Security station

Circle of Trust – cybersäkerhet som strategisk fråga

Daniel Akenine

Daniel Akenine

Teknik- och säkerhetschef

Lästid, 12 min.

Innehållet under den 1½ timme långa sändningen fokuserade kring rollen som säkerhetsansvariga har, konkreta case, hur ser hotbilden ut både nationellt och internationellt, rekommendationer på hur arbetet kan förbättras, hur organisationen kan struktureras. Hur jobbar konsulterna och hur ser situationen ut hos kunden. Även Microsoft Security Defence Report och hur går man vidare med hjälp av en Discover Workshop på Microsoft presenterades. 

Medverkande i programmet var Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på NOA, Nationellt IT-brottscentrum, Thomas Keisu, VP Information Security & Infrastructure, Skanska, Camilla Lundahl, IT-säkerhetsansvarig, Avanza, Marcus Murray, säkerhetsexpert, Truesec och Stefan Schörling, säkerhetsrådgivare, Onevinn. Från Microsoft Daniel Akenine, nationell teknikchef, Jonathan Samuelsson, marknadskoordinator, samt Sandra Elvin, säkerhetschef, i rollen som moderator.  

Under sändningen fanns möjlighet för deltagarna att ställa frågor, och vi har sammanställt de frågor som besvarades under eventet samt frågor riktade till Marcus Murray respektive Camilla Lundahl som de har besvarat i efterhand. 


Frågor som riktade sig direkt till Marcus Murray, Truesec 

1. Kommande ny backuplösning 

När det gäller backup så pratade jag om att man måsta säkerställa att man har backupplösningar som angriparen inte kan påverka. Det historiskt gångbara exemplet har varit offline-backuper men det finns även moderna lösningar som det går att skriva till men som inte tillåter radering, överskrivning eller modifiering. Detta går att åstadkomma om man har en robust lösning som är 100% separerad från den gemensamma infrastrukturen och om den har en robust modell för behörigheter, rättigheter och auktorisation, samt att den efterlevs. En annan sak man måste säkerställa är att man har bra täckning så att man kan återställa allt man behöver återställa.  

Om man får en hel IT-miljö krypterad och det enda man backat upp är data så kommer man snabbt önska att man hade backat upp alla applikationer och operativsystem med dess konfigurationer. Andra utmaningar som är bra att ha en plan för är vad man backar upp till. Det krävs ju en destination att backa upp till om man samtidigt har en pågående forensisk utredning på en massa system. 

2. Stänga ner system/minimera spridning  

Det kan vara lite olika från fall till fall men om man skall ge ett generellt tips så vill man nätverksmässigt isolera system från angriparen så att denne inte kan påverka dem. Om man har en kompetent EDR (Endpoint Detection & Response) tex så är detta funktionalitet som ingår. Vid en pågående ransomware attack vill man samtligt avbryta kryptering så snart som någonsin möjligt. Har man kompetenta verktyg kan man vara granulär och stoppa exekveringen av den process som krypterar. Har man inte verktyg och kompetens så kan man tvingas att ta till trubbigare åtgärder som att stänga av system. Ur ett forensiskt perspektiv vill man snabbt extrahera minne då det är volatilt och viktiga spår försvinner vid en avstängning. Dessa spår kan vara avgörande för att söka av andra system efter skadlig kod eller andra spår från angriparen som behövs för att avvärja en fortsatt attack.  

