Överbelastningsattacker och svaga inloggningslösningar är några värstingar mot företagsnätverken. Här är de främsta skyddslösningarna.
En studie från KPMG (2014) visar att 13 av 14 undersökta större svenska företag och verksamheter i offentlig sektor blev utsatta för riktade nätattacker eller infektionsförsök.
– De 14 undersökta verksamheterna har tillsammans 70 000 enheter som datorer och smarta telefoner. Skadlig kod tar sig in via webbläsare, Java och samarbetsprogram. Koden kan också leta sig in i företagsnätverken via webbpubliceringsverktyg och publika webbplatser som anställda besöker, säger Johan Björk, ansvarig för information- och it-säkerhetstjänster på KPMG.
Ingen visste om att de var drabbade när undersökningen gjordes. I verksamheternas nätverk och datorer fanns till exempel elak kod, som trojaner och botar. Konkret kan bedragarna vara på jakt efter kundregister, nyckeltal, eller information om pågående företagsaffärer.
– En elak trojan i företags it-system kan leda till stora ekonomiska konsekvenser. Kostnaden för en sådan incident kan lätt uppgå till miljonbelopp. I värsta fall kan ett företag gå i konkurs om det blivit hårt drabbat, säger Johan Björk.
Det kan också handla om att bedriva utpressning eller utföra överbelastningsattacker i nätverk. Ett exempel är Stockholms läns landsting (som inte ingick i undersökningen). Ett så kallat ransomware hade krypterat en del av landstingets filer i våras. Sedan kom det upp en ruta där de begärde en viss summa för att man ska få filerna upplåsta. Några av de säkerhetslösningar som de 14 verksamheterna använder är bland annat brandväggar, antivirus och lösningar för att flagga för avvikande beteende i nätverken. Men dessa skydd räcker inte längre, menar Johan Björk.
– En av de viktigaste åtgärderna är att införa Patch management. Syftet är att uppdatera klienter och servrar med de senaste säkerhetsuppdateringarna och servicepack för operativsystem, säger han.
I värsta fall kan ett företag gå i konkurs om det blivit hårt drabbat.
Det tål att upprepas. Brandväggar och antivirus ska alltid vara uppdaterade. Se även till att använda Applocker, en ny funktion i Windows och Windows Server som gör att it-avdelningen kan ange vilka användare eller grupper som kan köra vissa program i organisationen, baserat på unika filidentiteter. Man kan också skapa regler för att tillåta eller neka att program körs.
– Grundläggande för en användare är tvåfaktorsautentisering och en säker bärbar dator med säkerhetsprogram du har kontroll på. Under distansarbete är VPN a och o, konstaterar Björn Sjöholm, hos säkerhetsföretaget Europoint.
Med ett Virtuellt Privat Nätverk, VPN, skapas en stark krypterad förbindelse över ett publikt nätverk som internet. VPN skyddar både mot intrångsförsök och mot avlyssning. Tvåfaktorsautentisering innebär två olika kombinerade identitetskontroller. Allt mer efterfrågat är biometriska inloggningar som telefoner och datorer med fingeravtrycksläsare, eller enheter med 3D-kameror som identifierar användarens ansikte.
– En fingeravtrycksläsare räcker inte, utan ska kombineras med något annat, som ett svårt lösenord. Smarta kort baserat på PKI (public key infrastructure) är en av de säkraste inloggningslösningarna, säger Björn Sjöholm.
För att skydda sig mot de växande nätverkshoten, och för att kunna logga och spåra intrångsförsök och övervaka vad anställda skickar ut och tar emot på nätverken, är nätverksövervakning en vass säkerhetsåtgärd. Verktygen för nätverksanalys och nätverksövervakning installeras i regel hos it-avdelningen eller ingår som ett erbjudande när it-verksamheten läggs på entreprenad. Den starka trenden är att helt eller delvis köpa mer avancerad övervakning och analys som molntjänst.
– För it-avdelningarna blir det allt svårare att ha ett falköga på sina nätverk och ha de senaste säkerhetskunskaperna. En större it-avdelning måste dygnet runt ha många specialister för att kunna skydda nätverken optimalt. Då är det förstås bättre att få skalfördelar genom att ha övervakningen som tjänst säger Magnus Backlund, på konsultföretaget B3IT. Men han flaggar för att det finns en fälla: – Många som köper nätverksövervakning som tjänst har dålig koll på vad de egentligen behöver, säger Magnus Backlund.
