Security station

Circle of Trust – cybersäkerhet som strategisk fråga

Daniel Akenine

Daniel Akenine

Teknik- och säkerhetschef

Lästid, 12 min.

Innehållet under den 1½ timme långa sändningen fokuserade kring rollen som säkerhetsansvariga har, konkreta case, hur ser hotbilden ut både nationellt och internationellt, rekommendationer på hur arbetet kan förbättras, hur organisationen kan struktureras. Hur jobbar konsulterna och hur ser situationen ut hos kunden. Även Microsoft Security Defence Report och hur går man vidare med hjälp av en Discover Workshop på Microsoft presenterades. 

Medverkande i programmet var Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på NOA, Nationellt IT-brottscentrum, Thomas Keisu, VP Information Security & Infrastructure, Skanska, Camilla Lundahl, IT-säkerhetsansvarig, Avanza, Marcus Murray, säkerhetsexpert, Truesec och Stefan Schörling, säkerhetsrådgivare, Onevinn. Från Microsoft Daniel Akenine, nationell teknikchef, Jonathan Samuelsson, marknadskoordinator, samt Sandra Elvin, säkerhetschef, i rollen som moderator.  

Under sändningen fanns möjlighet för deltagarna att ställa frågor, och vi har sammanställt de frågor som besvarades under eventet samt frågor riktade till Marcus Murray respektive Camilla Lundahl som de har besvarat i efterhand. 


Frågor som riktade sig direkt till Marcus Murray, Truesec 

1. Kommande ny backuplösning 

När det gäller backup så pratade jag om att man måsta säkerställa att man har backupplösningar som angriparen inte kan påverka. Det historiskt gångbara exemplet har varit offline-backuper men det finns även moderna lösningar som det går att skriva till men som inte tillåter radering, överskrivning eller modifiering. Detta går att åstadkomma om man har en robust lösning som är 100% separerad från den gemensamma infrastrukturen och om den har en robust modell för behörigheter, rättigheter och auktorisation, samt att den efterlevs. En annan sak man måste säkerställa är att man har bra täckning så att man kan återställa allt man behöver återställa.  

Om man får en hel IT-miljö krypterad och det enda man backat upp är data så kommer man snabbt önska att man hade backat upp alla applikationer och operativsystem med dess konfigurationer. Andra utmaningar som är bra att ha en plan för är vad man backar upp till. Det krävs ju en destination att backa upp till om man samtidigt har en pågående forensisk utredning på en massa system. 

2. Stänga ner system/minimera spridning  

Det kan vara lite olika från fall till fall men om man skall ge ett generellt tips så vill man nätverksmässigt isolera system från angriparen så att denne inte kan påverka dem. Om man har en kompetent EDR (Endpoint Detection & Response) tex så är detta funktionalitet som ingår. Vid en pågående ransomware attack vill man samtligt avbryta kryptering så snart som någonsin möjligt. Har man kompetenta verktyg kan man vara granulär och stoppa exekveringen av den process som krypterar. Har man inte verktyg och kompetens så kan man tvingas att ta till trubbigare åtgärder som att stänga av system. Ur ett forensiskt perspektiv vill man snabbt extrahera minne då det är volatilt och viktiga spår försvinner vid en avstängning. Dessa spår kan vara avgörande för att söka av andra system efter skadlig kod eller andra spår från angriparen som behövs för att avvärja en fortsatt attack.  