3. Krypterat data 

Förmodar att frågan är relaterad till att krypterat data (förhoppningsvis) blir värdelöst för angriparen om det exfiltreras. Det som är viktigt att tänka på i det fallet är att man behöver en lösning som angriparen inte kan dekryptera. Dels skall en robust krypteringsalgoritm nyttjas, dels skall implementationen, programvaran som krypterar, vara robust skriven så att den i sig inte har brister och sist men inte minst så måste nycklarna vara både starka och skyddas från angriparen. Ett klassiskt misstag är att man har en applikation som konsumerar krypterat data och att nyckeln är lagrad på ett sätt som alltid är tillgängligt för systemet och att angriparen få kontroll över applikationen. Om angriparen sonika kopierar ut databasen är krypteringen värdefull men om angriparen är mer sofistikerad och använder applikationen för att dekryptera datat och sedan exfiltrera klartextdatat så saknar krypteringen helt skyddsvärde. Talar man exempelvis statsfinansierade aktörer i kombination med data som har värde över tid kan även krypterat data vara värdefullt att exfltrera. Kanske kan man bruteforca (dvs metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken i alla möjliga positionernyckeln, eller hitta svagheter i nyckel-genereringen som gör att det går att optimera attack mot nyckeln eller att framtida teknik möjliggör knäckande av krypton och nycklar som idag är för komplicerat eller kostsamt. 

4. Trygghet i molntjänster 

Det viktiga är att man förstår risk, lagstiftning, konsekvens etc. så att man kan ta informerade beslut om huruvida man skall använda en molntjänst eller ej, samt vilket data som skall placeras i den. Dock kan jag ibland se att många organisationer inte ser till helheten. Exempelvis kanske man väljer att inte lita på stora molnaktörer som Microsoft eller Amazon men samtidigt så outsourcar man hela sin drift till exempelvis ett indiskt bolag och låter individer som man vare sig säkerhetsgranskat eller träffat ansvara för höga behörigheter som direkt eller indirekt ger åtkomst till oerhört känsligt data.  

5. Var ligger säkerhetsfrågan i mindre bolag 

För mindre bolag anser jag att frågan alltid bär ägas av den yttersta operativa ledningen. Dvs VD, CFO om man inte har någon CIO, CISO eller motsvarande. De är ju de som äger konsekvenser från incidenter och de skador som de medför. Det viktiga för mindre bolag är att skaffa sig rådgivare som har rätt kompetens och genuint vill deras bästa. Mindre företag är sårbara idag, inte bara vad det gäller hot utan även för att de går att lura på tjänster, produkter och annat som inte löser deras problem på ett optimalt sätt. Insikt och bra rådgivning är det viktigaste! 

6. SIEM eller EDR 

Generellt sätt är EDR viktigare om målet är att upptäcka och hantera dataintrång och man är ett bolag som har arbetsstationer och servrar. SIEM ( Security information and event management) är generellt sätt inte lika bra på att detektera, hantera och mitigera dataintrång.  Dock har SIEM en massa andra värden om man har korrekta loggkällor och ett kompetent SIEM.  

7. Hetast info 

Ja, det vanligaste man stjäl idag är databaser, gärna från affärssystem. Affärskritiskt och värdefulla data som IP, just nu gärna kopplat till medicin, fordonsindustri, försvarsindustri, green energy, och andra forskningsintensiva områden som har värdefull ip.  Persondata har blivit värdefullt, inte minst på grund av GDPR och det går att använda den för utpressning. Vi ser också att finansiella data har ett högt värde om den kan användas för trading, utpressning etc. Sist men inte minst är all data som kan leda till renomméförlust värdefull för angriparna då den kan användas för utpressning.  

8. Försäkring

Att inte ha en Cyberförsäkring är en ren riskfråga som alla försäkringar. Vill man betala en premie kontinuerligt för att minimera risken för att tvingas ta en stor kostnad vid enskilda tillfällen. För de allra flesta är det relevant att teckna en cyberförsäkring idag. Dock bör man förstå försäkring så att man köper rätt saker. Dels skall den täcka de skador som man oroar sig för sen måste man förstå att den inte ersätter vare sig proaktivitet eller förmåga att snabba upptäcka och hantera incidenter. Försäkringen kommer i regel med en hygglig självrisk och den bästa skadan är den du inte behöver blanda in försäkringsbolaget för. Se också till att du har rätt incident-responders kopplade till din cyberförsäkring.  