Poängen är att först lägga krut på att ta fram en genomarbetad risk- och sårbarhetsanalys för att få fram vilka behov verksamheten har. Analyserna kan peka på olika säkerhetsbrister i dina it-nätverk. Du kan behöva bättre alarmförmåga, tydligare säkerhetsrapporter, logghanteringar, enskilda skydd mot överbelastningsattacker och effektivare incidenthantering, menar Magnus Backlund.
Förutom att dina analyser ger anvisningar om mer förebyggande säkerhetsåtgärder, som att kunna minimera risker för incidenter i dina it-nät, kan analysen mynna ut i att skyddet i andra nät måste bli bättre i det som benämns Internet of Things. Det kan också handla om att följa legala krav och regelverk. – Inför återkommande inventeringar för att syna alla komponenter i nätverken så de kan klara av allt från förändrade trafikmönster till överbelastningsattacker, säger Magnus Backlund.
Säkerheten får aldrig bli för krånglig för anställda att använda. Då är risken stor att lösningarna negligeras. Och it-avdelningen kan bygga en fästning med it-säkerhetslösningar. Men om personalen är oförsiktiga sänks säkerheten rejält. Genom att ha en it-policy som skapar rätt användarbeteende når man långt.
– Utmaningen är att policyn inte får bli en skrivbordsprodukt som glöms bort. Följ upp den så att medarbetarna följer policyn, som kan handla om allt från att inte ladda ner appar från okända källor till att enbart använda krypterade anslutningar, säger Magnus Backlund.
Logga in säkert
- Token
- Säkerhetsdosor och personliga lösenord. Det finns även digitala dosor som mobilappar. En lösenordshanterare kan skapa starka lösenord.
- Tvåfaktorsautentisering som bygger på publika certifikattjänster, som e-legitimation.
- Sms-lösningar
- Varje gång en användare loggar in via VPN genereras ett nytt lösenord.
- Smarta kort baserat på PKI (public key infrastructure) Det finns även kortläsare som är integrerade i klienterna.
- Biometriska inloggningar
- Datorer med fingeravtrycksläsare, och enheter med 3D-kameror som identifierar användarens ansikte. En fingeravtrycksläsare bör kombineras med något annat, som ett svårt lösenord.
En tredjedel
Så stor del av ditt företags it-säkerhet beror på anställda i verksamheten. Resten av it-ansvaret vilar på ditt företags it-avdelning eller outsourcingföretag. Med en levande it-policy kommer du långt. Den kan handla om att aldrig logga in i företagets system via en publik dator som kan vara placerad i en hotellobby eller i en konferensanläggning. Anställa bör heller inte använda gratisrelaterade molntjänster som lagringstjänster, mejltjänster och till och med sociala medier. I tjänsterna kan det gömma sig elak kod, som trojaner och botar. Vidare kan policyn meddela att inte ladda ner appar från okända källor, och att använda backuptjänster som är godkända av it-avdelningen.
Exempel på leverantörer
- Gemalto
- RSA
- Symantec
- Verisec
Nätverksövervakning
- It-avdelningar som övervakar sina egna nät kan till exempel använda verktygen Observium och PRTG.
- Dustin erbjuder nätanalys och övervakning genom förvärvet av Commsec.
3 frågor till Mads Konge Nielsen, IT-chef VIA University College – Danmarks största yrkeshögskola
1. Vilken typ av tvåstegsverifiering är bäst?
Svaret beror på många olika faktorer, men generellt skulle jag säga att de optimala lösningarna är de där man använder mobiltelefonen för tvåstegsverifiering. Dels är de relativt lättanvända och dels utgör de en förnuftig säkerhetsåtgärd.
2. Vad är viktigast för att genomföra en effektiv risk- och sårbarhetsanalys?
Att du har ordning på dina data och på det tillhörande dataflödet. Utan den här överblicken har du ingen möjlighet att genomföra en rättvisande säkerhetsanalys. Vi utgår från ISO27001-standarden, som är till stor hjälp i analysarbetet.
3. Vilket blir ert nästa steg vad gäller nätverkssäkerhet?
Vårt fokus under den närmaste tiden kommer att ligga på compliance-analys enligt ISO27001 samt tillhörande handlingsplan. Vilka konkreta initiativ som kommer att bli aktuella är svårt att förutse på det här stadiet, men helt klart är att dataadministration – särskilt i förhållande till EU:s nya förordning om personuppgifter – kommer att spela en central roll och ställa krav på konkreta tekniska och juridiska åtgärder.
Text: Johan Cooke
Illustration: Valero Doval


