Varför finns det inget säkerhetstänkande i Sverige?

Skriven av

Cyberangreppen haglar över svenska företag, trots att marknaden är full av säkerhetsföretag som annonserar om att de kan göra ditt företag säkert mot attacker. Det kan de inte. Och det är inte säkerhetsföretagens fel.

Förr var Internet en ljuvlig sommaräng full av spännande möjligheter. Idag är Internet ett skyttegravskrig. Du kan välja att inte tro på det. Tråkigt för dig.

Hur kommer alla trojaner och virus in på de ”säkra” företagsnäten, när det nu finns virusskydd, brandväggar och säkerhetskonsulter? In kommer de. Varje dag. Sjukhus, kommuner, landsting, myndigheter och privatföretag drabbas hela tiden och får sina hårddiskar krypterade, med mera otrevligt. Kommunkontoret stannar och får om möjligt gå tillbaka till manuella rutiner. Sedan får de betala skurkarna för att få diskarna upplåsta. En stunds obehag i media, sedan glömmer man saken. Men det kostar skattebetalarna pengar, likafullt.

Mörkertalet är förmodligen stort eftersom de flesta organisationer skäms så gruvligt över att ha gått på bluffen att de aldrig kommer att berätta om det. Denna historiska artikel är bara ett litet exempel på det (med inbyggd undanslinkning): http://computersweden.idg.se/2.2683/1.666040/fa-myndigheter-it-incidenter

Vad ska man göra åt det? I den mån någon vågar. Det duger inte längre att släta över och gulla med personalen. Datasäkerheten är en angelägenhet för hela företaget. Från chefer, militärer och politiker som glömmer mobiltelefoner i taxibilar, till anställda som klickar på spambrev och laddar hem trojaner. Till andra som tar hem jobbdatorn och låter ungarna installera spel på den. Till ytterligare andra som inte gillar att bli inlåsta bakom företagets brandvägg och tar med sin egen mobiltelefon och upprättar en förbindelse runt i kring brandväggen och tar hem trojaner på det sättet. Årligen glöms cirka 100.000 telefoner, plattor och liknande i Londons bussar, taxi, tåg, tunnelbanor osv. Och ingen har någon aaaning om hur det kunde gå till.

Skadorna för företaget blir desto större. Inte nog med att det kan kosta en bra slant att få hårddiskarna upplåsta igen, företagets goda rykte står på spel. Vem vet vad annat skurken fick med sig i attacken? Skurkarna är inte dumma. Kundregistret, kanske? Det blir en kalldusch som kommer senare.

Nej, det har du inte!

Hur ska man skydda sig mot trojaner som hämtas av anställda som faktiskt har rätt att använda nätet, som faktiskt har rätt att hämta hem saker och ting från Internet för sitt arbetes skull, men inte fattar vad de gör? Hur ska man skydda sig mot folk som hämtar till synes oskyldiga wordfiler, aktiverar tolken för makron och skaffar sig makrovirus? Hur ska man skydda sig mot Bring Your Own Device? Hur ska man skydda sig mot människor som tar med allsköns USB-pinnar med trojaner?

Men snälla nån, börja agera!

Istället för att klaga i media är det dags för svenska myndigheter och företag att börja agera. Det ska kännas för den enskilde, oavsett ställning i företaget, att strunta i säkerhetsreglerna, slarva bort information och infektera företagets servrar.

1. Sätt upp ett regelverk kring datasäkerhet.

2. Berätta om regelverket. Inget får vara hemligt. Ingen får vara omedveten. Det ska göras helt klart för var och en vad regelverket går ut på, varför man gjort olika ställningstaganden och vad som händer om man bryter mot reglerna. Avsked ska vänta den som flagrant bryter mot reglerna och orsakar stora kostnader. Kravet på att följa regelverket ska skrivas in i anställningsavtalet. De som redan har anställningsavtal ska få skriva på ett tillägg.

3. Utbilda i datasäkerhet. Eftersom knappt någon vet något alls om datasäkerhet, eller har något intresse av datasäkerhet, är utbildning en mycket viktig fråga. Utbildningen kostar en slant, men att strunta i den kan bli väldigt mycket dyrare.

4. Retas inte. Sluta retas med de anställda genom att hitta på nedskärningar, omflyttningar, försämringar med mera som gör folk arga. Elaka chefer inbjuder till databrott. Kom ihåg att människan, inte maskinen, är den svaga länken i säkerhetsarbetet. Det finns en anledning till att den tecknade serien Dilbert hänger på vartenda kylskåp hos vartenda företag jag besökt. Den skildrar de anställdas fåfänga kamp mot chefernas godtycke. Varför är människor villiga att ge bort sitt lösenord i utbyte mot godis?

5. Bestraffa de som bryter mot reglerna, oavsett vilken position de har i företaget. Alla ska kunna se att alla kan drabbas lika.

Jag förstår att fackföreningarna kommer att klaga och de lättkränkta kommer att bli kränkta. Hitta en väg runt det.

Ytterligare åtgärder

Det finns ytterligare säkerhetsåtgärder som kan genomföras, som att ta bort alla gästkonton på det trådlösa nätverket, blockera USB-anslutningarna på alla datorer, förbjuda bilagor till epost, permanent stänga av makrotolkarna i Office och liknande, men det blir så besvärande för personalen.

Man kan ju försöka fråga politikerna, som jag en gång försökte fråga Anders Ygeman, om varför myndigheterna är så helt värdelösa på cybersäkerhet, men man får inget svar. Svarar en politiker någon gång på en så besvärande fråga blir svaret inte värt att ta upp i ett allvarligt menat forum. De kan alltid dölja sig bakom ”jag svarar inte i det enskilda fallet”. De vet inte. De vill inte. De har fått mediaträning.

IT-avdelningen vid Umeå Universitet har en intressant inställning när de anställda kommer och klagar på att de fått hårddisken krypterad av en trojan. De raderar hela disken och installerar om operativsystemet. Det svider garanterat när den anställde får alla sina vetenskapliga data raderade, men de lär sig till nästa gång.

  • Arbetsgivaren är ansvarig för IT-säkerheten och ska se till att den upprätthålls.
  • Betala aldrig en utpressare.
  • Se till att ha färska säkerhetskopior.
  • Kontrollera dem, så att de fungerar. Det är samtidigt rutinen för återtagning efter katastrof.
  • Ha kopiorna på företaget, inte i molnet. Den säkerhetskopia du inte kan ta på, den har du inte.
  • Ett vackert SLA betyder ingenting den dag leverantören går i konkurs, tappar förbindelsen eller råkar ut för maskinhaveri. Det är du som ska se till att ha redundans!
  • Om du inte klarar av att ha SCADA-systemet anslutet till Internet, ha inte systemet anslutet till Internet.
  • Kan någon inte hantera en mobiltelefon med företagsdata, ska vederbörande inte ha mobiltelefon.
  • Du har ingen okänd moster i Nigeria som vill skänka dig miljoner.

Det finns inga förmildrande omständigheter i säkerhetsarbetet. Det är som piloterna säger: gravitationen ger aldrig upp.

Läs mer

Attackvektorn, det är du. Var så säker: http://www.sweclockers.com/artikel/21218-attackvektorn-det-ar-du

SUNETs säkerhetshandbok: https://www.sunet.se/blogg/sunets-handbok-i-informations-och-it-sakerhet

Märken på artiklar:
Artikelkategorier:
Brott · cyberhot · Säkerhet · Utbildning

Kommentarer

Lämna en kommentar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *