Gå till huvudinnehåll
Security station

Circle of Trust – cybersäkerhet som strategisk fråga

Daniel Akenine

Daniel Akenine

Nationell Teknikchef

Lästid, 12 min.

Innehållet under den 1½ timme långa sändningen fokuserade kring rollen som säkerhetsansvariga har, konkreta case, hur ser hotbilden ut både nationellt och internationellt, rekommendationer på hur arbetet kan förbättras, hur organisationen kan struktureras. Hur jobbar konsulterna och hur ser situationen ut hos kunden. Även Microsoft Security Defence Report och hur går man vidare med hjälp av en Discover Workshop på Microsoft presenterades. 

Medverkande i programmet var Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på NOA, Nationellt IT-brottscentrum, Thomas Keisu, VP Information Security & Infrastructure, Skanska, Camilla Lundahl, IT-säkerhetsansvarig, Avanza, Marcus Murray, säkerhetsexpert, Truesec och Stefan Schörling, säkerhetsrådgivare, Onevinn. Från Microsoft Daniel Akenine, nationell teknikchef, Jonathan Samuelsson, marknadskoordinator, samt Sandra Elvin, säkerhetschef, i rollen som moderator.  

Under sändningen fanns möjlighet för deltagarna att ställa frågor, och vi har sammanställt de frågor som besvarades under eventet samt frågor riktade till Marcus Murray respektive Camilla Lundahl som de har besvarat i efterhand. 


Frågor som riktade sig direkt till Marcus Murray, Truesec 

1. Kommande ny backuplösning 

När det gäller backup så pratade jag om att man måsta säkerställa att man har backupplösningar som angriparen inte kan påverka. Det historiskt gångbara exemplet har varit offline-backuper men det finns även moderna lösningar som det går att skriva till men som inte tillåter radering, överskrivning eller modifiering. Detta går att åstadkomma om man har en robust lösning som är 100% separerad från den gemensamma infrastrukturen och om den har en robust modell för behörigheter, rättigheter och auktorisation, samt att den efterlevs. En annan sak man måste säkerställa är att man har bra täckning så att man kan återställa allt man behöver återställa.  

Om man får en hel IT-miljö krypterad och det enda man backat upp är data så kommer man snabbt önska att man hade backat upp alla applikationer och operativsystem med dess konfigurationer. Andra utmaningar som är bra att ha en plan för är vad man backar upp till. Det krävs ju en destination att backa upp till om man samtidigt har en pågående forensisk utredning på en massa system. 

2. Stänga ner system/minimera spridning  

Det kan vara lite olika från fall till fall men om man skall ge ett generellt tips så vill man nätverksmässigt isolera system från angriparen så att denne inte kan påverka dem. Om man har en kompetent EDR (Endpoint Detection & Response) tex så är detta funktionalitet som ingår. Vid en pågående ransomware attack vill man samtligt avbryta kryptering så snart som någonsin möjligt. Har man kompetenta verktyg kan man vara granulär och stoppa exekveringen av den process som krypterar. Har man inte verktyg och kompetens så kan man tvingas att ta till trubbigare åtgärder som att stänga av system. Ur ett forensiskt perspektiv vill man snabbt extrahera minne då det är volatilt och viktiga spår försvinner vid en avstängning. Dessa spår kan vara avgörande för att söka av andra system efter skadlig kod eller andra spår från angriparen som behövs för att avvärja en fortsatt attack.  

3. Krypterat data 

Förmodar att frågan är relaterad till att krypterat data (förhoppningsvis) blir värdelöst för angriparen om det exfiltreras. Det som är viktigt att tänka på i det fallet är att man behöver en lösning som angriparen inte kan dekryptera. Dels skall en robust krypteringsalgoritm nyttjas, dels skall implementationen, programvaran som krypterar, vara robust skriven så att den i sig inte har brister och sist men inte minst så måste nycklarna vara både starka och skyddas från angriparen. Ett klassiskt misstag är att man har en applikation som konsumerar krypterat data och att nyckeln är lagrad på ett sätt som alltid är tillgängligt för systemet och att angriparen få kontroll över applikationen. Om angriparen sonika kopierar ut databasen är krypteringen värdefull men om angriparen är mer sofistikerad och använder applikationen för att dekryptera datat och sedan exfiltrera klartextdatat så saknar krypteringen helt skyddsvärde. Talar man exempelvis statsfinansierade aktörer i kombination med data som har värde över tid kan även krypterat data vara värdefullt att exfltrera. Kanske kan man bruteforca (dvs metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken i alla möjliga positionernyckeln, eller hitta svagheter i nyckel-genereringen som gör att det går att optimera attack mot nyckeln eller att framtida teknik möjliggör knäckande av krypton och nycklar som idag är för komplicerat eller kostsamt. 