9. Pandemi

är ett ord som är väl definierat. De dataintrång och angrepp som pågår mot vårt samhälle är inte vad man skulle definiera som en pandemi.  Dock är de oroväckande, ställer till stora skador och blir allt allvarligare.  


Frågor direkt riktade till Camilla Lundahl, Avanza 

1. Ni pratade tidigare om att företag måste veta vem som är kunden säkerställa att det är den som utför köp/inloggning. Hur kommer det sig att Avanza som är med här inte har QR-kod för bank-id på sin hemsida för att förebygga bedrägeriförsök? 

Det stämmer att QR-kod saknas idag. I övrigt: det går även att använda t ex Google Autenticator eller Microsoft Autenticator på våra tjänster. 

2. Avanza har ju fortfarande kvar användarnamn/lösenord på sin tjänst 

Användarnamn/lösenord ingår endast i det initiala steget för nya kunder. I nästa steg och vid fortsatt användning av våra tjänster krävs 2FA eller BankID.  


Övriga frågor 

1. Hej, vad heter rapporten? Länk? 

Rapporten heter Microsoft Digital Defence Report och går att ladda ner på: https://www.microsoft.com/en-us/download/details.aspx?id=101738 

2. Hur göra när noteringsregler och info om en säkerhetincident är i konflikt? Informationsskyldigheten för börsbolag. 

Detta är en juridisk fråga och styrelsefråga hur det skall hanteras. 

3. Hur många privata företag är det egentligen som jobbar med ett systematiskt informationssäkerhetsarbete? Hade man lagt lite resurser på detta tror jag att man kunde städa bort en hel del incidenter. Hur går diskussionen där? 

Vår uppfattning är att de flesta företag i hög grad arbetar systematiskt med informationssäkerhet men att komplixetet och resursbrist försvårar arbetet. Att förhindra alla incidenter måste inte vara ett ändamål i sig beroende på verksamhetens riskaptit så länge man håller sig inom ramarna för de policies och regelverk (inklusive lagar) man åtagit sig att följa. 

4. Men jag menade att hackers har ökat till antalet som en pandemi… Försökte skapa en ”bild”. 

I takt med att fler verksamheter digitaliserats så har värdet av cyberkriminalitet ökat och därmed lockat till sig allt fler cyberkriminella. Utöver det så har cyberkriminaliteten blivit alltmer automatiserad och effektiv vilket gör att en enskild hackare kan åstadkomma mer skada och på fler verksamheter än tidigare. 

5. Säkerhet är en styrelsefråga men i mindre företag där inte det finns någon egen säkerhetsgrupp. Var kan säkerhetsfrågan vara: IT (oftast men inte helt optimalt, Legal (allt fler GC får det ansvaret), Finans (även där ofta)? 

Det dagliga cybersäkerhetsarbetet kan hanteras olika beroende på hur verksamheten i övrigt organiseras men framgångsfaktor brukar vara att det sker i nära samarbete med den ordinarie verksamheten, exempelvis att IT-säkerhetarbetet sker nära IT-verksamheten. 

6. Jo, ytterst ansvariga men äga frågan strategiskt, menade jag. 

Samma som frågan ovan. Var det strategiska arbetet för cybersäkerheten bör landa beror på hur verksamheten i övrigt är organiserad men även strategiskt ansvar bör hanteras nära det operativa ansvaret för cybersäkerheten, då de tätt hänger ihop, och i samarbete med det strategiska arbetet för övriga verksamheter då cybersäkerheten ju ytterst syftar till att skydda kärnverksamheten och då behöver följa kärnverksamhetens utveckling. 

7. Var anser ni går gränsen för små bolag? (antal anställda) 

Man brukar säga att små företag är mellan 10-49 anställda. 

8. Microsoft är ju ett amerikanskägt företag och som jag förstått det så svarar Ms oavsett mot CloudAct även om data fysiskt lagras på servrar i Sverige? 

