Eva Throne-Holst

Säkerhetschef

Eva brinner för utmaningen i att utforma säkerhetsregler som resulterar i en effektiv hantering av risker samtidigt som de bidrar till nya affärsmöjligheter. Inom UC är hon verksam som koncernsäkerhetschef. På fritiden är det multisport och friluftsliv, helst kajakpaddling med camping i skärgårds- eller fjordlandskap som gäller. Här bloggar hon om företagssäkerhet och tittar på trender i omvärlden och här hemma, hur påverkar det oss och hur ska man skydda sig?

Cybersäkerhet – Fem funktioner som beslutsfattare bör ställa krav om!

Du som beslutsfattare inom en organisation bör på en övergripande nivå förstå fem funktioner som krävs för ett effektivt skydd mot cyberhot. Genom att koppla dessa funktioner till beslut, förändringar och risker som är aktuella för organisationen, blir det lättare att styra risknivåer och säkerhetsinvesteringar relaterade till den digitala verklighet din organisation agerar inom. De funktioner jag talar om har definierats i NIST Cybersecurity Framework och är: IDENTIFY – Utveckla organisationens förståelse för hantering av cyberrisker som omfattar system, människor, tillgångar, data och förmågor. Egentligen är det helt logiskt. Vad behöver vi veta för att kunna bygga ett bra försvar? Först och främst behöver vi ju förstå vad som ska försvaras, vilket värde det har och vilken hotbild som råder. Först då har vi den specifika förståelse som krävs för att kunna rikta de begränsade medel vi har för bästa skydd. Av de hot som finns – vilka är mest sannolika och vilka skulle åsamka oss störst skada? PROTECT – Utveckla och implementera lämpliga skyddsåtgärder för att säkerställa leverans av kritiska tjänster. När vi har koll på vad som ska skyddas och mot vad det behöver skyddas är det dags att skaffa oss koll på själva skyddet. Hur ska vi hantera åtkomster till system och data? Behöver vi kryptera data? Hur bygger vi en säker nätverksarkitektur? Vilken/vilka antiviruslösningar behöver vi? Kort och gott alla investeringar vi gör i att försöka hindra en attack eller åtminstone skydda våra mest kritiska tillgångar från skada om vi trots allt råkar ut för en attack (eller oavsiktliga fel för den delen). DETECT – Etablera lämpliga åtgärder för identifiering av händelser som kan vara indikationer på en cyberattack. Det blir allt viktigare att kunna upptäcka tidiga indikationer som tyder på att en attack är på gång, men även att kunna utreda vad som egentligen hänt och vilka delar av IT-miljön som påverkats när attacken väl är ett faktum. Hur ska vi övervaka vår miljö? Vilken typ av händelser ska vi vara extra vaksamma på? Vilken typ av händelser ska generera larm? Nu pratas det mycket i säkerhetsbranschen om lösningar baserade på AI/machine learning där analys av dataflöden, användarbeteenden och loggdata från den egna miljön samkörs mot data om kända cyberattacker för att hinna upptäcka en attack innan den ”slagit rot” i den egna IT-miljön. I bästa fall lyckas man identifiera ett intrång innan syftet med intrånget nåtts. RESPOND – Etablera lämpliga åtgärder för att effektivt agera på en cyberattack. En felaktig hantering kan leda till mycket stora onödiga kostnader och kan även försvåra en vidare utredning och bevisföring. Här är planering och övning viktiga komponenter. Inte bara planering och övning rörande hur själva attacken kan stoppas och direkt skada av system och data kan minimeras, utan även planering och övning rörande kommunikation och hantering av kunder, partners, media mm. Organisationer som drabbats av större cyberattacker de senaste åren kan ofta vittna om en oerhört pressad krissituation som i sig kräver sin hantering. RECOVER – Etablera lämpliga åtgärder för motståndskraft och återställning i händelse av en cyberattack. Sist men inte minst behöver en organisation som drabbats av en cyberattack, efter att själva attacken stoppats och hanterats, kunna återställa normal produktion och återhämta sig. Detta arbete kan vara mer omfattande än hanteringen av själva attacken och kräver omsorgsfull planering. Väl genomtänkta återställningsplaner för kritiska system spelar här en central roll, men det gäller inte bara att återställa systemen till normal drift, utan ofta krävs det att skyddsförmågan höjs. Annars är risken mycket stor att organisationen drabbas av en ny attack eftersom en första attack ofta följs av ytterligare attacker.

Så blir du säkrare på cyberhavet!

Tänk dig internet som ett hav. Du vet att en flytväst är ett bra skydd för att minska risken att drunkna om du skulle hamna i vattnet. Du vet också att du inte bör ge dig ut i en liten roddbåt på öppet hav om det är storm. Du skulle nog inte välja att åka på en kryssning i farvatten som härjas av krig eller pirater – oavsett hur billig en sådan kryssning skulle vara. Allt som ett resultat av din kunskap om hot och risker. Precis som med sjöfart är kunskap den viktigaste säkerhetsåtgärden vid internetanvändande. Det gäller både dig som uppkopplad privatperson men även din arbetsgivare och dig som anställd och användare av arbetsgivarens utrustning. Därför är det viktigt både för dig och för din arbetsgivare att förstå den aktuella hotbilden på internet och hur ni är exponerade. Ett mycket roligt sätt att lära dig om cyberhoten är att titta på Mikko Hyppönens presentationer. Mikko Hyppönen är en av mina stora idoler – han är säkerhetsvärldens rock star. Börja med att lägga en kvart av din tid på detta underhållande TED talkoch se om du inte blir sugen på att lära dig mer! En enligt min uppfattning riktigt bra källa till kunskap för dig som uppkopplad privatperson är den sida med tips som U.S. Department of Homeland Security skapat för icke-tekniska datoranvändare.Här kan man lära sig om hoten och även om hur man skyddar sig. Om du inte orkar navigera igenom alla tips så rekommenderar jag starkt följande tre: Hur du säkrar upp ditt hemmanätverk Goda säkerhetsvanor Tips om mobil säkerhet Jag har även några favoritkällor vad gäller såväl generella hot som allmänt om cybersäkerhet mer riktade till den som har ett mer professionellt intresse, men inte redan är ”säkerhetsnörd”: Sveriges Computer Security Incident Response Team (CERT-SE), en del av MSB ger varje vecka ut ett veckobrev för den som vill hålla sig ajour med aktuella händelser. European Union Agency for Network and Information Security (ENISA) sammanställer varje år en rapport om den generella hotbilden. För ett strukturerat sätt att lyfta en organisation först till en hygiennivå och sedan vidare vad gäller cybersäkerhet rekommenderar jag det öppna ramverk som Center for Internet Security (CIS) tillhandahåller. U.S. Deparment of Commerce har tagit fram det öppna ramverket NIST Cybersecurity Framework som också kan bidra till inspiration i säkerhetsarbetet. Finns det något särskilt ämne rörande säkerhet som du skulle önska belyst i en framtida blogg? Hör i så fall av dig! /Eva