4. Trygghet i molntjänster 

Det viktiga är att man förstår risk, lagstiftning, konsekvens etc. så att man kan ta informerade beslut om huruvida man skall använda en molntjänst eller ej, samt vilket data som skall placeras i den. Dock kan jag ibland se att många organisationer inte ser till helheten. Exempelvis kanske man väljer att inte lita på stora molnaktörer som Microsoft eller Amazon men samtidigt så outsourcar man hela sin drift till exempelvis ett indiskt bolag och låter individer som man vare sig säkerhetsgranskat eller träffat ansvara för höga behörigheter som direkt eller indirekt ger åtkomst till oerhört känsligt data.  

5. Var ligger säkerhetsfrågan i mindre bolag 

För mindre bolag anser jag att frågan alltid bär ägas av den yttersta operativa ledningen. Dvs VD, CFO om man inte har någon CIO, CISO eller motsvarande. De är ju de som äger konsekvenser från incidenter och de skador som de medför. Det viktiga för mindre bolag är att skaffa sig rådgivare som har rätt kompetens och genuint vill deras bästa. Mindre företag är sårbara idag, inte bara vad det gäller hot utan även för att de går att lura på tjänster, produkter och annat som inte löser deras problem på ett optimalt sätt. Insikt och bra rådgivning är det viktigaste! 

6. SIEM eller EDR 

Generellt sätt är EDR viktigare om målet är att upptäcka och hantera dataintrång och man är ett bolag som har arbetsstationer och servrar. SIEM ( Security information and event management) är generellt sätt inte lika bra på att detektera, hantera och mitigera dataintrång.  Dock har SIEM en massa andra värden om man har korrekta loggkällor och ett kompetent SIEM.  

7. Hetast info 

Ja, det vanligaste man stjäl idag är databaser, gärna från affärssystem. Affärskritiskt och värdefulla data som IP, just nu gärna kopplat till medicin, fordonsindustri, försvarsindustri, green energy, och andra forskningsintensiva områden som har värdefull ip.  Persondata har blivit värdefullt, inte minst på grund av GDPR och det går att använda den för utpressning. Vi ser också att finansiella data har ett högt värde om den kan användas för trading, utpressning etc. Sist men inte minst är all data som kan leda till renomméförlust värdefull för angriparna då den kan användas för utpressning.  

8. Försäkring

Att inte ha en Cyberförsäkring är en ren riskfråga som alla försäkringar. Vill man betala en premie kontinuerligt för att minimera risken för att tvingas ta en stor kostnad vid enskilda tillfällen. För de allra flesta är det relevant att teckna en cyberförsäkring idag. Dock bör man förstå försäkring så att man köper rätt saker. Dels skall den täcka de skador som man oroar sig för sen måste man förstå att den inte ersätter vare sig proaktivitet eller förmåga att snabba upptäcka och hantera incidenter. Försäkringen kommer i regel med en hygglig självrisk och den bästa skadan är den du inte behöver blanda in försäkringsbolaget för. Se också till att du har rätt incident-responders kopplade till din cyberförsäkring.  

9. Pandemi

är ett ord som är väl definierat. De dataintrång och angrepp som pågår mot vårt samhälle är inte vad man skulle definiera som en pandemi.  Dock är de oroväckande, ställer till stora skador och blir allt allvarligare.  


Frågor direkt riktade till Camilla Lundahl, Avanza 

1. Ni pratade tidigare om att företag måste veta vem som är kunden säkerställa att det är den som utför köp/inloggning. Hur kommer det sig att Avanza som är med här inte har QR-kod för bank-id på sin hemsida för att förebygga bedrägeriförsök? 

Det stämmer att QR-kod saknas idag. I övrigt: det går även att använda t ex Google Autenticator eller Microsoft Autenticator på våra tjänster. 

2. Avanza har ju fortfarande kvar användarnamn/lösenord på sin tjänst 

Användarnamn/lösenord ingår endast i det initiala steget för nya kunder. I nästa steg och vid fortsatt användning av våra tjänster krävs 2FA eller BankID.  


