Gå till huvudinnehåll
Security station

Circle of Trust – cybersäkerhet som strategisk fråga

Daniel Akenine

Daniel Akenine

Nationell Teknikchef

Lästid, 12 min.

Innehållet under den 1½ timme långa sändningen fokuserade kring rollen som säkerhetsansvariga har, konkreta case, hur ser hotbilden ut både nationellt och internationellt, rekommendationer på hur arbetet kan förbättras, hur organisationen kan struktureras. Hur jobbar konsulterna och hur ser situationen ut hos kunden. Även Microsoft Security Defence Report och hur går man vidare med hjälp av en Discover Workshop på Microsoft presenterades. 

Medverkande i programmet var Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på NOA, Nationellt IT-brottscentrum, Thomas Keisu, VP Information Security & Infrastructure, Skanska, Camilla Lundahl, IT-säkerhetsansvarig, Avanza, Marcus Murray, säkerhetsexpert, Truesec och Stefan Schörling, säkerhetsrådgivare, Onevinn. Från Microsoft Daniel Akenine, nationell teknikchef, Jonathan Samuelsson, marknadskoordinator, samt Sandra Elvin, säkerhetschef, i rollen som moderator.  

Under sändningen fanns möjlighet för deltagarna att ställa frågor, och vi har sammanställt de frågor som besvarades under eventet samt frågor riktade till Marcus Murray respektive Camilla Lundahl som de har besvarat i efterhand. 


Frågor som riktade sig direkt till Marcus Murray, Truesec 

1. Kommande ny backuplösning 

När det gäller backup så pratade jag om att man måsta säkerställa att man har backupplösningar som angriparen inte kan påverka. Det historiskt gångbara exemplet har varit offline-backuper men det finns även moderna lösningar som det går att skriva till men som inte tillåter radering, överskrivning eller modifiering. Detta går att åstadkomma om man har en robust lösning som är 100% separerad från den gemensamma infrastrukturen och om den har en robust modell för behörigheter, rättigheter och auktorisation, samt att den efterlevs. En annan sak man måste säkerställa är att man har bra täckning så att man kan återställa allt man behöver återställa.  

Om man får en hel IT-miljö krypterad och det enda man backat upp är data så kommer man snabbt önska att man hade backat upp alla applikationer och operativsystem med dess konfigurationer. Andra utmaningar som är bra att ha en plan för är vad man backar upp till. Det krävs ju en destination att backa upp till om man samtidigt har en pågående forensisk utredning på en massa system. 

2. Stänga ner system/minimera spridning  

Det kan vara lite olika från fall till fall men om man skall ge ett generellt tips så vill man nätverksmässigt isolera system från angriparen så att denne inte kan påverka dem. Om man har en kompetent EDR (Endpoint Detection & Response) tex så är detta funktionalitet som ingår. Vid en pågående ransomware attack vill man samtligt avbryta kryptering så snart som någonsin möjligt. Har man kompetenta verktyg kan man vara granulär och stoppa exekveringen av den process som krypterar. Har man inte verktyg och kompetens så kan man tvingas att ta till trubbigare åtgärder som att stänga av system. Ur ett forensiskt perspektiv vill man snabbt extrahera minne då det är volatilt och viktiga spår försvinner vid en avstängning. Dessa spår kan vara avgörande för att söka av andra system efter skadlig kod eller andra spår från angriparen som behövs för att avvärja en fortsatt attack.  

3. Krypterat data 

Förmodar att frågan är relaterad till att krypterat data (förhoppningsvis) blir värdelöst för angriparen om det exfiltreras. Det som är viktigt att tänka på i det fallet är att man behöver en lösning som angriparen inte kan dekryptera. Dels skall en robust krypteringsalgoritm nyttjas, dels skall implementationen, programvaran som krypterar, vara robust skriven så att den i sig inte har brister och sist men inte minst så måste nycklarna vara både starka och skyddas från angriparen. Ett klassiskt misstag är att man har en applikation som konsumerar krypterat data och att nyckeln är lagrad på ett sätt som alltid är tillgängligt för systemet och att angriparen få kontroll över applikationen. Om angriparen sonika kopierar ut databasen är krypteringen värdefull men om angriparen är mer sofistikerad och använder applikationen för att dekryptera datat och sedan exfiltrera klartextdatat så saknar krypteringen helt skyddsvärde. Talar man exempelvis statsfinansierade aktörer i kombination med data som har värde över tid kan även krypterat data vara värdefullt att exfltrera. Kanske kan man bruteforca (dvs metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken i alla möjliga positionernyckeln, eller hitta svagheter i nyckel-genereringen som gör att det går att optimera attack mot nyckeln eller att framtida teknik möjliggör knäckande av krypton och nycklar som idag är för komplicerat eller kostsamt. 

