fbpx

Det finns ingen magisk låda som fixar säkerheten

Text: Håkan Ogelid

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS. Foto: Sara Arnald
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS. Foto: Sara Arnald
Säkerhetshoten blir allt mer sofistikerade och frekventa, men lösningen är densamma. Användarna måste med på tåget och säkerhetsarbetet måste vara metodiskt.

När Anne-Marie Eklund Löwinder, som är säkerhetschef på Internetstiftelsen i Sverige, IIS, ska peka på aktuella hot, så lyfter hon fram att allt fler system numera är sammankopplade, vilket gör att angreppen får allvarligare konsekvenser.
– Idag kan du med små medel åstadkomma stor skada. Det finns gott om exempel på det, säger hon.
Hon ser hur nya dataläckage inträffar regelbundet och hänvisar till sajten www.informationisbeautiful.net.

Carolin Runnquist, Director Cyber Security på PwC. Foto: Knut Koivisto
Carolin Runnquist, Director Cyber Security på PwC. Foto: Knut Koivisto
Hoppas på privacy by design
Genom IoT kommer allt fler prylar, inte minst konsumentprodukter, att kopplas upp mot internet, och hon oroas över att ansvaret för att skydda sig läggs på den enskilde individen i allt för stor utsträckning.
Här hoppas hon mycket på komponenten ”privacy by design”, som ingår i dataskyddsregelverket GDPR.
Hon efterlyser också mer aktiviteter så att organisationer blir bättre på övervakning, och mer träning på hur man ska hantera intrång. Idag saboteras många eventuella bevis på grund av brister i hanteringen.
Det är fortfarande stora säkerhetsbrister i många webbsajter. På sajten hardenize.com kan man testa cyberhygienen på sin webbsajt.
– Det är rysligt illa ställt med säkerheten på många myndighetssajter och här ska vi med hjälp av MSB driva en kampanj för att förmå myndigheterna och andra att förbättra sig, säger Anne-Marie Eklund Löwinder.
Carolin Runnquist har titeln Director Cyber Security på konsultföretaget PwC och när hon pekar på trender i informationssäkerhet lyfter hon fram vad kunderna just nu brottas med.
– Många organisationer har problem med att förena sin allmänna riskhantering med hanteringen av cyberrisker, säger Carolin Runnquist.
Medan allmänna riskhanteringen kanske rapporterar var tredje månad, så kräver cyberriskerna en mycket frekventare rapportering.
– Det finns ramverk att tillämpa, men man måste också utbilda hela organisationen i den nya situationen.

Mer sofistikerade hot
Överhuvudtaget är hoten mycket mer sofistikerade idag än för bara ett år sedan.
– Tidigare gick man brett, medan attackerna idag är riktade. Man tar sig in och undersöker. För att minska risken för upptäckt plockar man ut lite kontanter i taget.
Enligt Carolin Runnquist sker 24 procent av alla intrång via underleverantörer. Därför är det viktigt att se till att en underleverantör har tillräcklig säkerhet.
Thomas Nilsson, som är delägare i säkerhetsföretaget Certezza, stöter ofta på en stark önskan om tekniska lösningar.
– Sanningen är att det inte finns någon magisk låda man kan köpa. Lösningen är ett strukturerat säkerhetsarbete, säger Thomas Nilsson.
Arbetet ska ge svar på vad som är värt att skydda och vad det får kosta.
– Har man inte ett strukturerat arbete och ändå klarat sig utan större incidenter vågar jag påstå att man har haft tur.
Han framhåller också vikten av att se över hanteringen av sina kryptonycklar och att ha en plan för att löpande byta ut dem.
– Ofta känns det som om jag upprepar mig och det känns mossigt. Men sanningen kanske är mossig?
Det hotfulla säkerhetsläget illustreras även genom Framtidens Karriär – It & Datas undersökning bland yrkesverksamma it-/dataingenjörer och systemvetare.
Av undersökningen framgår att 61% av it-/dataingenjörer och systemvetare bedömer att myndigheter och andra offentliga verksamheter dagligen utsätts för cyberattacker och dataintrång.

Hur ofta tror du att myndigheter eller andra offentliga verksamheter utsätts för cyberattacker eller dataintrång?
Om undersökningen
Framtidens Karriär – It & Data genomförde en undersökning mot ett slumpmässigt urval av it/dataingenjörer och systemvetare 27 december 2018 – 2 januari 2019. Statistisk felmarginal är 2,5–4 procentenheter.
Publicerad: 13 februari, 2019