Övriga frågor 

1. Hej, vad heter rapporten? Länk? 

Rapporten heter Microsoft Digital Defence Report och går att ladda ner på: https://www.microsoft.com/en-us/download/details.aspx?id=101738 

2. Hur göra när noteringsregler och info om en säkerhetincident är i konflikt? Informationsskyldigheten för börsbolag. 

Detta är en juridisk fråga och styrelsefråga hur det skall hanteras. 

3. Hur många privata företag är det egentligen som jobbar med ett systematiskt informationssäkerhetsarbete? Hade man lagt lite resurser på detta tror jag att man kunde städa bort en hel del incidenter. Hur går diskussionen där? 

Vår uppfattning är att de flesta företag i hög grad arbetar systematiskt med informationssäkerhet men att komplixetet och resursbrist försvårar arbetet. Att förhindra alla incidenter måste inte vara ett ändamål i sig beroende på verksamhetens riskaptit så länge man håller sig inom ramarna för de policies och regelverk (inklusive lagar) man åtagit sig att följa. 

4. Men jag menade att hackers har ökat till antalet som en pandemi… Försökte skapa en ”bild”. 

I takt med att fler verksamheter digitaliserats så har värdet av cyberkriminalitet ökat och därmed lockat till sig allt fler cyberkriminella. Utöver det så har cyberkriminaliteten blivit alltmer automatiserad och effektiv vilket gör att en enskild hackare kan åstadkomma mer skada och på fler verksamheter än tidigare. 

5. Säkerhet är en styrelsefråga men i mindre företag där inte det finns någon egen säkerhetsgrupp. Var kan säkerhetsfrågan vara: IT (oftast men inte helt optimalt, Legal (allt fler GC får det ansvaret), Finans (även där ofta)? 

Det dagliga cybersäkerhetsarbetet kan hanteras olika beroende på hur verksamheten i övrigt organiseras men framgångsfaktor brukar vara att det sker i nära samarbete med den ordinarie verksamheten, exempelvis att IT-säkerhetarbetet sker nära IT-verksamheten. 

6. Jo, ytterst ansvariga men äga frågan strategiskt, menade jag. 

Samma som frågan ovan. Var det strategiska arbetet för cybersäkerheten bör landa beror på hur verksamheten i övrigt är organiserad men även strategiskt ansvar bör hanteras nära det operativa ansvaret för cybersäkerheten, då de tätt hänger ihop, och i samarbete med det strategiska arbetet för övriga verksamheter då cybersäkerheten ju ytterst syftar till att skydda kärnverksamheten och då behöver följa kärnverksamhetens utveckling. 

7. Var anser ni går gränsen för små bolag? (antal anställda) 

Man brukar säga att små företag är mellan 10-49 anställda. 

8. Microsoft är ju ett amerikanskägt företag och som jag förstått det så svarar Ms oavsett mot CloudAct även om data fysiskt lagras på servrar i Sverige? 

Rent principiellt så stämmer det att Microsoft lyder under CLOUD Act men då innebörden av detta ofta missförstås så rekommenderar vi att läsa på mer om hur CLOUD Act är utformad för att själv kunna bedöma vad det innebär för dig som kund och hänvisar därför till det amerikanska justitiedepartementets information: The Purpose and Impact of the CLOUD Act (justice.gov)  Microsoft i frågasätter varje förfrågan om utlämnade, samt redovisar halvårsvis de förfrågingar som görs, se Law Enforcement sektionen i denna blog.   https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

9. Kan vara bra att nämna möjligheten att simulerade cyberangrepp för säkrare IT-system. KTH har en intressant föreläsning på det ämnet. https://www.kth.se/aktuellt/kth-samtal/arkiv 

Helt rätt. Förutom det finns det inbyggd angreppssimulator i Microsoft Defender för Office 365. https://docs.microsoft.com/sv-se/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide 

10. Underkännande av Privacy shield innebär att vi fått problem då SCC inte är tillräckligt. När det gäller FISA-lagstiftningen kan ni ju egentligen inte ifrågasätta ett utlämnade. Det finns statistik på dettaockså hos Microsoft. Det är problematiskt med compliance och faktisk säkerhet ibland. 