Rent principiellt så stämmer det att Microsoft lyder under CLOUD Act men då innebörden av detta ofta missförstås så rekommenderar vi att läsa på mer om hur CLOUD Act är utformad för att själv kunna bedöma vad det innebär för dig som kund och hänvisar därför till det amerikanska justitiedepartementets information: The Purpose and Impact of the CLOUD Act (justice.gov)  Microsoft i frågasätter varje förfrågan om utlämnade, samt redovisar halvårsvis de förfrågingar som görs, se Law Enforcement sektionen i denna blog.   https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

9. Kan vara bra att nämna möjligheten att simulerade cyberangrepp för säkrare IT-system. KTH har en intressant föreläsning på det ämnet. https://www.kth.se/aktuellt/kth-samtal/arkiv 

Helt rätt. Förutom det finns det inbyggd angreppssimulator i Microsoft Defender för Office 365. https://docs.microsoft.com/sv-se/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide 

10. Underkännande av Privacy shield innebär att vi fått problem då SCC inte är tillräckligt. När det gäller FISA-lagstiftningen kan ni ju egentligen inte ifrågasätta ett utlämnade. Det finns statistik på dettaockså hos Microsoft. Det är problematiskt med compliance och faktisk säkerhet ibland. 

Detta är en komplicerad fråga och vi har ytterligare i november förtydligat hur vi kommer att försvara våra kunders data. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/  

 

Kostnadsfritt webbseminarium: Viktiga trender inom cybersäkerhet i Europa

Läs om trender inom cybersäkerhet i Europa och om lösningar som skyddar mot hot

Kostnadsfri e-bok: Säkerhet – en förutsättning för framgång

Upptäck sju tips som hjälper informationssäkerhetschefer att ompröva sin säkerhetsstrategi

Upptäck fler relaterade artiklar per bransch:

Detaljhandel

Finans och försäkring

  • Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    Microsoft Envision Forum: Reshaping the Financial Industry March 4th 2020

    When: 4th of March 2020  Where: Microsoft, Regeringsg 25, Stockholm  Moderators: Johannes Anderberg, Business Development Manager FSI – Microsoft Sweden Ayaz Shukat, Digital Strategist FSI – Microsoft Sweden Welcome to the Microsoft brand-new office at Regeringsgatan 25 in Stockholm.    Microsoft Envision Forum: Reshaping the Financial Industry is a one–day thought leadership event for Business- and IT-leaders, designed to amplify insights and learnings in a collaborative way.    We […]

Hälso- och sjukvård

  • logotyp

    Varför förtroende är så viktigt vid vårdens digitala omvandling.

    Telefonen ringde nästan oupphörligen i flera veckor. Nu ringde det igen. ”Veronica” hörde jag en röst säga i andra änden. ”Vi har en idé!” Jag hörde omedelbart vem det var. Jag har känt Carlo Tacchetti nästan lika länge som jag har arbetat på Microsoft. Han är professor vid universitetet Vita-Salute San Raffaele och ansvarig för […]

  • Healthcare professionals operating on a patient

    Effektiv schemaläggning inom sjukvården

    En av de stora utmaningarna idag med att bedriva effektiv vård är schemaläggning och bemanning. Den person som är ansvarig för schemaläggning måste se till att det finns rätt kompetens på plats dygnets alla 24 timmar och arbeta fram en lösning baserad på information som finns lagrad i många olika system. Processen är oftast manuell, […]

Myndigheter

  • Iceland runs on Trust

    Hur ett litet land uppnådde stora mål med hjälp av molnet

    I december 2015 påbörjade Islands regering en översyn av den digitala infrastrukturen. Över 100 olika leverantörer hanterades av över 100 IT-chefer på varje offentlig institution, och uppdraget var att förenkla IT-hanteringen för över 20 000 användare. Lösningen Två och ett halvt år senare fattades beslutet: Microsoft 365 valdes ut som gemensam molnplattform för hela den […]

  • Business Sweden – en modern, global arbetsplats

    Business Sweden – en modern, global arbetsplats

    Med tillväxt och innovation som en del av vardagen måste tekniken stötta och underlätta. Ta del av Business Swedens glasklara fokus och varför Microsofts moln var det självklara valet.  

