Etisk hackning är viktigare än någonsin

Ditt IT-system har förmodligen minst en okänd bakdörr öppen för hackare. Det bästa sättet att hitta den innan det är för sent? Fråga hackarna själva.

I gamla västernfilmer brukade färgen på hatten koda en karaktär som god eller ond: vit hatt för hjältar, svart för skurkar. Idag bärs traditionen vidare, åtminstone i bildlig bemärkelse, i cyberrymdens svar på vilda västern: de utkanter av internet där lagens långa arm trevar i blindo. Det är här vi finner så kallade black hat och white hat hackers – hackare som använder sina förmågor för att antingen attackera eller assistera organisationer som har säkerhetsluckor i sina IT-system.

David Jacoby har dåliga nyheter till dig

Om du tror att just ditt företag inte tillhör dem så har David Jacoby, senior security researcher på Kaspersky, dåliga nyheter. Enligt honom är man aldrig helt skyddad från intrång – målet är istället att identifiera och förebygga angreppsvinklarna innan någon annan hinner först. David berättar att man antingen kan anlita säkerhetskonsulter, utbilda sin egen personal så att de kan utföra tester – eller vända sig till hackare. Till exempel utbildas just nu 200 studenter på KTH i Stockholm i så kallat etiskt hackande.

Det finns också så kallade bug bounty-program där externa white hat-hackare belönas om de lyckas hitta luckor i ett system. Ett upplägg som såväl Apple och Spotify som amerikanska flygvapnet förlitar sig på.

– Det finns väldigt tydliga regler för vad man som hackare får göra eller inte göra. Vilka system man får testa och vad man får göra på de systemen. Dessa tjänster brukar även sättas på separata nätverk, så även om någon får tillgång till testmiljön så finns det ingen känslig data eller tillgång till företagets nätverk, säger David Jacoby.

Som att gå till tandläkaren

Hur kostsam processen är kan bero på dess omfattning och vilken profil uppdragsgivaren har. För ett par år sedan delade exempelvis Google ut 112 500 dollar till en person som avslöjade en allvarlig säkerhetsbrist i deras Pixel-enheter. Men det går att hålla nere kostnaderna genom att göra sin läxa i förväg, och faktiskt tänka igenom sin säkerhet ordentligt innan man ber någon annan sticka hål i den.

– Man kan jämföra det med att gå till tandläkaren. Om du aldrig borstat tänderna så kan ett enda tandläkarbesök kosta skjortan, men om du har skött dina tänder så kanske inte det kostar så mycket.

Den populäraste luckan för hackare

Bug bounty-tävlingar går att anordna via plattformar som existerar för just detta ändamål. Exempelvis har sajten HackerOne ett nätverk av hundratusentals experter som kan testa dina system. (Det är också just denna tjänst som amerikanska försvaret föredrar att använda sig av.) En majoritet av dessa experter är självlärda white hat-hackare – och en stor andel rapporterar också att de någon gång upptäckt säkerhetsbrister som de inte varnat den drabbade organisationen för, eftersom det saknats kanaler för att meddela detta.

Den populäraste luckan att nosa upp är XSS, cross site scripting, som bland annat gör det möjligt för illasinnade hackare att injicera skadlig kod eller stjäla skyddad information från en webbplats.

Men även om bug bounty-program är en betydligt bättre metod än att bara hålla tummarna, varnar David Jacoby för att säkerhetsarbetet per definition aldrig är avslutat.

– Det finns inga företag som är helt säkra. Du kan jämföra det med vad som helst – finns det hus eller byggnader som är 100 procent säkra från intrång? Bränder? Det finns det inte, inte ens en bunker är helt säker.

Molnet är säkrare än vad många tror

Säkerhetskonsulten Linus Kvarnhammar drev tidigare företaget Syneptic, som hjälper företag med etisk hackning. Han ser att behovet för etisk hackning ökar hela tiden, men också att säkerheten i till exempel molntjänster faktiskt är bättre än vad många tror.

– Behovet ökar hela tiden. Hoten blir fler och fler, eftersom bedragarna dras till de ställen där information och pengar samlas. Men samtidigt som säkerhetsriskerna ska tas på största allvar så finns det faktiskt stora fördelar med molnet här. Vissa molnlösningar ger en bra översikt och aktiverar larm om något oförutsett inträffar i tjänsten, säger han.

Kom igång med skalbar säkerhet i din molntjänst

Läs mer

Det finns inga företag som är helt säkra. Du kan jämföra det med vad som helst – finns det hus eller byggnader som är 100 procent säkra från intrång? Bränder? Det finns det inte, inte ens en bunker är helt säker.

David Jacoby, Senior security researcher på Kaspersky

18 juni 2020

Det här stör vi oss på mest när det gäller IT-säkerhet

Din IT-säkerhet är inte bättre än människorna som ska arbeta i den. “På vissa företag är det här en horror show.”

Så naiva är vi när det kommer till IT-säkerhet

Skillnaden mellan vad vi investerar i IT-säkerhet och de faktiska kostnaderna går att mäta i miljarder, och gapet bara växer.

Klienthantering – Viktig del av IT-säkerheten

Allt fler uppkopplade enheter som används både privat och i jobbet tvingar företagen att modernisera klienthanteringen. Annars riskerar man att IT-säkerheten blir lidande.

Så lägger du grunden till företagets IT-säkerhetsarbete

IT-säkerhetshoten blir allt fler när cyberbrottslingarna professionaliseras. Idag är frågan inte om ditt företag kommer att drabbas, utan när. Vi guidar dig till både tekniken och principerna bakom ett modernt IT-säkerhetssystem.

Guide: Så säkrar du upp företagets mobiltelefoner

Mobiltelefonen är ett minst lika vanligt arbetsredskap som datorn för de flesta. I den här guiden går vi igenom hur du ska göra för att inte telefonen ska bli den svaga länken i IT-säkerhetskedjan.

Säkerhet eller användarvänlighet – Måste man välja?

Det kan ibland verka som att det försiggår ett krig mellan IT-avdelningar och deras användare. Men måste man välja sida?