3. Krypterat data 

Förmodar att frågan är relaterad till att krypterat data (förhoppningsvis) blir värdelöst för angriparen om det exfiltreras. Det som är viktigt att tänka på i det fallet är att man behöver en lösning som angriparen inte kan dekryptera. Dels skall en robust krypteringsalgoritm nyttjas, dels skall implementationen, programvaran som krypterar, vara robust skriven så att den i sig inte har brister och sist men inte minst så måste nycklarna vara både starka och skyddas från angriparen. Ett klassiskt misstag är att man har en applikation som konsumerar krypterat data och att nyckeln är lagrad på ett sätt som alltid är tillgängligt för systemet och att angriparen få kontroll över applikationen. Om angriparen sonika kopierar ut databasen är krypteringen värdefull men om angriparen är mer sofistikerad och använder applikationen för att dekryptera datat och sedan exfiltrera klartextdatat så saknar krypteringen helt skyddsvärde. Talar man exempelvis statsfinansierade aktörer i kombination med data som har värde över tid kan även krypterat data vara värdefullt att exfltrera. Kanske kan man bruteforca (dvs metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken i alla möjliga positionernyckeln, eller hitta svagheter i nyckel-genereringen som gör att det går att optimera attack mot nyckeln eller att framtida teknik möjliggör knäckande av krypton och nycklar som idag är för komplicerat eller kostsamt. 

4. Trygghet i molntjänster 

Det viktiga är att man förstår risk, lagstiftning, konsekvens etc. så att man kan ta informerade beslut om huruvida man skall använda en molntjänst eller ej, samt vilket data som skall placeras i den. Dock kan jag ibland se att många organisationer inte ser till helheten. Exempelvis kanske man väljer att inte lita på stora molnaktörer som Microsoft eller Amazon men samtidigt så outsourcar man hela sin drift till exempelvis ett indiskt bolag och låter individer som man vare sig säkerhetsgranskat eller träffat ansvara för höga behörigheter som direkt eller indirekt ger åtkomst till oerhört känsligt data.  

5. Var ligger säkerhetsfrågan i mindre bolag 

För mindre bolag anser jag att frågan alltid bär ägas av den yttersta operativa ledningen. Dvs VD, CFO om man inte har någon CIO, CISO eller motsvarande. De är ju de som äger konsekvenser från incidenter och de skador som de medför. Det viktiga för mindre bolag är att skaffa sig rådgivare som har rätt kompetens och genuint vill deras bästa. Mindre företag är sårbara idag, inte bara vad det gäller hot utan även för att de går att lura på tjänster, produkter och annat som inte löser deras problem på ett optimalt sätt. Insikt och bra rådgivning är det viktigaste! 

6. SIEM eller EDR 

Generellt sätt är EDR viktigare om målet är att upptäcka och hantera dataintrång och man är ett bolag som har arbetsstationer och servrar. SIEM ( Security information and event management) är generellt sätt inte lika bra på att detektera, hantera och mitigera dataintrång.  Dock har SIEM en massa andra värden om man har korrekta loggkällor och ett kompetent SIEM.  

7. Hetast info 

Ja, det vanligaste man stjäl idag är databaser, gärna från affärssystem. Affärskritiskt och värdefulla data som IP, just nu gärna kopplat till medicin, fordonsindustri, försvarsindustri, green energy, och andra forskningsintensiva områden som har värdefull ip.  Persondata har blivit värdefullt, inte minst på grund av GDPR och det går att använda den för utpressning. Vi ser också att finansiella data har ett högt värde om den kan användas för trading, utpressning etc. Sist men inte minst är all data som kan leda till renomméförlust värdefull för angriparna då den kan användas för utpressning.  

8. Försäkring

Att inte ha en Cyberförsäkring är en ren riskfråga som alla försäkringar. Vill man betala en premie kontinuerligt för att minimera risken för att tvingas ta en stor kostnad vid enskilda tillfällen. För de allra flesta är det relevant att teckna en cyberförsäkring idag. Dock bör man förstå försäkring så att man köper rätt saker. Dels skall den täcka de skador som man oroar sig för sen måste man förstå att den inte ersätter vare sig proaktivitet eller förmåga att snabba upptäcka och hantera incidenter. Försäkringen kommer i regel med en hygglig självrisk och den bästa skadan är den du inte behöver blanda in försäkringsbolaget för. Se också till att du har rätt incident-responders kopplade till din cyberförsäkring.  

