Gå till huvudinnehåll
Security station

Circle of Trust – cybersäkerhet som strategisk fråga

Daniel Akenine

Daniel Akenine

Nationell Teknikchef

Lästid, 12 min.

Innehållet under den 1½ timme långa sändningen fokuserade kring rollen som säkerhetsansvariga har, konkreta case, hur ser hotbilden ut både nationellt och internationellt, rekommendationer på hur arbetet kan förbättras, hur organisationen kan struktureras. Hur jobbar konsulterna och hur ser situationen ut hos kunden. Även Microsoft Security Defence Report och hur går man vidare med hjälp av en Discover Workshop på Microsoft presenterades. 

Medverkande i programmet var Jan Olsson, kriminalkommissarie och verksamhetsutvecklare på NOA, Nationellt IT-brottscentrum, Thomas Keisu, VP Information Security & Infrastructure, Skanska, Camilla Lundahl, IT-säkerhetsansvarig, Avanza, Marcus Murray, säkerhetsexpert, Truesec och Stefan Schörling, säkerhetsrådgivare, Onevinn. Från Microsoft Daniel Akenine, nationell teknikchef, Jonathan Samuelsson, marknadskoordinator, samt Sandra Elvin, säkerhetschef, i rollen som moderator.  

Under sändningen fanns möjlighet för deltagarna att ställa frågor, och vi har sammanställt de frågor som besvarades under eventet samt frågor riktade till Marcus Murray respektive Camilla Lundahl som de har besvarat i efterhand. 


Frågor som riktade sig direkt till Marcus Murray, Truesec 

1. Kommande ny backuplösning 

När det gäller backup så pratade jag om att man måsta säkerställa att man har backupplösningar som angriparen inte kan påverka. Det historiskt gångbara exemplet har varit offline-backuper men det finns även moderna lösningar som det går att skriva till men som inte tillåter radering, överskrivning eller modifiering. Detta går att åstadkomma om man har en robust lösning som är 100% separerad från den gemensamma infrastrukturen och om den har en robust modell för behörigheter, rättigheter och auktorisation, samt att den efterlevs. En annan sak man måste säkerställa är att man har bra täckning så att man kan återställa allt man behöver återställa.  

Om man får en hel IT-miljö krypterad och det enda man backat upp är data så kommer man snabbt önska att man hade backat upp alla applikationer och operativsystem med dess konfigurationer. Andra utmaningar som är bra att ha en plan för är vad man backar upp till. Det krävs ju en destination att backa upp till om man samtidigt har en pågående forensisk utredning på en massa system. 

2. Stänga ner system/minimera spridning  

Det kan vara lite olika från fall till fall men om man skall ge ett generellt tips så vill man nätverksmässigt isolera system från angriparen så att denne inte kan påverka dem. Om man har en kompetent EDR (Endpoint Detection & Response) tex så är detta funktionalitet som ingår. Vid en pågående ransomware attack vill man samtligt avbryta kryptering så snart som någonsin möjligt. Har man kompetenta verktyg kan man vara granulär och stoppa exekveringen av den process som krypterar. Har man inte verktyg och kompetens så kan man tvingas att ta till trubbigare åtgärder som att stänga av system. Ur ett forensiskt perspektiv vill man snabbt extrahera minne då det är volatilt och viktiga spår försvinner vid en avstängning. Dessa spår kan vara avgörande för att söka av andra system efter skadlig kod eller andra spår från angriparen som behövs för att avvärja en fortsatt attack.  

3. Krypterat data 

Förmodar att frågan är relaterad till att krypterat data (förhoppningsvis) blir värdelöst för angriparen om det exfiltreras. Det som är viktigt att tänka på i det fallet är att man behöver en lösning som angriparen inte kan dekryptera. Dels skall en robust krypteringsalgoritm nyttjas, dels skall implementationen, programvaran som krypterar, vara robust skriven så att den i sig inte har brister och sist men inte minst så måste nycklarna vara både starka och skyddas från angriparen. Ett klassiskt misstag är att man har en applikation som konsumerar krypterat data och att nyckeln är lagrad på ett sätt som alltid är tillgängligt för systemet och att angriparen få kontroll över applikationen. Om angriparen sonika kopierar ut databasen är krypteringen värdefull men om angriparen är mer sofistikerad och använder applikationen för att dekryptera datat och sedan exfiltrera klartextdatat så saknar krypteringen helt skyddsvärde. Talar man exempelvis statsfinansierade aktörer i kombination med data som har värde över tid kan även krypterat data vara värdefullt att exfltrera. Kanske kan man bruteforca (dvs metod för att systematiskt gissa ett lösenord genom att testa alla möjliga tecken i alla möjliga positionernyckeln, eller hitta svagheter i nyckel-genereringen som gör att det går att optimera attack mot nyckeln eller att framtida teknik möjliggör knäckande av krypton och nycklar som idag är för komplicerat eller kostsamt. 

