IT-säkerhetshoten blir allt fler när cyberbrottslingarna professionaliseras. Idag är frågan inte om ditt företag kommer att drabbas, utan när. Samtidigt har tillgången till IT-säkerhet demokratiserats i och med billiga och lättillgängliga molntjänster. Vi guidar dig till både tekniken och principerna bakom ett modernt IT-säkerhetssystem.
Självklart vill ingen drabbas av dataintrång. Men alla kanske inte förstår vidden av vad det innebär, eller vilka följder ett dataintrång kan få. Det mest uppenbara är att någon lyckas ta sig in och stjäla företagets data. Den kan sedan säljas till konkurrenter, användas i utpressningssyfte, läckas till media, postas i olika internetforum, krypteras eller raderas från företagets servrar.
Det här skadar företaget på en mängd olika sätt, inte bara ekonomiskt. Ett företag som drabbas av dataintrång riskerar att förlora i anseende hos kunder och partners och kan även få svårare att anställa nya medarbetare i framtiden. Att försöka dölja eller mörka ett dataintrång är ingen bra idé, särskilt då de nya GDPR-reglerna kräver att företag som drabbas av dataintrång meddelar både sina kunder och Datainspektionen.
… men IT-säkerhet handlar inte bara dataintrång
Det finns andra saker som kan göra att företaget drabbas av IT-relaterade arbetsbortfall och dataförlust, till exempel strömavbrott, brand, vattenskador, naturkatastrofer, stöld, borttappade enheter och mycket annat. En välfungerande IT-säkerhetspolicy med tillhörande infrastruktur underlättar i alla dessa, och många fler, situationer. Ett effektivt system för backup och disaster recovery funkar exempelvis utmärkt när data ska migreras till nya system eller när det är dags att flytta företagets datacenter till molnet.
Förberedelser
Kategorisera data
Den viktigaste delen i ett IT-säkerhetsarbete är att inventera det som IT-säkerhetssystemet är tänkt att skydda, nämligen företagets data. Hur mycket data har företaget? Hur mycket är affärskritiskt? Vad skulle det innebära om datan hamnade på villovägar? Vilka olika skydds- och accessnivåer behöver vi för vår data? Alla behöver förmodligen inte ha tillgång till allt och viss data kan kräva exempelvis tvåfaktorsautentisering för att redigeras.
Viktigt att komma ihåg är att det inte bara är företagets data som hanteras på företagens enheter, utan vanligtvis hundratals eller kanske tusentals privata bilder, filer, dokument och filmer, även om företaget har policys som förbjuder privat användande av företagets enheter.
Analysera hotbilden
Nästa steg är att ta reda på hur hotbilden ser ut. Hur stor sannolikhet är det att en viss incident uppstår? Olika företag har olika IT-säkerhetsbehov. Prioritera de scenarier som är mest kritiska för just ditt företag. Exempel: om majoriteten av medarbetarna befinner sig ute på fältet under sin arbetstid bör fokus ligga på att säkra deras mobila enheter, inte att lägga allt krut på en avancerad brandvägg på kontoret.
Detektera och hantera intrång
Bilden av ett dataintrång är för många en krypterad hårddisk och ett meddelande som uppmanar offret att sätta in en summa på ett Bitcoin-konto. Den typen av så kallade ransomware-attacker ökar visserligen, men många attacker är betydligt mer diskreta än så.
I själva verket märker många företag inte att de har haft ett dataintrång förrän deras data ligger tillgänglig för nedladdning på exempelvis en fildelningstjänst. Intrångsdetektering är därför en av de viktigaste delarna i IT-säkerhetsarbetet
Etablera ett normalläge
Dataintrång innebär i regel att en obehörig på något sätt har tagit kontroll över en medarbetares konto och påbörjat en otillåten aktivitet, exempelvis kopiering av känsliga data. Då gäller det att det finns system på plats som kan upptäcka den här aktiviteten och larma eller vidta åtgärder. Men för att göra det måste det finnas en tydlig bild av vad som är normalt beteende för användaren ifråga, och hur trafiken i företagets nätverk flödar när det inte pågår någon otillåten verksamhet.
Det här är oerhört svårt att göra manuellt, särskilt eftersom mer och mer av trafiken i våra nät är krypterad. Men dagens IT-säkerhetssystem kan med hjälp av artificiell intelligens skapa en bild av vad som är normalt och sedan larma när avvikelser upptäcks.
När intrånget är ett faktum
Idag är det inte frågan om företaget kommer drabbas av ett intrång, utan när. Därför gäller det att det finns tydliga riktlinjer för vad som ska göras när intrånget är ett faktum. Det viktigaste är att försöka begränsa och isolera attacken. Det gör du genom att kapa kontakten mellan den infekterade enheten och resten av företagsnätverket. Om du fått indikation på att en användare beter sig konstigt bör du blockera användarens konto tills du fått klarhet i vad det avvikande beteendet beror på.