9. Pandemi

är ett ord som är väl definierat. De dataintrång och angrepp som pågår mot vårt samhälle är inte vad man skulle definiera som en pandemi.  Dock är de oroväckande, ställer till stora skador och blir allt allvarligare.  


Frågor direkt riktade till Camilla Lundahl, Avanza 

1. Ni pratade tidigare om att företag måste veta vem som är kunden säkerställa att det är den som utför köp/inloggning. Hur kommer det sig att Avanza som är med här inte har QR-kod för bank-id på sin hemsida för att förebygga bedrägeriförsök? 

Det stämmer att QR-kod saknas idag. I övrigt: det går även att använda t ex Google Autenticator eller Microsoft Autenticator på våra tjänster. 

2. Avanza har ju fortfarande kvar användarnamn/lösenord på sin tjänst 

Användarnamn/lösenord ingår endast i det initiala steget för nya kunder. I nästa steg och vid fortsatt användning av våra tjänster krävs 2FA eller BankID.  


Övriga frågor 

1. Hej, vad heter rapporten? Länk? 

Rapporten heter Microsoft Digital Defence Report och går att ladda ner på: https://www.microsoft.com/en-us/download/details.aspx?id=101738 

2. Hur göra när noteringsregler och info om en säkerhetincident är i konflikt? Informationsskyldigheten för börsbolag. 

Detta är en juridisk fråga och styrelsefråga hur det skall hanteras. 

3. Hur många privata företag är det egentligen som jobbar med ett systematiskt informationssäkerhetsarbete? Hade man lagt lite resurser på detta tror jag att man kunde städa bort en hel del incidenter. Hur går diskussionen där? 

Vår uppfattning är att de flesta företag i hög grad arbetar systematiskt med informationssäkerhet men att komplixetet och resursbrist försvårar arbetet. Att förhindra alla incidenter måste inte vara ett ändamål i sig beroende på verksamhetens riskaptit så länge man håller sig inom ramarna för de policies och regelverk (inklusive lagar) man åtagit sig att följa. 

4. Men jag menade att hackers har ökat till antalet som en pandemi… Försökte skapa en ”bild”. 

I takt med att fler verksamheter digitaliserats så har värdet av cyberkriminalitet ökat och därmed lockat till sig allt fler cyberkriminella. Utöver det så har cyberkriminaliteten blivit alltmer automatiserad och effektiv vilket gör att en enskild hackare kan åstadkomma mer skada och på fler verksamheter än tidigare. 

5. Säkerhet är en styrelsefråga men i mindre företag där inte det finns någon egen säkerhetsgrupp. Var kan säkerhetsfrågan vara: IT (oftast men inte helt optimalt, Legal (allt fler GC får det ansvaret), Finans (även där ofta)? 

Det dagliga cybersäkerhetsarbetet kan hanteras olika beroende på hur verksamheten i övrigt organiseras men framgångsfaktor brukar vara att det sker i nära samarbete med den ordinarie verksamheten, exempelvis att IT-säkerhetarbetet sker nära IT-verksamheten. 

6. Jo, ytterst ansvariga men äga frågan strategiskt, menade jag. 

Samma som frågan ovan. Var det strategiska arbetet för cybersäkerheten bör landa beror på hur verksamheten i övrigt är organiserad men även strategiskt ansvar bör hanteras nära det operativa ansvaret för cybersäkerheten, då de tätt hänger ihop, och i samarbete med det strategiska arbetet för övriga verksamheter då cybersäkerheten ju ytterst syftar till att skydda kärnverksamheten och då behöver följa kärnverksamhetens utveckling. 

7. Var anser ni går gränsen för små bolag? (antal anställda) 

Man brukar säga att små företag är mellan 10-49 anställda. 

8. Microsoft är ju ett amerikanskägt företag och som jag förstått det så svarar Ms oavsett mot CloudAct även om data fysiskt lagras på servrar i Sverige? 