4. Trygghet i molntjänster 

Det viktiga är att man förstår risk, lagstiftning, konsekvens etc. så att man kan ta informerade beslut om huruvida man skall använda en molntjänst eller ej, samt vilket data som skall placeras i den. Dock kan jag ibland se att många organisationer inte ser till helheten. Exempelvis kanske man väljer att inte lita på stora molnaktörer som Microsoft eller Amazon men samtidigt så outsourcar man hela sin drift till exempelvis ett indiskt bolag och låter individer som man vare sig säkerhetsgranskat eller träffat ansvara för höga behörigheter som direkt eller indirekt ger åtkomst till oerhört känsligt data.  

5. Var ligger säkerhetsfrågan i mindre bolag 

För mindre bolag anser jag att frågan alltid bär ägas av den yttersta operativa ledningen. Dvs VD, CFO om man inte har någon CIO, CISO eller motsvarande. De är ju de som äger konsekvenser från incidenter och de skador som de medför. Det viktiga för mindre bolag är att skaffa sig rådgivare som har rätt kompetens och genuint vill deras bästa. Mindre företag är sårbara idag, inte bara vad det gäller hot utan även för att de går att lura på tjänster, produkter och annat som inte löser deras problem på ett optimalt sätt. Insikt och bra rådgivning är det viktigaste! 

6. SIEM eller EDR 

Generellt sätt är EDR viktigare om målet är att upptäcka och hantera dataintrång och man är ett bolag som har arbetsstationer och servrar. SIEM ( Security information and event management) är generellt sätt inte lika bra på att detektera, hantera och mitigera dataintrång.  Dock har SIEM en massa andra värden om man har korrekta loggkällor och ett kompetent SIEM.  

7. Hetast info 

Ja, det vanligaste man stjäl idag är databaser, gärna från affärssystem. Affärskritiskt och värdefulla data som IP, just nu gärna kopplat till medicin, fordonsindustri, försvarsindustri, green energy, och andra forskningsintensiva områden som har värdefull ip.  Persondata har blivit värdefullt, inte minst på grund av GDPR och det går att använda den för utpressning. Vi ser också att finansiella data har ett högt värde om den kan användas för trading, utpressning etc. Sist men inte minst är all data som kan leda till renomméförlust värdefull för angriparna då den kan användas för utpressning.  

8. Försäkring

Att inte ha en Cyberförsäkring är en ren riskfråga som alla försäkringar. Vill man betala en premie kontinuerligt för att minimera risken för att tvingas ta en stor kostnad vid enskilda tillfällen. För de allra flesta är det relevant att teckna en cyberförsäkring idag. Dock bör man förstå försäkring så att man köper rätt saker. Dels skall den täcka de skador som man oroar sig för sen måste man förstå att den inte ersätter vare sig proaktivitet eller förmåga att snabba upptäcka och hantera incidenter. Försäkringen kommer i regel med en hygglig självrisk och den bästa skadan är den du inte behöver blanda in försäkringsbolaget för. Se också till att du har rätt incident-responders kopplade till din cyberförsäkring.  

9. Pandemi

är ett ord som är väl definierat. De dataintrång och angrepp som pågår mot vårt samhälle är inte vad man skulle definiera som en pandemi.  Dock är de oroväckande, ställer till stora skador och blir allt allvarligare.  


Frågor direkt riktade till Camilla Lundahl, Avanza 

1. Ni pratade tidigare om att företag måste veta vem som är kunden säkerställa att det är den som utför köp/inloggning. Hur kommer det sig att Avanza som är med här inte har QR-kod för bank-id på sin hemsida för att förebygga bedrägeriförsök? 

