Specialistspaning: Många it-ansvariga lever i falsk trygghet
Många verksamheter har inte den it-trygghet de tror sig ha. Bland annat görs felaktiga antaganden som innebär en ökad risk för intrång, ransomware och annan skadlig kod. Ytterst få som får godkänt på fler än hälften av punkterna när verksamheters säkerhet undersöks närmare, konstaterar Daniel Klöfverskjöld, it-säkerhetsexpert och erbjudandeansvarig inom datacenter och cloud på Atea, i den här spaningen.
Att skydda information och system i dagens digitala samhälle är viktigt. Säkra medarbetare och arbetssätt är två delar, teknik den tredje. Teknik är ofta något vi sätter hög tilltro till men det kan vara svårt att veta om den fungerar som tänkt och på bästa möjliga sätt.
Spaningen i ett nötskal
När en verksamhet har rustat upp sitt nätverk, sina brandväggarna eller införskaffat nya avancerade backupsystemen "känns" det bättre . Det blir lite som när vi människor börjar med kallbad, ingefära och B12 när vi känner att något inte stämmer i kroppen – i stället för att låta läkare ta blodprover, lyssna på hjärtat och göra en ordentlig hälsokontroll. Vi tror att ingefäran eller nya brandväggen är lösningen, och tror oss ha koll på läget. Obekymrat utgår vi från att de kroppsliga inre organen jobbar på som vanligt och reflekterar inte ens över att medarbetare i organisationen får för sig att installera tvivelaktiga plugins från nätet som öppnar upp bakluckor för hackers (eller låter barnen spela onlinespel på jobbdatorn som ofta är kopplade till risker att få ner skadlig kod). Därför är självdiagnoser förrädiska. Det ger en känsla av kontroll över sin situation, men innebär en falsk trygghet.
Daniel Klöfverskjöld är erbjudandeansvarig inom datacenter och cloud på Atea. Följ honom gärna på Linkedin.
Vad ni kommer att upptäcka
It-säkerhetens motsvarighet till en ordentlig hälsoundersökning är det internationellt erkända CIS-ramverket, som innehåller en checklista med 153 kontrollpunkter inom 18 huvudområden. Den kartlägger de allvarligaste säkerhetsbristerna i verksamheten. Inte utifrån gissningar, baserat på faktiska förhållanden. När våra kunder går igenom den listan tillsammans med oss, är det ytterst få som får ett resultat över 50 procent. Det kan tyckas alarmerande, men är i praktiken stärkande. Plötsligt får man en helhetsbild, en svart-på-vitt-bild på hur situationen ser ut och vad som behöver prioriteras. Kanske är det inte investeringar i avancerade nätverks- eller backkuplösningar som ger mest nytta. Det kan ofta handla om att få ut mer av funktionaliteten i befintlig infrastruktur, och att se till att avvikelser rapporteras vidare. Många av de här teknologierna skickar ut larm och loggar, men om ingen är där och tittar på det kan ingen eskalera eller stänga ner delar i systemen och stoppa inkräktare i tid. Det kan vara där insatserna behövs. Det är inte heller ovanligt att investera i avancerad teknologi och ändå missa enkla grejer, som att få ut uppdateringar på rätt sätt. Även utbildning behöver ofta en mycket högre prioritet. Sådant upptäcks när ni gör en systematisk genomgång av helhetsskyddet. Det är inte alarmerande. Vad som är alarmerande är att leva i falsk trygghet.
- Ny lagstiftning. En ny cybersäkerhetslag föreslås träda i kraft den 1 januari 2025. Lagen är planerad att bli en svensk implementation och utvidgning av, EU:s NIS2- och CER-direktiv och innebär bland annat att organisationer ska kunna bötfällas för säkerhetsbrister även när ingen incident skett.
- It-brottsutvecklingen. Hackers drivs numera inte bara av ekonomiska motiv, utan även politiska. Och de nyttjar AI och annan avancerad teknologi för att ta sig in i system och orsaka skada, och utvecklar ständigt sina metoder och verktyg. Det går verkligen inte att luta sig tillbaka i it-säkerhetsarbetet. Att ha ständig koll på helhetsskyddet och jobba med ständiga förbättringar är det enda som gäller.
Värt för it-chefer att reflektera över 💡
- Känner du att du har en övergripande dokumenterad bild av era it-säkerhetsförmågor?
- Känner du dig trygg i att när någonting händer så kommer detta kunna adresseras skyndsamt av rätt personer i er verksamhet?
- Har du bra bollplank för att diskutera de här frågorna utanför er egen organisation så att ni får in nya perspektiv?
