Tillbaka till Säkerhet för medarbetarnas skull

Anders Nilsson, Lead Security Architect, Atea: ”Hög tid att täppa till säkerhetsluckorna”

När Folkhälsomyndigheten uppmanade oss att jobba hemma, blev det plötsligt julafton för många hackare.

— Om vi tidigare hanterade känsliga uppgifter från ett slott omgärdat av vallgravar och vakter, så skulle vi plötsligt skydda samma uppgifter från en enslig fjällstuga. Vi gjorde oss mer sårbara helt enkelt. Nu är det hög tid att kartlägga och täppa till säkerhetsluckorna, säger Anders Nilsson, Lead Security Architect på Atea.

Många är trötta på pandemin och på att jobba hemma. Men Anders Nilsson och hans kollegor som jobbar med it-säkerhet på Atea menar att vi måste vänja oss vid det nya normala. Sett ur ett säkerhetsperspektiv behöver vi faktiskt backa några steg, för att se över vilka lösningar som vi installerade i våras för att lösa de mest akuta problemen.

Ju högre access desto mer intressant för hackare

I rollen som Lead Security Architect ser Anders Nilsson varje vecka hur välskötta verksamheter, även när det gäller it-säkerhet, angrips på allt mer sofistikerade sätt.

– Om du har tillgång till värdefulla uppgifter kan hackare lägga många timmar på att på att ta reda på var dina barn går i skolan, de hackar rektorns e-post, mejlar dig i dennes namn och ber dig sedan klicka på en länk för att godkänna något, säger Anders Nilsson.

I somras utsattes även ett av världens mest kända företag för en välplanerad attack.

– En sjuttonåring lyckades ta sig in och kom åt högt skyddsvärda uppgifter hos Twitter genom att bygga upp ett förtroende hos några väl utvalda medarbetare. Och det är ett företag som satsar stora summor på att skydda verksamhetens och användarnas uppgifter.

Säkerhetsbootcamp på schemat

Det är lätt att bli uppgiven. Om de bästa blir hackade, då finns väl inget man kan göra?

Anders Nilsson tycker inte att man ska misströsta. Istället ska man satsa på struktur och klassificering av information. Fram för allt ska man se till att samtliga medarbetare får ökad kunskap om informationssäkerhet och vet hur de kan skydda sig när de jobbar på distans.

Hjälper till att prioritera åtgärder

Något som Ateas kunder sätter stort värde på är att de kan få hjälp med alla delar i it-säkerhetsarbetet. På bredden och på djupet. Och att de får hjälp att tänka strategiskt och prioritera vilka områden som är viktigast att stärka först.

– Vi hjälper till med nulägesanalysen, vi ser över arkitekturen, vi går igenom hur information bör klassificeras, vi utbildar i vilka lagar, regler och policys som måste följas (NIS, LIS, GDPR med flera). Och sist med inte minst hjälper vi till med att utbilda medarbetarna.

Träna på attacker och intrång irl

Dessa säkerhetsworkshops bör bli så verklighetstrogna som möjligt. Därför skräddarsyr Ateas säkerhetsexperter dem efter situation och behov.

– Det är viktigt att alla medarbetare får uppleva attacker och intrång irl. Det låter dramatiskt, men det kan handla om att få testa vad som händer när du klickar ”fortsätt, fortsätt”, även efter det poppat upp en ruta med texten: ”Du är på väg att lägga känsliga uppgifter i en molntjänst som inte är säker. Vill du fortsätta?”

Kärlek vid första knapptryckningen

Anders Nilsson var nio år när han fick sin första dator. Han minns känslan och ljudet när datorn startade första gången. Och ska vi vara helt ärliga så inledde han sin karriär på fel sida lagen.

– Det är väl preskriberat vid det här laget, men när jag var nio fanns det ett spel som jag väldigt gärna ville spela, men inte fick. Så jag hackade mig in, erkänner Anders och ler.

När de jämnåriga kompisarna körde skoter på fjället i Malmberget i Norrbotten, lärde sig Anders mer om datorer för varje dag. Han åker söderut till Luleå för att plugga till civilingenjör – och efter studierna har it och it-säkerhet stått i fokus. Karriären inleddes med att stärka it-säkerheten inom finansbranschen och sedan två år tillbaka är det Ateas kunder som Anders Nilsson lägger sin omsorg på.

Man sittande på en bänk med laptop i knät

Påverkar framtiden i globalt råd

Idag är Anders Nilsson med och driver utvecklingen, bland annat genom ett globalt råd, där Microsoft bjudit in säkerhetsexperter från olika delar av världen för att dela erfarenheter, spana in i framtiden och ge återkoppling på nya lösningar.

Vad skulle du förändra inom it-säkerhet globalt, om du fick bestämma?

– Jag skulle avskaffa alla lösenord. Det är alldeles för lätt att hacka dem, vi gör dem korta och enkla för att minnas. Tekniken finns ju, du använder säkert redan ditt pekfinger (skanning) för att komma in i datorn. När biometrics finns överallt, genom unik identifiering med fingeravtryck, ögonskanning och liknande, det kommer att bli ett rejält lyft.

Och när det gäller Sverige, vad skulle du stärka här? 

– Jag skulle föra in it-säkerhet på schemat från förskolan. Då skulle vi tidigt utveckla kompetens, intresse och förståelse för dessa viktiga frågor. Hemkunskap var ju värdefullt en gång i tiden, men idag söker vi på Youtube för att se hur man bakar en sockerkaka. It-säkerhet handlar ju om att skydda de mest värdefulla tillgångar vi har: våra barn, våra personuppgifter och andra högt skyddsvärda uppgifter.

Anders Nilssons bästa tips: Ställ dig följande frågor för att jobba säkrare på distans!

Hur många ad hoc-lösningar skapade ni i våras?

Har ni adekvata lösningar på plats som skyddar medarbetare och informationstillgångar? Låt en utomstående rådgivare hjälpa er att identifiera och prioritera förbättringsområden.

Lägger ni all information i molnet?

Ta hjälp av experter som vet vilka policys och lagar som omfattar vad som får lagras i molnet och vad som måste lagras on-prem, i egna databaser eller servrar. Och glöm inte, det finns gott om säkra vägar till molnet.

Hur många gånger per år har ni säkerhetsövningar?

Icke påannonserade säkerhetsworkshops hjälper alla att se värdet av policys, riktlinjer och säkra beteenden. De är också ett utmärkt tillfälle att testa befintliga tekniska skydd samt er detektionsförmåga och incidentberedskap.

Får medarbetare hos er mer träning ju högre behörighet de har?

Idag kan vi se att hackare tar reda på vilka inom verksamheten som har hög access och sedan använder de sofistikerade metoder för infiltrering.

Har ni redan börjat använda nya molntjänster som Microsoft Teams?

Det är utmärkt. Men glöm inte att aktivera de säkerhetsfunktioner som finns inbyggda där, något som ofta redan ingår i licenskostnaden.

Hur många molntjänster använder ni för samma uppgift?

Under våra genomlysningar upptäcker vi ofta att tre eller fyra molntjänster används för samma uppgift, till exempel dela dokument. Smalna av, fokusera, stärk säkerheten och spar licenspengar.

Tillbaka till Säkerhet för medarbetarnas skull
Atea.se upplevs bättre om du uppdaterar din webbläsare. Här hittar du en ny version av internet explorer