4. Trygghet i molntjänster 

Det viktiga är att man förstår risk, lagstiftning, konsekvens etc. så att man kan ta informerade beslut om huruvida man skall använda en molntjänst eller ej, samt vilket data som skall placeras i den. Dock kan jag ibland se att många organisationer inte ser till helheten. Exempelvis kanske man väljer att inte lita på stora molnaktörer som Microsoft eller Amazon men samtidigt så outsourcar man hela sin drift till exempelvis ett indiskt bolag och låter individer som man vare sig säkerhetsgranskat eller träffat ansvara för höga behörigheter som direkt eller indirekt ger åtkomst till oerhört känsligt data.  

5. Var ligger säkerhetsfrågan i mindre bolag 

För mindre bolag anser jag att frågan alltid bär ägas av den yttersta operativa ledningen. Dvs VD, CFO om man inte har någon CIO, CISO eller motsvarande. De är ju de som äger konsekvenser från incidenter och de skador som de medför. Det viktiga för mindre bolag är att skaffa sig rådgivare som har rätt kompetens och genuint vill deras bästa. Mindre företag är sårbara idag, inte bara vad det gäller hot utan även för att de går att lura på tjänster, produkter och annat som inte löser deras problem på ett optimalt sätt. Insikt och bra rådgivning är det viktigaste! 

6. SIEM eller EDR 

Generellt sätt är EDR viktigare om målet är att upptäcka och hantera dataintrång och man är ett bolag som har arbetsstationer och servrar. SIEM ( Security information and event management) är generellt sätt inte lika bra på att detektera, hantera och mitigera dataintrång.  Dock har SIEM en massa andra värden om man har korrekta loggkällor och ett kompetent SIEM.  

7. Hetast info 

Ja, det vanligaste man stjäl idag är databaser, gärna från affärssystem. Affärskritiskt och värdefulla data som IP, just nu gärna kopplat till medicin, fordonsindustri, försvarsindustri, green energy, och andra forskningsintensiva områden som har värdefull ip.  Persondata har blivit värdefullt, inte minst på grund av GDPR och det går att använda den för utpressning. Vi ser också att finansiella data har ett högt värde om den kan användas för trading, utpressning etc. Sist men inte minst är all data som kan leda till renomméförlust värdefull för angriparna då den kan användas för utpressning.  

8. Försäkring

Att inte ha en Cyberförsäkring är en ren riskfråga som alla försäkringar. Vill man betala en premie kontinuerligt för att minimera risken för att tvingas ta en stor kostnad vid enskilda tillfällen. För de allra flesta är det relevant att teckna en cyberförsäkring idag. Dock bör man förstå försäkring så att man köper rätt saker. Dels skall den täcka de skador som man oroar sig för sen måste man förstå att den inte ersätter vare sig proaktivitet eller förmåga att snabba upptäcka och hantera incidenter. Försäkringen kommer i regel med en hygglig självrisk och den bästa skadan är den du inte behöver blanda in försäkringsbolaget för. Se också till att du har rätt incident-responders kopplade till din cyberförsäkring.  

9. Pandemi

är ett ord som är väl definierat. De dataintrång och angrepp som pågår mot vårt samhälle är inte vad man skulle definiera som en pandemi.  Dock är de oroväckande, ställer till stora skador och blir allt allvarligare.  


Frågor direkt riktade till Camilla Lundahl, Avanza 

1. Ni pratade tidigare om att företag måste veta vem som är kunden säkerställa att det är den som utför köp/inloggning. Hur kommer det sig att Avanza som är med här inte har QR-kod för bank-id på sin hemsida för att förebygga bedrägeriförsök? 

Det stämmer att QR-kod saknas idag. I övrigt: det går även att använda t ex Google Autenticator eller Microsoft Autenticator på våra tjänster. 

2. Avanza har ju fortfarande kvar användarnamn/lösenord på sin tjänst 

Användarnamn/lösenord ingår endast i det initiala steget för nya kunder. I nästa steg och vid fortsatt användning av våra tjänster krävs 2FA eller BankID.  


