Guide: Så skyddar ni er verksamhet från it-hoten
Hur ska er säkerhet förbättras? Frågan är inte vad ni gör, utan vad ni INTE gör. – När det gäller it-säkerhet är det blindfläckarna som utgör största risken, säger Christer Böke, konceptansvarig för it-säkerhet på Atea. Så här upptäcker ni, och täcker upp för, dessa blindfläckar.
Det spända säkerhetspolitiska läget, och en rad uppmärksammade cyberattacker den senaste tiden – och inte minst de senaste årens snabba utbredning av distansarbete, digitalisering och mer utnyttjande av molnet– har lett till att verksamheter oroar sig mer än någonsin för att bli utsatta.
– Det viktigaste är att ta grepp om situationen och kartlägga verksamhetens svagheter, risker, förmågor och oförmågor att hantera allt som rör säkerheten. Många tror att säkerheten är it-chefens ansvar. Men skulle det bli så att produktionen står stilla på grund av ett intrång, eller om känsliga personuppgifter sprids och förtroendet för verksamheten skadas så är det ytterst ledningens ansvar. Hela organisationen behöver få klart för sig om de olika risker som finns, vilka som äger de olika riskfrågorna och säkerställa att processer som rör säkerheten fungerar, säger it-säkerhetsexperten Christer Böke.
Upptäck era blindfläckar i arbetet med säkerheten
En av de största farorna ur ett säkerhetsperspektiv är att tro sig ha koll på läget och lita för mycket på sin egen erfarenhet och kunskap. Christer Böke rekommenderar att i stället luta sig mot ett etablerat ramverk. CIS 18 är ett av de mest kända, och används över hela världen. En enklare variant är MSB’s lista med 10 punkter, som kan ses som en lägsta tröskel att ta sig över.
– Genom att använda ett etablerat ramverk minskar ni risken för blindfläckar, säger Christer.
– En del verksamheter gör misstaget att bygga upp omfattande säkerhet på vissa områden, samtidigt som man är helt omedveten om andra som gör att verksamheten utsätts för stora risker. Det är bättre att göra grundläggande insatser inom alla områden, än att göra stora åtgärder inom några få områden och missa andra.
”Det kan liknas vid att installera robusta dörrar hemma i villan, tillsammans med de säkraste dörrlåsen på marknaden, samtidigt som källarfönstren står öppna när ni åker hemifrån.”
Brist på detektion och responsförmåga
En vanlig sårbarhet i många verksamheter är bristen på detektion och responsförmåga – att både kunna upptäcka misstänkta aktiviteter i nätverken, och snabbt analysera läget och åtgärda vid behov.
– Det krävs en samlad logghantering av alla de loggar som genereras av it-systemen, både för att säkerställa spårbarheten och för att ha en chans att vara proaktiv, upptäcka potentiella försök till intrång och slippa bli tagen på sängen. Tyvärr känner många it-avdelningar att de redan är tillräckligt belamrade. Man saknar personer som har tid och kunskap att titta på detta, säger Christer.
Ett sätt att kompensera för sin egen tidsbrist är att köpa in säkerhet som tjänst, i form av SOC (security operation center) eller IRT (incident response team). Men om ni ändå väljer att sköta det här själva, är det nödvändigt att i alla fall reflektera över vilka förmågor ni har för att upptäcka och ta hand om en it-attack. Och framför allt, vem som ska göra vad om ni blir utsatta.
– Säkerställ att ni har kontaktvägar om ni hamnar i en situation där er egen förmåga inte räcker till. Vem ska ni ringa om ni försökt att släcka branden, men märker att elden har spridit sig? Och vad händer om något inträffar efter arbetstid?
Involvera hela organisationen i säkerheten
Av de punkter som listas i ramverket CIS 18, lyfter Christer ut behovet av att göra alla medarbetarna i organisationen mer medvetna om sin egen roll för säkerheten.
– Många klickar fortfarande på länkar från okända avsändare, och är oaktsamma när det gäller lösenord och går ifrån datorn utan att låsa skärmen. Ofta görs för lite för att hålla uppe medvetenheten bland medarbetarna.
För ledningsgrupper som ser ett behov att göra hela organisationen bättre på att hantera verksamhetsrisker och utveckla ett tydligare ägandeskap för riskerna, rekommenderar Christer att ta fram en genomgående säkerhetsplan .
Vad skall vi göra för att förbättra vår it-säkerhet?
Kartlägg era befintliga förmågor utifrån ett aktivitetsbaserat ramverk med tydliga rekommendationer. Exempelvis MSB 10 punkter eller CIS 18.
Vi tror att vi är ganska väl skyddade idag men skulle vilja ta reda på om vi verkligen är det. Vad kan vi göra?
Anlita en professionell partner för genomförande av penetrationstest och sårbarhetsskanning.
Vilka lösningar bör vi beakta för att bli proaktiva i vårt säkerhetsarbete?
Här kan det vara värt att införskaffa en SIEM-lösning som fokuserar på att upptäcka anomalier utifrån logghändelser och korrelation. Säkerställ även att ni har en förmåga att ta hand om informationen. Saknar ni egna resurser för t.ex. jourhavande eller 24/7, överväg att köpa en SOC-tjänst.
Vad skall vi göra för att skydda oss mot ransomware?
Se över era rutiner kring backup. Testa att återläsning fungerar som det är tänkt. Säkerställ att ni har koll på era identiteter och behörigheter. Underskatta inte vikten av att uppdatera och patcha mjuk- hårdvara, vidtag särskilda åtgärder där det inte är möjligt (legacy). Utbilda era användare i riskerna kring bedrägerier och phishing. Allt detta är exempel på aktiviteter som man fångar in om man arbetar från ett aktivitetsbaserat ramverkHur kan vi förbereda oss inför en eventuell attack?
Etablera en process för vem som ”gör vad och när”. Ta fram en plan B hur ni skall agera i händelse av att omfattningen av en incident går utöver vad den egna verksamheten kan hantera. Undersök möjligheterna att få stöd från en tredje part via en rutin för IRT (Incident Response Team).
Vad skall vi köpa?
Ta reda på om det finns säkerhetsfunktioner som ni redan kan nyttja men som ännu ej tagits i bruk (eller om det finns inställningar i befintliga system som bör avaktiveras!). Ofta kan man göra väldigt mycket för att höja säkerheten utan att köpa nytt. Kartlägg verksamhetens förmågor vad gäller människor, processer och teknik - investera därefter.
Bästa långsiktiga rådet?
Lär känna era styrkor och svagheter. Arbeta med ISO27000 vad beträffar ”att” och ”vad” som bör göras. På frågan ”hur” det skall omsättas i praktiken, i termer av IT-säkerhet, använd ett aktivitetsbaserat ramverk (t ex. CIS 18). Glöm inte bort att arbeta med säkerhet fortlöpande; öva, testa och skapa förutsättningar för en säkerhetskultur. Underskatta inte vikten av att utbilda era användare.
