Specialisten på informationssäkerhet

Per Strömsjö jobbar som expertkonsult och utbildare inom informationssäkerhet i vårt specialistbolag Exsec. Här ger han oss en liten inblick i vad informationssäkerhet är, hur hotbilden har förändrats, hur de anställdas beteende påverkar och bästa praxis för att mildra konsekvenser vid en säkerhetsincident.

Vad är informationssäkerhet och varför är det viktigt för organisationer?

Informationssäkerhet handlar om att identifiera och skydda information med avseende på en eller flera aspekter. Det finns olika säkerhetsaspekter och de kanske mest uppmärksammade är konfidentialitet, riktighet och tillgänglighet. Vilken information som är mest värdefull för oss (och när) varierar över tid så organisationer behöver processer och ett ledningssystem.

Säkerhet kan ses som en form av kvalitet och utan rätt kvalitet i sin informationshantering kan organisationen inte nå rätt förtroende hos exempelvis kunder, leverantörer, medarbetare och myndigheter. För att kunna skydda information behöver vi hantera den på ett betryggande sätt både när den lagras, överförs och används och vi behöver göra det på ett sätt så att omvärlden vågar lita på oss.

Informationssäkerhet är också relevant för oss som individer. Vi har alla information som vi inte vill ska hamna i fel händer, manipuleras otillåtet eller försvinna (har du koll på din fotosamling?). Hemma bygger vi kanske inga processer eller ledningssystem men vi behöver likväl hantera området, precis som många andra sorters (o)säkerhet i vardagen.

Vilka är de vanligaste hoten mot informationssäkerhet idag?

Ett tidlöst hot är när medarbetare pratar om fel saker på fel ställe, exempelvis känsliga jobbfrågor på allmän plats. Avsiktliga hot ger ofta större rubriker men mycket skada kan åstadkommas utan direkt uppsåt. Vi lämnar datorer inloggade, vi slarvar med att uppdatera våra mobiler, vi återanvänder lösenord och vi missar att aktivera tvåfaktorsinloggning.

Det kan vara frestande att fokusera på ny teknik men säkerhetskopiering är lika viktig nu som någonsin. Med återställningsrutiner på plats kan vi städa upp om vi skulle utsättas för en utpressningsattack, något som tyvärr blivit vanligare. Vi kanske anlitar en molnleverantör men vi måste fortfarande kravställa och testa att vi har den här förmågan innan den behövs.

Hur har hotbilderna förändrats över tid och vad kan vi förvänta oss i framtiden?

Förutom att skydda vår (och andras) information måste organisationer och samhällen bli vassare på att skydda sig mot information - sann eller inte. Det finns aktörer som vill splittra och skapa osäkerhet. Fabricerade videoklipp blir allt enklare att åstadkomma och något så grundläggande som ett fritt, demokratiskt val blir omöjligt att genomföra om väljarna inte kan lita på information från och om kandidater.

I takt med att våra processer digitaliseras blir tekniska hot viktiga. De flesta av oss använder färre ringpärmar och kassaskåp nuförtiden. Samtidigt behövs alltid människor och organisation för att få rätt teknik på plats och se till att den fungerar. Säkerhetsarbete kommer nog alltid att handla om att bygga med (och för) alla dessa faktorer. Säkerhet blir ett lagarbete. Fotbollslaget vill knappast ha elva målvakter och vår organisation kan inte bara bestå av duktiga administratörer.

Hur påverkar anställdas beteende informationssäkerheten i en organisation?

I värsta fall är någon i vår egen organisation en angripare. Men den anställdes beteende kan också oavsiktligt orsaka skada. Om jag har för lite kunskap (till exempel om vad som är skyddsvärt och vilka våra interna rutiner är) eller är allmänt slarvig kan jag bidra till att konfidentialiteten, riktigheten eller tillgängligheten hos vår information inte kan upprätthållas som avsett.

En angripare kommer att sikta på våra svaga punkter. Om vi skulle ha starkt tekniskt skydd men dålig kunskap eller motivation hos medarbetare kan det vara betydligt enklare att gå den vägen. Varför försöka bryta upp ett lås om du kan få någon att öppna åt dig?

Vad är social ingenjörskonst och hur kan organisationer förebygga det?

Social ingenjörskonst syftar traditionellt på när makthavare (likt ingenjörer) söker skapa ett utopiskt samhälle (jämför ”folkhemmet”), en föreställning att med tillräcklig planering ur ett uppifrån-perspektiv blir livet för medborgarna gott. Engelskans Social Engineering har fått en annorlunda innebörd inom säkerhetsområdet - social manipulering. Även här handlar det om att manipulera andra men nu för egen vinning.