Övriga frågor 

1. Hej, vad heter rapporten? Länk? 

Rapporten heter Microsoft Digital Defence Report och går att ladda ner på: https://www.microsoft.com/en-us/download/details.aspx?id=101738 

2. Hur göra när noteringsregler och info om en säkerhetincident är i konflikt? Informationsskyldigheten för börsbolag. 

Detta är en juridisk fråga och styrelsefråga hur det skall hanteras. 

3. Hur många privata företag är det egentligen som jobbar med ett systematiskt informationssäkerhetsarbete? Hade man lagt lite resurser på detta tror jag att man kunde städa bort en hel del incidenter. Hur går diskussionen där? 

Vår uppfattning är att de flesta företag i hög grad arbetar systematiskt med informationssäkerhet men att komplixetet och resursbrist försvårar arbetet. Att förhindra alla incidenter måste inte vara ett ändamål i sig beroende på verksamhetens riskaptit så länge man håller sig inom ramarna för de policies och regelverk (inklusive lagar) man åtagit sig att följa. 

4. Men jag menade att hackers har ökat till antalet som en pandemi… Försökte skapa en ”bild”. 

I takt med att fler verksamheter digitaliserats så har värdet av cyberkriminalitet ökat och därmed lockat till sig allt fler cyberkriminella. Utöver det så har cyberkriminaliteten blivit alltmer automatiserad och effektiv vilket gör att en enskild hackare kan åstadkomma mer skada och på fler verksamheter än tidigare. 

5. Säkerhet är en styrelsefråga men i mindre företag där inte det finns någon egen säkerhetsgrupp. Var kan säkerhetsfrågan vara: IT (oftast men inte helt optimalt, Legal (allt fler GC får det ansvaret), Finans (även där ofta)? 

Det dagliga cybersäkerhetsarbetet kan hanteras olika beroende på hur verksamheten i övrigt organiseras men framgångsfaktor brukar vara att det sker i nära samarbete med den ordinarie verksamheten, exempelvis att IT-säkerhetarbetet sker nära IT-verksamheten. 

6. Jo, ytterst ansvariga men äga frågan strategiskt, menade jag. 

Samma som frågan ovan. Var det strategiska arbetet för cybersäkerheten bör landa beror på hur verksamheten i övrigt är organiserad men även strategiskt ansvar bör hanteras nära det operativa ansvaret för cybersäkerheten, då de tätt hänger ihop, och i samarbete med det strategiska arbetet för övriga verksamheter då cybersäkerheten ju ytterst syftar till att skydda kärnverksamheten och då behöver följa kärnverksamhetens utveckling. 

7. Var anser ni går gränsen för små bolag? (antal anställda) 

Man brukar säga att små företag är mellan 10-49 anställda. 

8. Microsoft är ju ett amerikanskägt företag och som jag förstått det så svarar Ms oavsett mot CloudAct även om data fysiskt lagras på servrar i Sverige? 

Rent principiellt så stämmer det att Microsoft lyder under CLOUD Act men då innebörden av detta ofta missförstås så rekommenderar vi att läsa på mer om hur CLOUD Act är utformad för att själv kunna bedöma vad det innebär för dig som kund och hänvisar därför till det amerikanska justitiedepartementets information: The Purpose and Impact of the CLOUD Act (justice.gov)  Microsoft i frågasätter varje förfrågan om utlämnade, samt redovisar halvårsvis de förfrågingar som görs, se Law Enforcement sektionen i denna blog.   https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

9. Kan vara bra att nämna möjligheten att simulerade cyberangrepp för säkrare IT-system. KTH har en intressant föreläsning på det ämnet. https://www.kth.se/aktuellt/kth-samtal/arkiv 

Helt rätt. Förutom det finns det inbyggd angreppssimulator i Microsoft Defender för Office 365. https://docs.microsoft.com/sv-se/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide 

10. Underkännande av Privacy shield innebär att vi fått problem då SCC inte är tillräckligt. När det gäller FISA-lagstiftningen kan ni ju egentligen inte ifrågasätta ett utlämnade. Det finns statistik på dettaockså hos Microsoft. Det är problematiskt med compliance och faktisk säkerhet ibland. 

