inte bara riktigt bra försäkringar som vi istället använder när vi väl bli hackade?”
- Idag ser vi redan exempel på hur företag har börjat göra sig av med sina säkerhetsteam. Varför ska man som företag lägga pengar på IT-säkerhet om man ändå bli hackad, förr eller senare? undrar Greg.
Förutom att använda sig av rätt system och hjälpmedel när det gäller IT-säkerhet så finns det flera saker som faktiskt är ännu viktigare. Som det tyvärr pratas alldeles för lite om. Här är enligt Greg Van Der Gaast (https://www.linkedin.com/in/gregvandergaast/) de mest grundläggande sakerna för att ditt företag eller organisation ska ha en IT-säkerhet värd namnet.
Ordning och reda.
Det låter kanske som ett alldeles självklart och lite för enkelt tips - men detta är helt avgörande för er motståndskraft för att klara attacker.
- Jag brukar alltid börja med att kolla hur arbetsplatsen ser ut. Är det stökigt så är det ett index på något. Jag brukar nästan alltid börja där det är som mest stökigt.
Vill man få kontroll på sin IT-säkerhet måste man ha en total överblick över hela företaget. Allt ifrån hur interna processer fungerar till vad som händer ute på fältet i olika affärsområden. Hur jobbar medarbetare och kunder med företagets produkter? Strategidokument måste mappas ihop med compliance, Asset Management och sedan måste dokumentation sättas upp för hur nya system byggs, vilken standard som ska gälla och så vidare. Med andra ord: Skaffa en total överblick över allt som varje avdelning jobbar med - sedan lägger ni ert säkerhetsfilter ovanpå det - det är då ni ser sprickor och var eventuella läckor skulle kunna uppstå.
- På ett företag anställde jag en person som hade en enda uppgift - att prata med alla. Att ta reda på exakt vad alla gjorde och i vilka system de arbetade i. Vilken data som de rörde vid och vad de gjorde i vilket program. Som säkerhetsansvarig är det tjänstefel att inte ta reda på allt som händer i organisationen.
Kommunicera så att alla förstår - en säkerhetsavdelning måste vara mer än teknisk
Det som kännetecknar en riktigt väl fungerande säkerhetsavdelning på ett företag är att den består av mer än teknik. En bra säkerhetsavdelning är intresserad av alla delar av företaget och är involverad i alla hörn. Därför handlar det lika mycket om kommunikation som teknik. IT-säkerhet ska prata med marknadsavdelningen om hur saker kommuniceras, de ska prata med säljarna om vilka kunder som ska ha vilken access och vilka uppgifter de inte får lämna ut och så vidare.
En bra säkerhetsavdelning ska också utbilda utvecklarna i att koda säkert. Om utvecklarna i företagets produktteamen blir bättre på att skriva snygga och rena koder så kommer företaget också att reducera antalet incidenter i framtiden som är direkt kopplade till att utvecklare slarvar och jobbar för fort genom att kopiera.
- Jag är förvånad över hur många 25-åriga utvecklare som inte förstår någonting om IT-säkerhet. De förstår inte ens grunderna. Det är inte ovanligt att företag idag har väl fungerande produkter som inte är compliant. Det beror helt enkelt på att utvecklarna antingen slarvat eller inte har kunskapen som krävs för att skriva säker kod.
IT kan inte längre köra sitt eget race
Sedan starten har många IT-avdelningar fått köra sitt eget race. Utan KPI:er eller uppföljning. De har länge använt bristen på förståelse och teknik som en sköld för att friskriva sig från ansvar. På ett sätt har många IT-avdelningar levt i en skyddad verkstad när ledning och styrelse haft svårt att hänga med i alla tekniska referenser och termer. Detta har bidragit till att skapa IT-silos - alltså en katastrof för säkerheten. Om ett företag ska bedriva effektivt IT-säkerhetsarbete måste alla förstå vad som händer inom IT, och IT måste förstå vad som händer ute i verksamheten. Om inte IT vet exakt hur medarbetare jobbar och hur verksamheten ser ut - har de inte heller någon aning om vilka hål och svagheter som finns.
Skapa engagemang - eller lägg ner er IT-säkerhet
En viktig nyckel för att minska silo-tänket och uppnå kommunikation mellan IT och den övrig verksamhet är att skapa engagemang. Om säkerhetsteamet engagerar sig på djupet i alla delar av hela företaget skapas många kontaktytor, vilket gör att hela företaget känner sig mer delaktiga i säkerhetstänket och blir därmed också mer medvetna och observanta.
Bra Asset Management - grunden i god IT-säkerhet och ekonomi
Själva grunden i säkerhet är att ha koll. Med bra koll vet ni var de svagaste punkter är. De allra flesta stora dataintrång som får förödande konsekvenser beror till stor del på bristfällig och ibland obefintlig Asset Managment. Det vill säga, ingen har egentligen koll på applikationer och behörigheter. Detta gör att en hacker plötsligt kan ta över ett helt företag endast genom att komma åt en enda medarbetare med ett global admin-konto som den egentligen inte borde haft. Den andra fördelen med att ha koll på behörigheter och licenser är att ni kan spara stora pengar på licenskostnader genom att ha kontroll. Fler än vad ni tror har mer access än vad de egentligen behöver.
- För ett tag sedan spenderade jag 200.000 kronor för att säkra en plattform. Detta fick konsekvensen att vi samtidigt sparade en halv miljon kronor i ren licenskostnad. Detta är vanligt förekommande, berättar Greg.