Det stämmer att QR-kod saknas idag. I övrigt: det går även att använda t ex Google Autenticator eller Microsoft Autenticator på våra tjänster. 

2. Avanza har ju fortfarande kvar användarnamn/lösenord på sin tjänst 

Användarnamn/lösenord ingår endast i det initiala steget för nya kunder. I nästa steg och vid fortsatt användning av våra tjänster krävs 2FA eller BankID.  


Övriga frågor 

1. Hej, vad heter rapporten? Länk? 

Rapporten heter Microsoft Digital Defence Report och går att ladda ner på: https://www.microsoft.com/en-us/download/details.aspx?id=101738 

2. Hur göra när noteringsregler och info om en säkerhetincident är i konflikt? Informationsskyldigheten för börsbolag. 

Detta är en juridisk fråga och styrelsefråga hur det skall hanteras. 

3. Hur många privata företag är det egentligen som jobbar med ett systematiskt informationssäkerhetsarbete? Hade man lagt lite resurser på detta tror jag att man kunde städa bort en hel del incidenter. Hur går diskussionen där? 

Vår uppfattning är att de flesta företag i hög grad arbetar systematiskt med informationssäkerhet men att komplixetet och resursbrist försvårar arbetet. Att förhindra alla incidenter måste inte vara ett ändamål i sig beroende på verksamhetens riskaptit så länge man håller sig inom ramarna för de policies och regelverk (inklusive lagar) man åtagit sig att följa. 

4. Men jag menade att hackers har ökat till antalet som en pandemi… Försökte skapa en ”bild”. 

I takt med att fler verksamheter digitaliserats så har värdet av cyberkriminalitet ökat och därmed lockat till sig allt fler cyberkriminella. Utöver det så har cyberkriminaliteten blivit alltmer automatiserad och effektiv vilket gör att en enskild hackare kan åstadkomma mer skada och på fler verksamheter än tidigare. 

5. Säkerhet är en styrelsefråga men i mindre företag där inte det finns någon egen säkerhetsgrupp. Var kan säkerhetsfrågan vara: IT (oftast men inte helt optimalt, Legal (allt fler GC får det ansvaret), Finans (även där ofta)? 

Det dagliga cybersäkerhetsarbetet kan hanteras olika beroende på hur verksamheten i övrigt organiseras men framgångsfaktor brukar vara att det sker i nära samarbete med den ordinarie verksamheten, exempelvis att IT-säkerhetarbetet sker nära IT-verksamheten. 

6. Jo, ytterst ansvariga men äga frågan strategiskt, menade jag. 

Samma som frågan ovan. Var det strategiska arbetet för cybersäkerheten bör landa beror på hur verksamheten i övrigt är organiserad men även strategiskt ansvar bör hanteras nära det operativa ansvaret för cybersäkerheten, då de tätt hänger ihop, och i samarbete med det strategiska arbetet för övriga verksamheter då cybersäkerheten ju ytterst syftar till att skydda kärnverksamheten och då behöver följa kärnverksamhetens utveckling. 

7. Var anser ni går gränsen för små bolag? (antal anställda) 

Man brukar säga att små företag är mellan 10-49 anställda. 

8. Microsoft är ju ett amerikanskägt företag och som jag förstått det så svarar Ms oavsett mot CloudAct även om data fysiskt lagras på servrar i Sverige? 

Rent principiellt så stämmer det att Microsoft lyder under CLOUD Act men då innebörden av detta ofta missförstås så rekommenderar vi att läsa på mer om hur CLOUD Act är utformad för att själv kunna bedöma vad det innebär för dig som kund och hänvisar därför till det amerikanska justitiedepartementets information: The Purpose and Impact of the CLOUD Act (justice.gov)  Microsoft i frågasätter varje förfrågan om utlämnade, samt redovisar halvårsvis de förfrågingar som görs, se Law Enforcement sektionen i denna blog.   https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/ 

9. Kan vara bra att nämna möjligheten att simulerade cyberangrepp för säkrare IT-system. KTH har en intressant föreläsning på det ämnet. https://www.kth.se/aktuellt/kth-samtal/arkiv 

Helt rätt. Förutom det finns det inbyggd angreppssimulator i Microsoft Defender för Office 365. https://docs.microsoft.com/sv-se/microsoft-365/security/office-365-security/attack-simulator?view=o365-worldwide 

10. Underkännande av Privacy shield innebär att vi fått problem då SCC inte är tillräckligt. När det gäller FISA-lagstiftningen kan ni ju egentligen inte ifrågasätta ett utlämnade. Det finns statistik på dettaockså hos Microsoft. Det är problematiskt med compliance och faktisk säkerhet ibland. 

