När IT-incidenter genom en cyberattack är ett faktum prövas dina krisscenarier, som förhoppningsvis redan finns på plats, i sin helhet. Tyvärr kan incidenten bli ett tråkigt uppvaknande om hur olika säkerhetsprocesser har hanterats och istället för en mindre incident så är en större katastrof mer eller mindre ett faktum.
Det har förekommit ett antal större incidenter, eller attacker, i Sverige den senaste tiden,
Den som fått mycket medialt utrymme är den sk ransomware-attacken som drabbade många bolag och myndigheter via deras tjänsteleverantör alldeles nyligen.
Den attacken riktades (sannolikt) från ett ryskt hackernätverk och för flera företag och organisationer resulterade attacken till förödande konsekvenser. För många av de drabbade pågår ett hårt internt arbete alltjämt för att komma på fötter igen, men tyvärr ser det ut som om stora värden och mycket data kan ha gått förlorade. Det kommer att dröja innan det blir helt klarlagt och offentligt om vad som var orsaken till att det gick så fel. Kanske kommer det av säkerhetsskäl aldrig att avslöjas. Klart är dock att det någonstans har brustit i säkerheten.
Mer än 200 miljoner attacker sker under ett år runtom i världen. Utifrån det perspektivet bör vi konstatera att vi är mer eller mindre under konstant attack och det är dags att ta det på allvar och förhålla oss till det. Med rätt insatser kan man nämligen styra bort från de värsta scenarierna, som till exempel att inte kunna betala ut lön till sina medarbetare p g a att HR- och lönesystem ligger nere, och alla backuper är infekterade.
Vi på Heartpace möter ofta frågan om lagringsplats och ibland varför vi har valt en molntjänst- leverantör som inte har svenska eller nordiska ägare. Ofta anför man att vår leverantör, Amazon AWS, liksom Google och Microsoft har amerikanska ägare och av den anledningen upplevs som osäkra. Min invändning är att just säkerhetsperspektivet har varit avgörande i vårt val av leverantör, och de nämnda är de som idag hanterar det bäst. Varför skulle man inte välja dem?
Big is beautiful – ja, för så är det, storleken räknas när det gäller säkerhet.
Låt mig ge dig ett exempel;
Amazon AWS har många datacenters runtom i världen, bara i Europa har de åtta huvudcenters indelade i 24 stycken s k Availability Zones vilket gör dem till den största leverantören av lagringstjänster, inte bara i Europa utan i världen. Fler datacenters är dessutom på gång. Tillsammans med Google och Microsoft hanterar de mer än 65% av den totala marknaden för lagringstjänster.
Det unika för t ex Amazon AWS är att med datacenters menar man inte en fysiskt plats utan istället avser en geografisk zon som innehåller flera fysiska datacenters. Det innebär i praktiken att data aldrig behöver lagras på en och samma plats, och inkluderat alla backuper så kan de lagras fysiskt långt ifrån själva applikationen till och med i olika länder. Vi på Heartpace separerar till exempel alltid vår driftdata från backuper genom att lägga dem i olika zoner och i olika europeiska länder. Det är svårt, för att inte säga omöjligt, om du arbetar med en lokal leverantör för väldigt få har möjligheten att erbjuda dig denna lösning. Det är den krassa sanningen.
Utöver att man kan tillhandahålla ett nätverk av fysiska lagringsplatser erbjuds också en komplex infrastruktur av olika säkerhetsapplikationer vars syfte är att automatisera skyddet av all din data. Amazon AWS har t ex automatisk spegling av all data inom en zon och utöver det äger man möjligheten att skapa löpande backuper ett antal gånger varje dygn, varav en serie av dem är sk “immutable”, en teknisk term som innebär att de kan inte ändras eller uppdateras utan endast läsas. Genom deras arkitektur skyddas du också mot sådana överbelastningsattacker som har varit aktuella under året eftersom deras spridda arkitektur kan fånga upp sådana attacker.
I debatten om riskerna kring eventuell dataöverföring till USA är min bild, att man i viss mån “Silar mygg och sväljer kameler”. Att flytta all sin data lokalt bara för att man tror att ett datacenter med svensk ägare är mer immuna mot ryska hackare är för mig oförståeligt – För vad är det som blir så mycket säkrare? ? En vision om att det som är nära och lokalt är bättre och tryggare? Tyvärr, den tiden är sedan länge förbi. Det finns ingen lokal leverantör som kan överträffa de stora aktörernas kapacitet. Och har du inte själv en stor IT-avdelning med rätt kompetens som kan mäta sig med storbolagens, så står du dig slätt avseende säkerheten. Det blir en tidsfråga innan det brister.
Sedan förra sommaren finns en överenskommelse mellan EU och USA om säker dataöverföring, det s k Trans Atlantic Privacy Framework, vilket har rätat ut många frågetecken kring ägarskapet av de stora leverantörerna. Men trots överenskommelsen, har ämnet ännu inte avförts från debattens agenda, då den redan ifrågasätts av organisationer som t ex NOYB. Min gissning är att det kommer att ske överklaganden, om det inte redan skett. Om jag fortsätter att spå i glaskulan, så är jag ganska övertygad om att man kommer att lösa alla mellanhavanden mellan EU och USA. Allt annat vore i nuläget oklokt, avseende de kostnader och det säkerhetshot, som alternativet skulle vara om inte en lösning kom på plats.