Detta är en komplicerad fråga och vi har ytterligare i november förtydligat hur vi kommer att försvara våra kunders data. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/  

 

Kostnadsfritt webbseminarium: Viktiga trender inom cybersäkerhet i Europa

Läs om trender inom cybersäkerhet i Europa och om lösningar som skyddar mot hot

Kostnadsfri e-bok: Säkerhet – en förutsättning för framgång

Upptäck sju tips som hjälper informationssäkerhetschefer att ompröva sin säkerhetsstrategi

Upptäck fler relaterade artiklar per bransch:

Detaljhandel

  • HeadBrands framtidssäkrar med Microsoft 365 Business

    HeadBrands framtidssäkrar med Microsoft 365 Business

    Med en tillväxt på 300 procent de senaste tre åren är frisörgrossisten HeadBrands utan tvekan snabbväxande. De var också snabba med att inse hur deras strategi kring IT och tekniken de använde inte hängde med i samma takt, vilket de tog tag i direkt. HeadBrands behövde en modern IT-lösning för att kunna öka sin produktivitet […]

  • Microsoft HoloLens under arbete med stadsbyggnad

    Mixed Reality – en katalysator för innovation på arbetsplatserna

    Tack vare digitaliseringen är arbetslivet i ständig förändring vilket skapar behov av nya sätt att arbeta på. Ny teknologi och teknik stöttar de nya arbetssätten. Arbete idag är inte lägre bara ett utförande av rutinuppgifter utan har utvecklats till kreativt problemlösning som sker via flera enheter och lösningar. Vi ser också att arbetsgrupper är mer […]

Finans och försäkring

  • SEB:s känsliga information ligger säkert i molnet

    SEB:s känsliga information ligger säkert i molnet

    Banken SEB tar klivet och förflyttar delar av sin verksamhet in i molnet. Med ett gediget arbete tillsammans med Microsofts lösningar för samarbete, produktivitet och säkerhet är molnet nu så säkert att även banken kan jobba i det. Många företag ser de sömlösa fördelarna med att jobba i molnet. Det förenklar och underlättar verksamheten och […]

  • Two men with computers

    Best of Ecosystems: Aspias strategi för modernisering och tillväxt

    Best of Ecosystems: Aspias strategi för modernisering och tillväxt När redovisningsbyrån Aspia startade hade de 1 000 medarbetare, 15 000 kunder och omsatte runt en miljard kronor. Trots denna imponerande startposition saknade de stödfunktioner för IT, marknad, HR, Finans och försäljning. Men genom att börja från noll och anta strategin ”best of ecosystems” har de snabbt […]

Government

  • Kalix uppifrån

    Cyberattacken mot Kalix kommun

    ”Ingenting gick att använda. Det gick inte ens att skriva ut papper från skrivarna. Vår hemtjänstpersonal hade inte tillgång till journaler, ingen kom undan” Mitt i natten den 16:e december drabbades Kalix kommun av en cyberattack. Äldreomsorgen var de första som upptäckte felet. Plötsligt kunde de inte längre logga in i sitt journalsystem. När teknikerna […]

  • Houses and snow

    Så blev Uddevalla kommun en digital pionjär

    Så blev Uddevalla kommun en digital pionjär En kombination av envishet, nyfikna användare, ledningens stöd och rätt verktyg har gjort Uddevalla kommun till en ledande aktör när det gäller att dra nytta av digitaliseringens möjligheter. För tio år sedan befann sig Uddevalla kommun i flera avseenden i samma situation som många andra svenska kommuner. Lokala […]

Hälso- och sjukvård

Myndigheter

Skola och högre utbildning

  • Vidarutveckla traditionella undervisningsmetoder med Microsoft Teams

    Vidarutveckla traditionella undervisningsmetoder med Microsoft Teams

    Covid-19 har haft en enorm inverkan på de dagliga rutinerna för miljontals lärare, elever och studenter över hela världen. Microsoft Education-teamet har under denna tid hjälpt till på många håll så att det fungerat att hålla kontakten och delta genom distansundervisning. Nu när många länder börjar ta sig ur krisen hjälper Microsoft skolorna att gå […]

  • Möt de tre finalisterna i Årets tech-tjej 2024

    Möt de tre finalisterna i Årets tech-tjej 2024

    Nu står det klart vilka tre finalister som har chansen att vinna Microsofts utmärkelse Årets tech-tjej 2024. Dessa offentliggjordes under Microsoft Ignite fredag 15 mars. Vinnaren koras 21 mars på Universum Awards på Fotografiska i Stockholm. Under januari öppnade möjligheten att ansöka till Microsofts årliga utmärkelse Årets tech-tjej och i början av mars annonserades de […]