Rent principiellt så stämmer det att Microsoft lyder under CLOUD Act men då innebörden av detta ofta missförstås så rekommenderar vi att läsa på mer om hur CLOUD Act är utformad för att själv kunna bedöma vad det innebär för dig som kund och hänvisar därför till det amerikanska justitiedepartementets information: The Purpose and Impact of the CLOUD Act (justice.gov)  Microsoft i frågasätter varje förfrågan om utlämnade, samt redovisar halvårsvis de förfrågingar som görs, se Law Enforcement sektionen i denna blog.   https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

9. Kan vara bra att nämna möjligheten att simulerade cyberangrepp för säkrare IT-system. KTH har en intressant föreläsning på det ämnet. https://www.kth.se/aktuellt/kth-samtal/arkiv 

Helt rätt. Förutom det finns det inbyggd angreppssimulator i Microsoft Defender för Office 365. https://docs.microsoft.com/sv-se/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide 

10. Underkännande av Privacy shield innebär att vi fått problem då SCC inte är tillräckligt. När det gäller FISA-lagstiftningen kan ni ju egentligen inte ifrågasätta ett utlämnade. Det finns statistik på dettaockså hos Microsoft. Det är problematiskt med compliance och faktisk säkerhet ibland. 

Detta är en komplicerad fråga och vi har ytterligare i november förtydligat hur vi kommer att försvara våra kunders data. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/  

 

Kostnadsfritt webbseminarium: Viktiga trender inom cybersäkerhet i Europa

Läs om trender inom cybersäkerhet i Europa och om lösningar som skyddar mot hot

Kostnadsfri e-bok: Säkerhet – en förutsättning för framgång

Upptäck sju tips som hjälper informationssäkerhetschefer att ompröva sin säkerhetsstrategi

Upptäck fler relaterade artiklar per bransch:

Detaljhandel

  • Microsoft HoloLens under arbete med stadsbyggnad

    Mixed Reality – en katalysator för innovation på arbetsplatserna

    Tack vare digitaliseringen är arbetslivet i ständig förändring vilket skapar behov av nya sätt att arbeta på. Ny teknologi och teknik stöttar de nya arbetssätten. Arbete idag är inte lägre bara ett utförande av rutinuppgifter utan har utvecklats till kreativt problemlösning som sker via flera enheter och lösningar. Vi ser också att arbetsgrupper är mer […]

  • HeadBrands framtidssäkrar med Microsoft 365 Business

    HeadBrands framtidssäkrar med Microsoft 365 Business

    Med en tillväxt på 300 procent de senaste tre åren är frisörgrossisten HeadBrands utan tvekan snabbväxande. De var också snabba med att inse hur deras strategi kring IT och tekniken de använde inte hängde med i samma takt, vilket de tog tag i direkt. HeadBrands behövde en modern IT-lösning för att kunna öka sin produktivitet […]

Finans och försäkring

  • Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    When: 4th of March 2020  Where: Microsoft, Regeringsg 25, Stockholm  Moderators: Johannes Anderberg, Business Development Manager FSI – Microsoft Sweden Ayaz Shukat, Digital Strategist FSI – Microsoft Sweden Welcome to the Microsoft brand-new office at Regeringsgatan 25 in Stockholm.    Microsoft Envision Forum: Reshaping the Financial Industry is a one–day thought leadership event for Business- and IT-leaders, designed to amplify insights and learnings in a collaborative way.    We […]

Hälso- och sjukvård

  • ”Big Bang”-strategi för digitalisering – och hur man får den att fungera

    ”Big Bang”-strategi för digitalisering – och hur man får den att fungera

    Nuförtiden finns det inget sådant som ”business as usual”. Förändringar och avbrott är det nya normala. Tänk bara på de förändringar som påverkar din organisation just nu, med ny teknik och nya sätt som ligger bakom nya attityder och förväntningar från både anställda och kunder. Allt förändras. Och det enda alla dessa förändringar har gemensamt […]

  • Two female healthcare professionals looking at a tablet

    Webbinarium för virtuell vård

    En diskussion om virtual care-lösningarna som möjliggjordes av Microsoft Teams – som väcktes till liv genom en fallstudie i Italien.