Detta är en komplicerad fråga och vi har ytterligare i november förtydligat hur vi kommer att försvara våra kunders data. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/  

 

Kostnadsfritt webbseminarium: Viktiga trender inom cybersäkerhet i Europa

Läs om trender inom cybersäkerhet i Europa och om lösningar som skyddar mot hot

Kostnadsfri e-bok: Säkerhet – en förutsättning för framgång

Upptäck sju tips som hjälper informationssäkerhetschefer att ompröva sin säkerhetsstrategi

Upptäck fler relaterade artiklar per bransch:

Detaljhandel

Finans och försäkring

  • SEB:s känsliga information ligger säkert i molnet

    SEB:s känsliga information ligger säkert i molnet

    Banken SEB tar klivet och förflyttar delar av sin verksamhet in i molnet. Med ett gediget arbete tillsammans med Microsofts lösningar för samarbete, produktivitet och säkerhet är molnet nu så säkert att även banken kan jobba i det. Många företag ser de sömlösa fördelarna med att jobba i molnet. Det förenklar och underlättar verksamheten och […]

  • Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    When: 4th of March 2020  Where: Microsoft, Regeringsg 25, Stockholm  Moderators: Johannes Anderberg, Business Development Manager FSI – Microsoft Sweden Ayaz Shukat, Digital Strategist FSI – Microsoft Sweden Welcome to the Microsoft brand-new office at Regeringsgatan 25 in Stockholm.    Microsoft Envision Forum: Reshaping the Financial Industry is a one–day thought leadership event for Business- and IT-leaders, designed to amplify insights and learnings in a collaborative way.    We […]

Government

  • Houses and snow

    Så blev Uddevalla kommun en digital pionjär

    Så blev Uddevalla kommun en digital pionjär En kombination av envishet, nyfikna användare, ledningens stöd och rätt verktyg har gjort Uddevalla kommun till en ledande aktör när det gäller att dra nytta av digitaliseringens möjligheter. För tio år sedan befann sig Uddevalla kommun i flera avseenden i samma situation som många andra svenska kommuner. Lokala […]

  • Kalix uppifrån

    Cyberattacken mot Kalix kommun

    ”Ingenting gick att använda. Det gick inte ens att skriva ut papper från skrivarna. Vår hemtjänstpersonal hade inte tillgång till journaler, ingen kom undan” Mitt i natten den 16:e december drabbades Kalix kommun av en cyberattack. Äldreomsorgen var de första som upptäckte felet. Plötsligt kunde de inte längre logga in i sitt journalsystem. När teknikerna […]

Hälso- och sjukvård

  • logotyp

    Varför förtroende är så viktigt vid vårdens digitala omvandling.

    Telefonen ringde nästan oupphörligen i flera veckor. Nu ringde det igen. ”Veronica” hörde jag en röst säga i andra änden. ”Vi har en idé!” Jag hörde omedelbart vem det var. Jag har känt Carlo Tacchetti nästan lika länge som jag har arbetat på Microsoft. Han är professor vid universitetet Vita-Salute San Raffaele och ansvarig för […]

  • ”Big Bang”-strategi för digitalisering – och hur man får den att fungera

    ”Big Bang”-strategi för digitalisering – och hur man får den att fungera

    Nuförtiden finns det inget sådant som ”business as usual”. Förändringar och avbrott är det nya normala. Tänk bara på de förändringar som påverkar din organisation just nu, med ny teknik och nya sätt som ligger bakom nya attityder och förväntningar från både anställda och kunder. Allt förändras. Och det enda alla dessa förändringar har gemensamt […]

Myndigheter

  • Business Sweden – en modern, global arbetsplats

    Business Sweden – en modern, global arbetsplats

    Med tillväxt och innovation som en del av vardagen måste tekniken stötta och underlätta. Ta del av Business Swedens glasklara fokus och varför Microsofts moln var det självklara valet.  