Men det handlar inte bara om lagringsplats. Din leverantör av molntjänst-tekniken och lagringen ansvarar för säkerheten kring den, men programvaruleverantören och du ansvarar för behörigheter. Man kan säga att leverantören i det fallet ansvarar för molnet, medan programvaruleverantören och du har ansvaret för vad som händer i molnet.
Ditt ansvar handlar i ett första steg om val av leverantör.
Och sedan om hur du hanterar dina behörigheter. Som jämförelse skulle man kunna säga att det spelar ingen roll hur inbrottssäkert ditt hus är om någon sedan ger ut en nyckel, eller ett passerkort, till någon obehörig med dunkla intentioner. Det handlar således om att ha säkerhetslager ovanpå säkerhetslager vilka samverkar.
Kring säkerheten i molnet deltar leverantören av t ex ett Löne- eller HR-system, Heartpace i vårt fall, som är en part i den totala infrastrukturen. Vi själva använder en stor del av den tekniska arsenal som Amazon AWS tillhandahåller så att den blir en integrerad del i vår leverans, och följer strikt de rekommendationer de ger kring säkerhet. Utöver det är vi själva certifierade i ISO 27001:2022 (det senaste certifikatet) för att på så sätt få med alla processer som rör säker datahantering.
Det finns inga garantier men det finns bra mått och steg för att hjälpa dig med att öka din säkerhet. Du kan läsa om några tips nedan.
Åtta punkter att tänka på:
- Se till att regelbundet gå igenom era rutiner med era leverantörer. Tekniken utvecklas i ett rasande tempo och hackare har tillgång till det senaste. Det måste du också ha.
- Välj alltid certifierade IT-leverantörer, de visar att de tar säkerhet på allvar. Se till leverantörens certifikat inkluderat sub-processorns certifikat. De samverkar.
- Certifiera er själva i något av de erkända säkerhetscertifikaten som t ex ISO27001, SOC2 mfl. Det är visserligen en stor satsning men lönsam på lång sikt.
- Kontrollera hur era system-backuper för alla system som hanterar data sköts och att de inte kan komprometteras. Kontrollera att återställningen av en backup fungerar. Ett vanligt fel är att backuper aldrig testas.
- Vilka har tillgång till den högsta behörighetsnivån, är det på en “need to have eller nice to have” nivå? Har ni ett aktivt tänk kring IAM, Identity Access Management.
- Hur ser en enkel sak som er lösenordspolicy ut, förnyar ni alla dessa varje kvartal och använder ni 2-faktors verifiering på alla era inlogg? Har ni ett system för att kontrollera efterlevnad? Om inte, börja nu!
- Utbildar ni era medarbetare i säkerhet? En kedja är aldrig starkare än den svagaste länken, stärk alla medarbetare i ett säkerhetstänk. Vi använder själva t ex Junglemap, för löpande micro learnings. Året runt.
- Har ni genomtänkta incident scenarier, d v s kunskap om vilka personer som ska agera i händelse av en incident, och hur de ska agera. Har de organiserats i agenda- och protokollförda möten är också en frågeställning i samband med scenario- hantering.
Tyvärr agerar de flesta alldeles för sent och missar förberedelserna. Det liknar situationen med att skaffa inbrottslarm när skadan redan skett. Det är viktigt att förstå att med rätt förebyggande arbete kan du avstyra en it-attack så att det blir en mindre incident istället för en större katastrof. Det är dags att vi beslutar oss för att bli “best in class!”
För mer kunskap kring ämnet rekommenderar jag länkarna som du hittar längre ned.
Henrik Dannert
CEO
Här kan du läsa kort information om Trans Atlantic Privacy Famework.
Deloitte | Amazon AWS – Ransomware Resilience on Amazon Web Services. En blogg om hur välorganiserat det tekniska arbetet kan bli om man tänker och gör rätt.
Siemens hanterar 60.000 cyberhot / sekund. Läs om hur de har byggt upp sin säkerhet. Givetvis har ett mindre bolag inte möjlighet att använda alla dessa resurser, men man kan lära sig av hur de adresserar hot.
https://aws.amazon.com/solutions/case-studies/siemens-cybersecurity/
Sentor hjälper bla Piteå Kommun i deras säkerhetsarbete. De tog ett kraftigt grepp om sin säkerhet efter den IT incident som Kalix Kommun drabbades av för något år sedan. De genomför sk Red Team Testing där man utsätter systemen för attacker i förebyggande syfte. Läs mer här.
Noyb – en organisation som nämns i texten och som driver europeisk privacy aktivism och har bl a drivit fram Schremsdomar mm. Intentionen är god, enligt min mening, men gott syfte och gott utfall är inte alltid samma sak.
https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
Junglemap – onlinelearning i säkerhet genom sk nudging.
Vill du se mer?
Boka en demo av Heartpace här!
Vill du få rykande färskt innehåll
om HR?
Prenumerera på våra blogginlägg, nyheter och webbinarier här. Vi lovar att inte översvämma din inkorg med e-post, och vi kommer aldrig någonsin dela din e-postadress med någon annan!