Myndigheter

  • Business Sweden – en modern, global arbetsplats

    Business Sweden – en modern, global arbetsplats

    Med tillväxt och innovation som en del av vardagen måste tekniken stötta och underlätta. Ta del av Business Swedens glasklara fokus och varför Microsofts moln var det självklara valet.  

  • Iceland runs on Trust

    Hur ett litet land uppnådde stora mål med hjälp av molnet

    I december 2015 påbörjade Islands regering en översyn av den digitala infrastrukturen. Över 100 olika leverantörer hanterades av över 100 IT-chefer på varje offentlig institution, och uppdraget var att förenkla IT-hanteringen för över 20 000 användare. Lösningen Två och ett halvt år senare fattades beslutet: Microsoft 365 valdes ut som gemensam molnplattform för hela den […]

Skola och högre utbildning

Tillverkning

Upptäck fler relaterade artiklar per dokumentation:

Det Nya Arbetslivet

  • utsikt över en stad på natten

    Summary Tech Forum: Be future ready

    What’s next? How do you prepare yourself and your organization for the new normal? Digitalization – using tech for efficiency, operational speed, and innovation – will be more important than ever. To upskill everyone in your organization and create conditions for Developer Velocity is two of the foremost important steps. Below we are sharing more […]

Digital HR

  • Women Think Next

    Women Think Next

    Temat för Microsofts event Women Think Next den 13 juni var: ”Building the future – where technology, culture and leadership meet to empower people and organizations to reach their full potential.” Det blev en inspirerande kväll med inbjudna kvinnliga seniora ledare från techbranschen. Särskilt inspirerande var att höra om hur det är att driva startups […]

Digital Transformation

  • CIE

    Microsoft Discover: Workplace Transformation Workshops

    Det går att förklara digitaliseringen och det moderna arbetslivet i en presentation, men vi vet att det blir bättre när du får testa de digitala verktygen med egna händer. Därför bjuder vi in dig att prova hur man kan arbeta smartare genom en lekfull och värdeskapande hands-on lab hos oss eller i någon av våra […]

Kundreferenser

  • Digitaliseringen skapar en jämlik vård

    Släpp loss kraften genom digitalisering av processer

    Manuella processer och brist på digitalisering är några av de stora utmaningar vi står inför idag. Mest utmärkande är att vi fastnat i gamla system och databaser som inte tillåter automatisering och heller inte har stöd för den digitalisering vi behöver genomföra. Effektivisering av nyckelprocesser och förändring av verksamhetsmodeller har seglat upp som två prioriterade […]

Pressrum

  • Upplevelserummet

    Microsofts Upplevelserum kan ge er helt nya perspektiv

    Tillbaka på jobbet, och ännu en gång ställer du dig den klassiska frågan: ”Finns det verkligen inget bättre sätt för oss att göra det här?”. Jo, det finns det. Ett besök i vårt ”Upplevelserum” lyfter inte bara frågan, utan ger dig som ledare både svaret och lösningen. Att förstå hur en organisation kan jobba smartare […]

Security & Privacy

Startups

  • en blå skål

    Att skapa appar för ditt företag har aldrig varit enklare

    Att skapa appar för ditt företag har aldrig varit enklare. Ett kraftfullt användargränssnitt gör det enkelt för alla som är bekanta med Microsoft Office att anpassa och utvidga Dynamics 365 och Office 365 för att kunna skapa användbara appar. Bygg businessappar på bara några timmar! Du kan koppla data till dina appar från källor som […]

Tips