Bättre säkerhet ger nya möjligheter 

Förre FBI-chefen James Comey har sagt att det finns två typer av organisationer: De som har blivit hackade och de som inte vet om att de har blivit hackade. I takt med att allt fler företag anammar nya sätt att jobba i molnet ökar risken för cyberattacker för dem som inte byggt upp ett fungerande skydd. 

Den årliga rapporten Verizon Data Breach Investigation Report visar att majoriteten av cyberangreppen är finansiellt motiverade. Det kan handla om att man installerar cryptominer hos användaren för att bryta bitcoins eller annan kryptovaluta. Det kan också röra sig om utpressningsvirus där man krypterar datan och håller den mot en lösensumma. Eller att man säljer den data som man har kommit över till högstbjudande. Effekterna kan i många fall bli förödande för affärsverksamheten och varumärket. 

Många svenska företag lever dessvärre kvar i ett säkerhetstänk som påminner om gamla tiders borgar, med vallgravar och murar och soldater på bröstvärnet. Det fungerade hyggligt när all data skyddades på insidan av en brandvägg, men när datan flyter ut i olika tjänster på nätet så uppstår hål i modellen. Det innebär en teknisk skuld som måste betalas. 

En bra början att hantera den skulden är att sluta tänka på den interna nätverksgränsen som den första och sista försvarslinjen. I stället är det identiteten som bör betraktas som den viktigaste delen i säkerhetsarbetet. När datan delas i Office 365 eller Dropbox måste man kunna garantera att informationsskapaparen behåller ägandeskapet oavsett var informationen befinner sig. Det ställer ökade krav på tekniska kontroller, kryptering och autentisering. På så vis bygger man säkerhet på djupet med en mängd olika försvarslinjer och skydd. 

Den goda nyheten är att allt det här kan ske automatiskt med dagens teknik. Ett dokument kan enkelt skyddas även om det mejlas till din privata mejladress. Det kräver givetvis att man nyttjar funktioner som kryptering, identifiering med flera faktorer, såsom lösenord, ansiktsigenkänning eller fingeravtryck med mera. ”Zero Trust” är ett buzzword och det är den logiska fortsättningen när vi lämnar företagsborgen och börjar jobba ute i molnet. Lita aldrig på någon! Eller kanske snarare som Ronald Reagan uttryckte det: ”Trust, but verify”. 

En av USA:s skickligaste hackare fick under ett seminarium frågan vad man kan göra för att hålla någon som honom borta från sitt nätverk. Han svarade: ”Om en aktör bedömer det som extremt viktigt att ta sig in och kan lägga hur mycket tid och budget som helst, så är det i princip omöjligt att skydda sig. Det bästa du kan göra är att hela tiden övervaka vad som händer i din miljö, så att du åtminstone upptäcker intrånget och kan agera därefter.”

Problemet är dock inte att företag generellt sett är dåliga på övervakning, utan att de lägger alldeles för lite resurser på att korrelera data från alla loggkällor. Den enorma mängd data och falsklarm som registreras blir närmast omöjlig att överblicka för en människa. Men sätter du informationen i händerna på en robot med artificiell intelligens så kommer den att tugga i sig informationen, analysera den och upptäcka avvikande trender som är värda att undersöka. Sådan teknik var tidigare hiskeligt dyr, men ingår idag i standardpaketen för moderna säkerhetslösningar. Många företag har dem redan utan att veta om det. 

Säkerhet på djupet som bygger på identitet och zero trust innebär helt nya möjligheter att jobba och göra affärer. Du kan lugnt arbeta med känslig information från sommarstugan eller loungen på Arlanda utan att oroa dig för att den hamnar i orätta händer. Men det kräver att ditt företag arbetar systematiskt och drar nytta av de möjligheter som faktiskt finns. Här är tre råd på den kommande säkerhetsresan: 

Kartlägg verksamheten 
Börja med en teknisk och organisatorisk kartläggning av säkerhetsarbetet. Var finns den känsliga datan, kronjuvelerna? Hur exponeras ditt företag mot omvärlden och vilka är dina möjliga hotaktörer? Utan korrekt information om nuläget blir det omöjligt att fatta rätt beslut för framtiden. 

Värdera riskerna
Hur stor är sannolikheten att hoten realiseras och vad blir konsekvenserna? Värdera riskerna utifrån ett affärsperspektiv i kronor och ören och sätt ett pris för att införa ett skydd. Att implementera för dyra eller affärsförhindrande skyddsmekanismer kan bli en kostsam affär. 

Prioritera åtgärderna 
Gör en roadmap och sätt en tidsplan så att arbetet kan planeras utan att det stör den normala verksamheten. Satsa på utbildning och använd fantasin för att göra den interaktiv och engagerande för medarbetarna. Säkerhet kan faktiskt vara roligt!    

Peter Swedin
Nordic Security Lead, Avanade