Detta är en komplicerad fråga och vi har ytterligare i november förtydligat hur vi kommer att försvara våra kunders data. https://blogs.microsoft.com/on-the-issues/2020/11/19/defending-your-data-edpb-gdpr/  

 

Kostnadsfritt webbseminarium: Viktiga trender inom cybersäkerhet i Europa

Läs om trender inom cybersäkerhet i Europa och om lösningar som skyddar mot hot

Kostnadsfri e-bok: Säkerhet – en förutsättning för framgång

Upptäck sju tips som hjälper informationssäkerhetschefer att ompröva sin säkerhetsstrategi

Upptäck fler relaterade artiklar per bransch:

Detaljhandel

Finans och försäkring

  • SEB:s känsliga information ligger säkert i molnet

    SEB:s känsliga information ligger säkert i molnet

    Banken SEB tar klivet och förflyttar delar av sin verksamhet in i molnet. Med ett gediget arbete tillsammans med Microsofts lösningar för samarbete, produktivitet och säkerhet är molnet nu så säkert att även banken kan jobba i det. Många företag ser de sömlösa fördelarna med att jobba i molnet. Det förenklar och underlättar verksamheten och […]

  • Two men with computers

    Best of Ecosystems: Aspias strategi för modernisering och tillväxt

    Best of Ecosystems: Aspias strategi för modernisering och tillväxt När redovisningsbyrån Aspia startade hade de 1 000 medarbetare, 15 000 kunder och omsatte runt en miljard kronor. Trots denna imponerande startposition saknade de stödfunktioner för IT, marknad, HR, Finans och försäljning. Men genom att börja från noll och anta strategin ”best of ecosystems” har de snabbt […]

Government

  • Houses and snow

    Så blev Uddevalla kommun en digital pionjär

    Så blev Uddevalla kommun en digital pionjär En kombination av envishet, nyfikna användare, ledningens stöd och rätt verktyg har gjort Uddevalla kommun till en ledande aktör när det gäller att dra nytta av digitaliseringens möjligheter. För tio år sedan befann sig Uddevalla kommun i flera avseenden i samma situation som många andra svenska kommuner. Lokala […]

  • Kalix uppifrån

    Cyberattacken mot Kalix kommun

    ”Ingenting gick att använda. Det gick inte ens att skriva ut papper från skrivarna. Vår hemtjänstpersonal hade inte tillgång till journaler, ingen kom undan” Mitt i natten den 16:e december drabbades Kalix kommun av en cyberattack. Äldreomsorgen var de första som upptäckte felet. Plötsligt kunde de inte längre logga in i sitt journalsystem. När teknikerna […]

Hälso- och sjukvård

Myndigheter

Skola och högre utbildning

  • Linköpings universitet

    Linköpings universitets kreativa lösningar kring hybridundervisning

    Linköpings universitet strävar alltid efter att förbättra och förenkla den digitala vardagen för sina studenter och lärare. Som lärosäte bedriver LiU gränsöverskridande forskning i nära samarbete med samhälle och näringsliv, bland annat inom IT. Universitetet erbjuder 120 olika innovativa utbildningsprogram och 550 kurser. Utöver sina fyra fysiska campus har LiU skapat ett femte som endast […]

  • En handbok om GDPR för universitet och högskolor

    En handbok om GDPR för universitet och högskolor

    EU:s nya dataskyddsförordning träder i kraft 25 maj. Hämta vår e-bok för vägledning kring hur ni på bästa sätt uppnår efterlevnad av GDPR. Din instutition är i ständig förändring Alla individer kopplade till ditt universitet eller din högskola är ”datasubjekt” – studenter, föreläsare, lokalvårdare och myndighetsrepresentanter, exempelvis. Varje år får ni ansvar för många nya […]