Vi människor tenderar (som tur är!) att lita på varandra. Utan tillit, ingen säkerhet. Men för mycket tillit är inte heller bra. En skicklig aktör kan utnyttja detta genom att till exempel hänvisa till något diffust som måste hanteras skyndsamt. Det kan handla om vad som helst från att bli insläppt i en lokal, att få behörigheter tilldelade eller rent av en betalning genomförd. Om vår organisation har en stark säkerhetskultur kommer jag som medarbetare att se min roll i säkerheten och vara motiverad att gå utanför bekvämlighetszonen när det behövs genom att kanske ställa rätt motfrågor då det behövs.

I vissa sammanhang kan vi också stärka skyddet för vår information genom att se till att det behövs två parter för att genomföra en förändring. Då räcker det inte med att lura en av oss.

Hur kan utbildning och medvetenhetsträning förbättra informationssäkerheten?

Det pratas mycket om medvetenhet inom säkerhet men jag menar att medvetenhet inte räcker. Jag måste som medarbetare ha rätt kunskap och motivation för att engagera mig. Även om målet ska vara att det är ”lätt att göra rätt” hos oss så kommer det alltid att finnas situationer då det är bekvämare att titta bort än att ingripa. Då behövs motivation.

Det finns gott om kurser men jag skulle vilja lyfta riskanalyser. Om vi arbetar systematiskt och proaktivt med risk och låter medarbetare vara delaktiga så bygger det både kunskap och motivation. Få utbildningar är så effektiva som att delta i en riskworkshop om vårt eget område – vare sig det nu är ett informationsobjekt, ett system, en process eller tjänst. Vad skulle kunna hända här, hur troligt är det, hur illa är det när det händer och vad kan vi göra åt saken?

Vad är en säkerhetsincident och hur bör organisationer reagera när de upptäcker en?

En informationssäkerhetsincident kan ses som en händelse där information blir komprometterad med avseende på någon säkerhetsaspekt. Då har vi en faktisk konsekvens, större eller mindre. Det kan också vara en händelse där vi avvikit från våra processer och rutiner på ett sätt som kunde fått konsekvens men där vi hade tur och klarade oss (så vitt vi vet). Vi kanske glömde låsa ett rum men inget ser ut att ha försvunnit…

En incident som upptäcks måste rapporteras för att kunna hanteras på bästa sätt. Den som upptäcker och den som hanterar är ofta olika parter. Av avgörande betydelse är att incidenter blir dokumenterade. Det är inte OK om vi som organisation blir förvånade andra gången något inträffar. Medicinen är en process för incidenthantering där vi mäter vad som händer, analyserar och förstår orsaker samt förbättrar vårt skydd över tid. I många sammanhang är det inte OK att bli förvånad ens första gången något händer och då är vi inne på att systematiskt söka förutse och möta händelser som kanske inte inträffat tidigare (vad vi vet). Det området kallar vi risk.

Vilka bästa praxis finns för att hantera och mildra konsekvenserna av en säkerhetsincident?

Vi måste kunna upptäcka det som sker, begränsa och återställa skadan. Det här är tre reaktiva förmågor alla organisationer behöver. Det räcker till exempel inte om vi skulle vara världsbäst på att upptäcka incidenter om det är det enda vi kan. En livräddare som bara sitter kvar i sin stol och upptäcker olyckor är inte till någon större nytta. Inom informationssäkerhet är det tyvärr inte så ovanligt att det är en extern part som först upptäcker (konsekvens av) en incident. Förhoppningsvis är det då en välvillig part som skyndsamt upplyser oss - men det kan vi inte utgå från.

Här tangerar vi området säkerhetsarkitektur. Vi behöver implementera de säkerhetsmekanismer som behövs och orkestrera dessa till en helhet som innefattar människa, teknik och organisation och som bygger både proaktiva och reaktiva förmågor. I ett incidentläge är vårt fokus reaktivt men när incidenten är stängd ska vi tänka proaktivt. Hur kan det som hänt förebyggas eller förhindras nästa gång?

👉🏿 Per Strömsjö är mycket ansedd inom informationssäkerhet och håller kursen Riskbaserat arbetssätt med fokus på Informationssäkerhet. Klicka här så landar du på Exsecs webb där du kan läsa mer om kursen.