Säkra datan

På väg att gå över från analoga till digitala rutiner och lösningar? Se då till att tänka efter före, annars riskerar dina digitala lösningar att stå vidöppna för allt från överbelastningsattacker och kunders missbruk till aggressiva attacker.

Moln_Stralfors_875x580.jpg

Folk kommer att försöka få ner ditt system från internet och de kommer att missbruka din tjänst. Det kan du vara säker på, säger Jörgen Mellberg, IT Security Manager på PostNord Strålfors.

Samtidigt är det många företag som inte är tillräckligt skyddade mot sådana hot.

– Det vanligaste säkerhetsmisstaget som företag gör är att de lägger till säkerhet till sina produkter och tjänster först i efterhand, säger Jörgen Mellberg.

– Säkerhet består av tre pelare. Människor, processer och teknologi. Om en av dem brister så blir det inte säkert. Och alla tre är lika viktiga, säger Jörgen Mellberg,  IT Security Manager på  PostNord Strålfors.Förutom att man inledningsvis är oskyddad finns det fler nackdelar med att vänta med säkerheten. 

– Det kan vara svårt att implementera säkerhet i efterhand. Ibland är det omöjligt utan att helt nyutveckla stora delar av lösningen. Ett sådant tillvägagångssätt löser oftast ett specifikt säkerhetshot, men inte alla. Dessutom är det alltid dyrare än att integrera säkerhet från början.

Lösningen är att få in säkerhetstänkandet redan när tjänsten eller produkten är i designstadiet.

Ett annat vanligt misstag är att försöka bygga en egen säkerhetslösning. Sådana system är ofta komplexa vilket gör det svårt att få allting rätt.

– Man måste vara insatt i alla delar av säkerhet så att man inte missar något – en kedja är aldrig starkare än sin svagaste länk. Samtidigt är det svårt att behålla säkerhet genom hela livscykeln på produkten eller tjänsten utan en strikt kontroll, säger Jörgen Mellberg.

– Det är väldigt sällan du behöver något som inte redan har byggts. Då är det bättre att köpa in mogna lösningar med välbeprövad säkerhet och implementera det i sitt eget system.

Analysera riskerna

Företag som vill slippa att råka illa ut behöver i förväg täcka alla möjliga eventualiteter genom att tänka som en förövare. Det är vad Jörgen Mellberg arbetar med – han försöker förutsäga alla möjliga säkerhetshot, med målet att inget ska hända.

Hotet behöver inte nödvändigtvis bestå av en illasinnad hackare som vill komma åt din data eller som gör en överbelastningsattack för att få ner din hemsida. Det kan vara så enkelt som en användare som nyttjar din tjänst på ett sätt som du inte har tänkt dig – som exempelvis de robotar som automatiskt publicerar tweets på Twitter.

– Människor kommer att försöka använda din tjänst för sina egna behov, oavsett om du har tänkt på det eller inte. Att ha den inställningen redan från början gör utvecklingsarbetet mycket lättare, säger Jörgen Mellberg.

När man bygger upp sitt system gäller det därför att spärra för icke-avsedda möjligheter.

– Nyckeln är att hitta riskerna i systemet. Då gäller det att ha insikt i hur man vill använda systemet och hur det är uppbyggt. Ju mer vi förstår om vad som kan hända, desto bättre säkerhet kan vi bygga.

Säkerhet på rätt nivå

Det finns många typer av hot. Frågan är om man behöver skydda sig mot alla existerande hot eller endast mot dem man identifierar som allvarliga.

– Allting handlar om balansen mellan risk och kostnad. Det gäller att hitta rätt nivå på säkerhetskontrollerna. En för hög säkerhetsnivå kostar onödigt mycket pengar, säger Jörgen Mellberg.

Dessutom kan en för hög säkerhetsnivå skrämma bort kunderna till en annan leverantör.

– Vi är vana vid att använda dosor eller mobilt bank-id när vi loggar in på banken, det accepterar kunderna. Men om en enklare tjänst skulle ha samma säkerhetslösning så finns risken att kunden tröttnar på din tjänst.

Anpassa säkerheten efter verksamheten

Företagets verksamhet är det som styr hur säkerhetslösningen behöver se ut. Om man har en e-tjänst så gäller det exempelvis att ha redundans på tjänstens internetuppkoppling. Det gäller också att veta när kunderna använder tjänsten. Är belastningen konstant eller med en topp en kort tid på året? I det senare fallet måste säkerhetssystemet ha kapacitet som klarar av ett tillfälligt högt tryck.

– Det löser man genom så kallad lastbalansering och en arkitektur som klarar av att hantera en anstormning. För om din tjänst går ner så går kunden till nästa leverantör istället, säger Jörgen Mellberg.

Är det möjligt att bygga in säkerhet mot mänskligt slarv?

– Man kan aldrig försäkra sig till 100 procent – det är mänskligt att göra fel. Men risken kan minimeras genom att man exempelvis måste vara två personer för att genomföra en förändring. Då kan man säkerställa att den andra inte gör några misstag.

– Genom att automatisera så mycket som möjligt så minskar du också risken för mänskliga misstag och får samma utfall varje gång.

Så kommer du igång med säkerhetsarbetet

  • 1. Se till att ha någon som kan ge råd. Om det inte finns kunskap om säkerhetsfrågor internt så ta hjälp av en extern leverantör.
  • 2. Börja med att ta fram en säkerhetspolicy om hur företaget vill hantera säkerhet, så att det är klart och tydligt för alla, både internt och externt.
  • 3. Titta på de ramverk och säkerhetsstandarder som finns, exempelvis ISO 27000. Där hittar du de olika delar som krävs. Använd det som passar in på ditt företag.
  • 4. Fundera över vilken hotbild som finns mot företaget – vilka säkerhetslösningar behövs?
  • 5. Prioritera hoten. Om datakapaciteten är den största risken så ta hand om det först. Gå därefter vidare till att fokusera på nästa hot, exempelvis skydd mot hackers.
  • 6. Köp in ett väletablerat säkerhetssystem som använts i många år och bevisligen fungerar. Att bygga ett helt eget säkerhetssystem är komplicerat och är inget som de flesta bör ge sig på.