Tillverkning

  • en skärmdump av en dator

    Investering i ett allomfattande PIM-system gav Alfa Lavals kunder en digital köpupplevelse

    En investering i ett PIM-system (Product Information Management) baserat på Azure och Inriver gav Alfa Lavals kunder en förnyad digital köpupplevelse. Oavsett bransch och plats visar kunderna upp samma höga förtroende för produktrekommendationer i systemet, som de gjorde när de handlade fysiskt från erfarna säljare från Alfa Laval. I ett industriområde i Lund ligger en […]

  • Etex

    Etex använder moderna verktyg för att kunna fokusera på kunderna och få en mer enhetlig verksamhet

    I byggbranschen måste alla komponenter passa ihop och de måste vara tillgängliga i rätt tid, annars får man ingen produkt. För Etex, ett belgiskt byggmaterialföretag, är det här vardagsrutin, men de ville också hitta ett sätt att öka produktiviteten och samarbetet i sitt eget företag. Etex har verksamhet i mer än 42 länder med fler […]

Upptäck fler relaterade artiklar per dokumentation:

Det Nya Arbetslivet

  • Office 365

    Samarbeta mer med nya digitala verktyg

    Vi arbetar allt mer på distans, men det betyder inte att vi jobbar ensamma. Tvärtom, jämfört med för fem år sedan arbetar vi i genomsnitt idag i dubbelt så många arbetsgrupper. Att samarbeta effektivt med andra ställer krav såväl på samarbetsverktyg som dokumenthantering. Vi behöver kunna läsa, kommentera och redigera samma dokument – samtidigt. Vi behöver […]

Digital HR

Digital Transformation

  • Samarbeta effektivt när du jobbar på distans

    Samarbeta effektivt när du jobbar på distans

    Vi får in många frågor kring Microsoft Teams som stöd vid distansarbete. Därför har vi satt ihop några tips för hur du och din arbetsplats kan nyttja Microsoft Teams på bästa sätt, gynna effektiva samarbeten och vara inkluderande när du arbetar på distans. Microsoft Sverige jobbar tillsammans med kunder och partners för att skapa nya […]

Kundreferenser

  • MSHoloLens

    Kiruna stad flyttas med stöd av Microsoft HoloLens

    Vid installation eller reparation av infrastruktur under mark, såsom fjärrvärmeledningar och elkablar, arbetar kommunerna och myndigheterna ofta i blindo. Kartor kan vara felaktiga eller föråldrade. I vissa fall existerar de inte alls. Men med hjälp av Mixed Reality och Microsofts HoloLens finns nu en mycket intressant teknisk lösning som har börjat att användas i samband […]

Pressrum

  • Upplevelserummet

    Microsofts Upplevelserum kan ge er helt nya perspektiv

    Tillbaka på jobbet, och ännu en gång ställer du dig den klassiska frågan: ”Finns det verkligen inget bättre sätt för oss att göra det här?”. Jo, det finns det. Ett besök i vårt ”Upplevelserum” lyfter inte bara frågan, utan ger dig som ledare både svaret och lösningen. Att förstå hur en organisation kan jobba smartare […]

Security & Privacy

Startups

  • en blå skål

    Att skapa appar för ditt företag har aldrig varit enklare

    Att skapa appar för ditt företag har aldrig varit enklare. Ett kraftfullt användargränssnitt gör det enkelt för alla som är bekanta med Microsoft Office att anpassa och utvidga Dynamics 365 och Office 365 för att kunna skapa användbara appar. Bygg businessappar på bara några timmar! Du kan koppla data till dina appar från källor som […]

Tips

  • 5 nycklar för att främja medarbetarnas engagemang

    5 nycklar för att främja medarbetarnas engagemang

    Ett företags starkaste konkurrensfördel är dess medarbetare. Gör du de rätta valen för att till fullo utnyttja denna värdefulla tillgång, eller åtminstone tillräckligt för att kunna behålla den? Uppmuntra dina medarbetare att hitta sitt sätt att jobba, och lyssna till deras behov Bara 13 % av alla anställda världen över känner stort engagemang och är […]