Tillverkning

  • Volvo car seen from above

    Developers are Happier and More Satisfied in Their Coding Environment

    GitHub Copilot makes the everyday work of Volvo Cars developers easier, more enjoyable, and more efficient. – The tool frees up time for innovation and, ultimately, allows workers to focus on perfecting the end product, says Martin Wänerskär of Volvo Cars.  Six months have passed since the extensive rollout of GitHub Copilot to Volvo Cars’  […]

  • Etex

    Etex använder moderna verktyg för att kunna fokusera på kunderna och få en mer enhetlig verksamhet

    I byggbranschen måste alla komponenter passa ihop och de måste vara tillgängliga i rätt tid, annars får man ingen produkt. För Etex, ett belgiskt byggmaterialföretag, är det här vardagsrutin, men de ville också hitta ett sätt att öka produktiviteten och samarbetet i sitt eget företag. Etex har verksamhet i mer än 42 länder med fler […]

Upptäck fler relaterade artiklar per dokumentation:

Det Nya Arbetslivet

  • workspacesweden

    WorkSpace Sweden – Forumet för morgondagens arbetsplats, Stocholm 11-12 april

    Aldrig förr har arbetsplatsens utveckling varit en viktigare ledarskapsfråga än nu. Den snabba digitaliseringen utmanar företag och organisationer på alla plan. Såväl affären som organisationen ska bli mer digital, innovativ, hållbar och snabbfotad. Medan arbetsgivare förväntar sig sällan skådade resultat av både medarbetare och giggare har morgondagens talanger helt nya krav på medarbetarupplevelsen. Vilken strategi […]

Digital HR

  • Framtidens hybrida kontor: Ställ tuffa krav på hårdvara

    Framtidens hybrida kontor: Ställ tuffa krav på hårdvara

    Är du en av alla svenskar som arbetat mer hemma till följd av pandemin? Hoppas det har gått bra. Det borde det ha gjort, i alla fall om man ska tro den undersökning som Microsoft och Boston Consulting Group nyligen genomfört, bland annat i Sverige. Den visar att nästan hälften svenskarna delvis arbetat från hemmet under 2020. Fler än sju av tio chefer […]

Digital Transformation

  • Upptäck möjligheterna med Azure i samband med vårens seminarier

    Upptäck möjligheterna med Azure i samband med vårens seminarier

    Azure Discovery Day i Stockholm och Göteborg Oavsett om du utvecklar appar eller bygger andra typer av lösningar, så kommer Microsoft Azure Discovery Day att hjälpa dig att utveckla dina kunskaper, fördjupa din kompetens och få dig att se nya tekniska möjligheter. Under de kortare sessionerna ger vi dig möjlighet att komma igång med Azure […]

Kundreferenser

  • Duggas globala vision för bättre utbildning

    Duggas globala vision för bättre utbildning

    Tillsammans med Microsoft möter Duggas digitala bedömningsplattform framtidens utbildning. Den enda provplattformen helt grundad i vetenskap är integrerad i flera Microsoft-lösningar och fortsätter skala upp världen över. Duggas bedömningsplattform låter skolor skapa, schemalägga och betygsätta prov för alla typer av utbildning. Man har varit en Microsoft-partner sedan starten och blev utnämnd till Partner of the […]

Pressrum

  • Upplevelserummet

    Microsofts Upplevelserum kan ge er helt nya perspektiv

    Tillbaka på jobbet, och ännu en gång ställer du dig den klassiska frågan: ”Finns det verkligen inget bättre sätt för oss att göra det här?”. Jo, det finns det. Ett besök i vårt ”Upplevelserum” lyfter inte bara frågan, utan ger dig som ledare både svaret och lösningen. Att förstå hur en organisation kan jobba smartare […]

Security & Privacy

Startups

  • en blå skål

    Att skapa appar för ditt företag har aldrig varit enklare

    Att skapa appar för ditt företag har aldrig varit enklare. Ett kraftfullt användargränssnitt gör det enkelt för alla som är bekanta med Microsoft Office att anpassa och utvidga Dynamics 365 och Office 365 för att kunna skapa användbara appar. Bygg businessappar på bara några timmar! Du kan koppla data till dina appar från källor som […]

Tips

  • en person sitter vid ett arbetsbord framför en bärbar dator

    De bästa tipsen för smartare distansarbete med Microsoft Teams

    Distansarbete börjar bli den nya vardagen för många och därför är det viktigt att hitta olika sätt att fungera effektivt som ett team. Microsoft Teams är skapat för att kollegor ska förbli produktiva och hålla kontakten med varandra och se till att alla kan fortsätta samarbeta och arbeta lika effektivt och säkert som på kontoret. […]