Skola och högre utbildning

Tillverkning

  • Agil

    Arbeta med agilt med Microsofts verktyg

    Agil metodik uppstod som en motreaktion till de traditionella projektledningsmetoderna. Metodiken fokuserar på samarbete, inkrementell utveckling, kontinuerlig planering och kontinuerligt lärande – men det viktiga med agila arbetssätt är att vi blir mer öppna för förändrade krav under projektets gång. Förutsättningar kan ändras, nya insikter kan uppstå och man kan komma på förbättringar under arbetets […]

  • en person som sitter vid ett skrivbord med en bärbar dator

    Min ledarskapskompass i dystra tider

    Microsofts Max Tchapeyou erbjuder en mycket personlig synvinkel, med hänvisning till de sex sätt han har funnit för att arbeta mer effektivt – och positivt – med sitt team.

Upptäck fler relaterade artiklar per dokumentation:

Det Nya Arbetslivet

  • Frida Boisen, Karin Zingmark, Shirley Clamp, Anna Ryott poserar för ett foto

    Microsoft deltar i Terrific Tuesdays

    Vi är glada och stolta över Microsofts medverkan i Terrific Tuesdays, Sveriges kanske största digitala evenemang med syftet att sprida mod och inspiration på våra arbetsplatser, skolor och i hemmen under dessa svåra tider. Det är företaget Pulsen som tillsammans med Stockholm Live har skapat evenemangserien som modereras av journalisten Frida Boisen och Kristina Hagström-Ilievska. […]

Digital HR

  • Artificiell intelligens

    Sveriges främsta experter delar med sig om AI, 5 december i Stockholm

    Dagens industri i samarbete med Microsoft bjuder härmed in dig att medverka kostnadsfritt på en exklusiv konferens den 5 december i Stockholm där du får möta några av Sveriges främsta experter inom AI. Att driva innovation, skapa tillväxt och utnyttja teknikutvecklingen är nyckeln till ditt företags framgång. AI, bortom hypen ger dig nya möjligheter att […]

Digital Transformation

Kundreferenser

Pressrum

  • Upplevelserummet

    Microsofts Upplevelserum kan ge er helt nya perspektiv

    Tillbaka på jobbet, och ännu en gång ställer du dig den klassiska frågan: ”Finns det verkligen inget bättre sätt för oss att göra det här?”. Jo, det finns det. Ett besök i vårt ”Upplevelserum” lyfter inte bara frågan, utan ger dig som ledare både svaret och lösningen. Att förstå hur en organisation kan jobba smartare […]

Security & Privacy

Startups

  • en blå skål

    Att skapa appar för ditt företag har aldrig varit enklare

    Att skapa appar för ditt företag har aldrig varit enklare. Ett kraftfullt användargränssnitt gör det enkelt för alla som är bekanta med Microsoft Office att anpassa och utvidga Dynamics 365 och Office 365 för att kunna skapa användbara appar. Bygg businessappar på bara några timmar! Du kan koppla data till dina appar från källor som […]

Tips

  • en person sitter vid ett arbetsbord framför en bärbar dator

    De bästa tipsen för smartare distansarbete med Microsoft Teams

    Distansarbete börjar bli den nya vardagen för många och därför är det viktigt att hitta olika sätt att fungera effektivt som ett team. Microsoft Teams är skapat för att kollegor ska förbli produktiva och hålla kontakten med varandra och se till att alla kan fortsätta samarbeta och arbeta lika effektivt och säkert som på kontoret. […]