Skapa solida rutiner för att motverka Social Engineering
För att göra en organisation så motståndskraftig som möjligt mot dataintrång så handlar det inte bara om IT. Som säkerhetsansvarig så måste du börja se till helheten. Social Engineering handlar om att manipulera medarbetare - antingen digitalt eller fysiskt. Det kan vara ett oannonserat besök i receptionen, något så enkelt som någon som kommer in precis innan stängningsdags och ska reparera en kaffemaskin eller låna toaletten. Du anar inte hur till synes enkla knep ofta fungerar på personer som är stressade eller längtar hem efter en lång dag på jobbet. För att förebygga Social Engineering krävs solida processer som är enkla att följa men extremt svåra att avvika ifrån.
Utveckla mjukvaror på ett säkert sätt - se till att alla förstår grunderna
På grund av den enorma hastighet som företag idag släpper nya applikationer och system har det bidragit till att det slarvas oerhört när det gäller kod. Det finns många skäl att oroa sig när det gäller kodning. På grund av tidspress eller bristfällig kunskap så har utvecklarna inte koll - och framför allt inte koll på att det kanske finns saker där ute som inte ska vara där. Stress i kombination med bristfällig kunskap hos många utvecklare gör att koder kopieras från olika forum och klistras in i applikationer och program. Detta är ett säkerhetsproblem som borde oroa många företag.
- Jag har många exempel på appar till telefoner, relativt enkla appar som borde vara cirka 5 MB i storlek. Varför är dessa appar ibland på 500 MB? Vad består resten av som döljer sig i appen? Vad är den koden avsedd att göra? Detta är så otroligt vanligt och det skrämmer mig. Vi har ju ingen aning om vad som döljer sig i koderna. Inte ens personen som har utvecklat appen, vet ibland, säger Greg.
Detta ska du tänka på när du sätter ihop ett team för IT-säkerhet.
Hur kan vi få IT-säkerhetsavdelningarna att prestera bättre? Hur skapar vi ett säkerhetstänkande som är en del av företagets DNA och framför allt: hur sätter vi ihop ett vinnande team?
Gör er behovsanalys
Ditt företag är faktiskt unikt. Kanske inte unikt utifrån sett - men ert sätt och era processer att leverera just era tjänster med de system och de medarbetare ni har, det är unikt. Därför finns det ingen “one size fits all” när det gäller IT-säkerhet. Analysen av företaget blir så otroligt viktig och avgörande för om ni kommer att lyckas med ert säkerhetsarbete. Det vanligaste misstaget de allra flesta företag och organisationer gör är att hoppa över analysen och direkt tillsätta tjänster och mjukvaror, vilket är underligt eftersom ni med 90 procents sannolikhet kommer att misslyckas med det om ni inte gör en bra analys.
Sätt er strategi
Efter att ni har gjort en ordentlig behovsanalys är ni redo för att ta fram en strategi. I den här strategin ska det vara tydligt vilken kulturförändring som ni vill uppnå när det gäller säkerhet. Det kan handla om allt ifrån säkrare kodning till en bättre kommunikation mellan olika affärsområden. Strategin kommer att fungera som ett ramverk som ni kommer att kunna luta er emot under hela arbetet. Det är också viktigt att kontinuerligt titta på strategin under tiden och kontrollera om ni rör er i rätt riktning. Det måste hela tiden vara en rörelse som är knuten till hela verksamheten.
Sätt funktioner, roller och team
När strategin är satt gäller det att se över vilka roller som är kritiska för att kunna uppnå uppsatta mål. Vilka funktioner finns det och vilka av dem kan finnas inhouse och vilka kan ni lägga hos en extern leverantör? Var ska rollerna ligga? Var blir det mest kostnadseffektivt? När det gäller att sätta ihop ett team så är det viktigt att hitta en grupp med personer som fungerar bra tillsammans och kompletterar varandra med sina olika skills. Precis som i alla team så är det samma logik med ett team inom IT-säkerhet. Hitta människor som jobbar enastående tillsammans. Det viktiga är inte att hitta individer som är kompletta i sin specifikation - utan att teamet som helhet är komplett. Svaret kanske inte alltid finns i individen - men då är det viktigt att svaret finns i gruppen. Ett bra team rör sig ständigt i rätt riktning.
Har du inte musklerna - ta hjälp!
Även om ni är ett mindre nystartat bolag är tyvärr säkerhet inget som ni kan prioritera bort. Att till exempel bygga avancerade och dyra tjänster i dålig och osäker kod kan bli en så pass dyr affär att allt i värsta fall går förlorat.
- Min erfarenhet är faktiskt att det är extremt viktigt för små företag att precis i början få vägledning och råd på vad de ska tänka på. Det är inget omfattande arbete alls - utan det är bara viktigt att se till att man som litet bolag gör rätt från början. man kan spara många miljoner på att ta in en person med säkerhetstänk tidigt i företagets resa, säger Greg.
Sätt ett proaktivt mindset! ”Make security about business - not risk”
Ett proaktivt sätt att tänka kommer att vara det som gör den stora skillnaden. Ett företag som har ett team som är vana vid att leverera förslag på lösningar istället för att hitta problem har gjort en stor del av sin resa. Det kommer att göra ert team helt ovärderligt för verksamheten - allt ifrån att komma fram till smarta och säkra lösningar till att spara pengar när det gäller licenser. Att jobba framgångsrikt med säkerhet handlar om att ständigt se två steg framåt. Är ni lösningsorienterade så löser ni problemen innan företaget kanske ens har förstått att det är ett problem. Ett bra säkerhetsteam kan helt enkelt få problem att försvinna - innan de dyker upp.