Välj rätt infrastruktur
Molnbaserad lösning vs. egen lösning
IT-säkerhet är idag en fråga som rör i princip alla företag i alla storlekar. Men för mindre och medelstora företag blir en egen IT-säkerhetsavdelning med infrastruktur som ska underhållas och experter som ska anställas och utbildas en onödigt stor kostnad. Idag tjänar de allra flesta på att köpa in IT-säkerheten ”as a service”. På samma sätt som företag idag betalar en fast månadsavgift för exempelvis molnlagring och applikationer är brandvägg, antivirusskydd, intrångsskydd och säkert företagsnätverk också något som kan abonneras och skalas upp och ner efter behov.
Arbeta säkert på språng
Idag jobbar vi alltmer mobilt och utanför kontorets fyra väggar. Vi sitter på caféer, tåg och flygplatser och vi behöver tillgång till snabb och pålitlig uppkoppling. Men det betyder inte att vi får kompromissa med säkerheten. Även om fler och fler appar och sajter idag använder https-protokollet för krypterad trafik är publika wifi-nätverk inte att rekommendera när du ska arbeta mobilt. Istället bör mobildata användas och helst kompletteras med en VPN-tjänst.
Rätt rutiner för enheter på vift
Det är också viktigt att företaget har rutiner på plats för att hantera stöld och förlust av mobila enheter. Om du tappar din dator, telefon eller surfplatta, eller får den stulen, ska den inte gå att öppna av en obehörig person. Lösenordsskydd och hårddiskkryptering ska självklart vara aktiverade, men enheten ska även kunna spåras och raderas på distans så att all känslig data försvinner från enheten.
Moderna smarta telefoner har system för detta inbyggt, och det finns även i alla moderna MDM-verktyg (Mobile Device Management). Med hjälp av MDM-verktyget kan du enkelt uppdatera operativsystem, lokalisera enheter, installera appar och tilldela olika rättigheter. Blir en telefon stulen kan innehållet snabbt raderas och hårddisken krypteras, allt från en central punkt. I MDM-verktyget kan du också se till så att enheten säkerhetskopieras ofta så att medarbetaren kan hämta ut en ny enhet, återställa datan och fortsätta jobba.
Glöm inte IoT-prylarna
Det är inte bara datorer, telefoner och surfplattor som utgör angreppspunkter i företagets nätverk. Idag finns en mängd så kallade IoT-produkter (Internet of Things) som alla är uppkopplade mot företagets nätverk och därmed blir potentiella vägar in för en angripare. Därför gäller det att uppkopplade skrivare, lampor, kaffemaskiner, paneler för mötesbokningar och annat efterlever företagets säkerhetskrav och exempelvis har stöd för säkerhetsuppdateringar och inte lagrar och skickar lösenord i klartext.
Processer och rutiner för medarbetarna
Medarbetarna ofta svagaste länken
Dagens IT-säkerhetssystem är i många avseenden så avancerade att om företaget har system som motsvarar branschstandard är en frontalattack mot exempelvis företagets brandvägg i stort sett lönlös. Istället är den svagaste länken i regel den enskilda medarbetaren.
Den absoluta majoriteten av alla intrång idag inleds med någon typ av phishing-attack, antingen via mail eller via sociala medier. Medarbetaren luras att besöka en hemsida eller klicka på en länk i ett mail som utger sig för att vara något det inte är. Därför är medvetenheten hos medarbetarna om dagens IT-säkerhetsläge och hur en attack faktiskt går till avgörande. Med en ökad förståelse följer i regel också en ökad acceptans och efterlevnad av företagets regler och rutiner för IT-säkerhet.
Så hanterar du lösenord
Det pratas mycket om vikten av att utforma policys för säkra lösenord, men att kräva att användarna ska ha långa lösenord med många avvikande tecken, och dessutom ändra dem med viss regelbundenhet, kan vara kontraproduktivt.
Långa lösenord som består av en blandning av bokstäver, siffror och tecken kan vara svåra att komma ihåg och kan resultera i att användaren sparar dem på ett osäkert sätt, exempelvis i en okrypterad textfil på datorn eller på en Post-It-lapp på skrivbordet. Om användarna vet att de aldrig ska använda samma lösenord på flera ställen kommer inte regelbundna byten av lösenord att öka säkerheten nämnvärt.
Ett alternativ till långa lösenord som både är säkrare och smidigare för användaren är att använda tvåfaktorsautentisering med hjälp av en mobil enhet eller en USB-nyckel.
Undvik Shadow IT
Företaget kan investera i hur många smarta och säkra tjänster det vill, men de kommer inte att vara till nytta om inte medarbetarna använder dem. Om företagets sanktionerade system för exempelvis fildelning upplevs för krångligt att använda kan det hända att vissa medarbetare använder alternativa tjänster för att underlätta sin vardag, ett fenomen som kallas Shadow IT. Det kan medföra en rad risker; den mest uppenbara är förstås att den alternativa tjänsten inte uppfyller företagets säkerhetskrav, men vad många kanske inte tänker på är att vissa tjänster kräver ägandeskap över materialet som laddas upp.
Att känslig (eller ens någon) data från företaget inte längre är företagets egendom är såklart förödande. En tredje risk med shadow IT är att företagets data lagras på ett sätt som bryter mot företagets avtal med sina kunder. Vissa data kanske inte får lagras utanför landets gränser, men hamnar på servrar över hela världen när en kommersiell molnlagringstjänst används.