  • MSHoloLens

    Kiruna stad flyttas med stöd av Microsoft HoloLens

    Vid installation eller reparation av infrastruktur under mark, såsom fjärrvärmeledningar och elkablar, arbetar kommunerna och myndigheterna ofta i blindo. Kartor kan vara felaktiga eller föråldrade. I vissa fall existerar de inte alls. Men med hjälp av Mixed Reality och Microsofts HoloLens finns nu en mycket intressant teknisk lösning som har börjat att användas i samband […]

Skola och högre utbildning

  • Linköpings universitet

    Linköpings universitets kreativa lösningar kring hybridundervisning

    Linköpings universitet strävar alltid efter att förbättra och förenkla den digitala vardagen för sina studenter och lärare. Som lärosäte bedriver LiU gränsöverskridande forskning i nära samarbete med samhälle och näringsliv, bland annat inom IT. Universitetet erbjuder 120 olika innovativa utbildningsprogram och 550 kurser. Utöver sina fyra fysiska campus har LiU skapat ett femte som endast […]

  • en kvinna som använder en bärbar dator

    Ta reda på hur du levererar en bättre utbildning genom ”blandad lärmiljö”.

    Sedan Covid-19-utbrottet har våra utbildningskunder gjort fantastiska saker för att hålla eleverna engagerade medan de studerar hemma. Från eLearning-innovationer till att hålla humöret upp med bild- och matlagningsutmaningar. Lärare och elever har visat en fantastisk förmåga att komma igen under en tuff tid. Skolor och universitet har bevittnat det exceptionella värde som undervisning online kan […]

Tillverkning

  • Volvo car seen from above

    Developers are Happier and More Satisfied in Their Coding Environment

    GitHub Copilot makes the everyday work of Volvo Cars developers easier, more enjoyable, and more efficient. – The tool frees up time for innovation and, ultimately, allows workers to focus on perfecting the end product, says Martin Wänerskär of Volvo Cars.  Six months have passed since the extensive rollout of GitHub Copilot to Volvo Cars’  […]

  • en person som sitter vid ett skrivbord med en bärbar dator

    Min ledarskapskompass i dystra tider

    Microsofts Max Tchapeyou erbjuder en mycket personlig synvinkel, med hänvisning till de sex sätt han har funnit för att arbeta mer effektivt – och positivt – med sitt team.

Upptäck fler relaterade artiklar per dokumentation:

Det Nya Arbetslivet

Digital HR

  • en ung pojke som sitter på ett bord

    Skapa tillgänglighet med hjälp av teknik

    I takt med att det blir lättare att samarbeta över hela jorden med stöd av ny teknik, är det viktigt att ha i åtanke att inte alla har samma förutsättningar som en själv. Över 1 miljard människor i världen identifierar sig med en funktionsnedsättning och hela 70% av nedsättningarna syns inte. Microsoft fokuserar på att […]

Digital Transformation

Kundreferenser

  • Två Kreolis mederabetare, varav en med en Surface enhet i en tågvagn

    Keolis i teknologins framkant – för att gynna anställda och miljö

    Keolis är världsledande inom kollektivtrafik och befinner sig just nu i en stark utvecklingsfas. För att stärka sitt ambitiösa hållbarhetsarbete och vara en attraktiv arbetsgivare, vill de skapa en mer digital arbetsplats. Microsoft Surface och Microsofts partner inom Modern Work, Co-Ideation, har varit en viktig del i den satsningen och inneburit fördelar som hållbarhet, produktivitet […]

Pressrum

  • Upplevelserummet

    Microsofts Upplevelserum kan ge er helt nya perspektiv

    Tillbaka på jobbet, och ännu en gång ställer du dig den klassiska frågan: ”Finns det verkligen inget bättre sätt för oss att göra det här?”. Jo, det finns det. Ett besök i vårt ”Upplevelserum” lyfter inte bara frågan, utan ger dig som ledare både svaret och lösningen. Att förstå hur en organisation kan jobba smartare […]

Security & Privacy

  • a close up of a box with Salerio logotype

    Salario bygger framgång med Microsoft 365

    Microsoft 365 Business Premium har utvecklats särskilt med organisationer som Salario i åtanke. Det är en anpassad lösning för mindre och medelstora företag som brinner för sin verksamhet, är djupt specialiserade och har en tydlig inriktning på kärnverksamhet och kundrelationer. Genom att erbjuda överlägsna funktioner och tjänster, levererar Microsoft 365 Business Premium det som behövs […]

Startups

  • en blå skål

    Att skapa appar för ditt företag har aldrig varit enklare

    Att skapa appar för ditt företag har aldrig varit enklare. Ett kraftfullt användargränssnitt gör det enkelt för alla som är bekanta med Microsoft Office att anpassa och utvidga Dynamics 365 och Office 365 för att kunna skapa användbara appar. Bygg businessappar på bara några timmar! Du kan koppla data till dina appar från källor som […]

Tips