Digitalisering – ett korthus? av Niels Mogensen, Conscia.
När jag var barn fick jag några få, tydliga regler med mig hemifrån:
”Titta tre gånger innan du korsar vägen. Bada inte direkt efter att du har ätit. Borsta dina tänder både morgon och kväll.”
Idag bekämpas Karius och Baktus fortfarande med tandborsten – även om verktyget nu ofta är av det elektriska slaget och sagan om Karius och Baktus har avmystifierats något. Vi befinner oss nämligen i den digitala tidsåldern där vår digitalisering går så rasande snabbt att den ibland kan vara svår att följa.
Våra barn spenderar sina dagar på Instagram, Facebook, Snapchat och så vidare. Vi behöver därför hantera nya risker för oss själva och vår barn såsom digital mobbning, falska profiler, identitetsstöld, dataintrång och många andra allvarliga cyberbrott.
Men var och hur kan vi färdas säkert på Internet? Vem kan vi lita på och är vi över huvud taget utrustade för att ge råd och guidning till vår barn i den digitala världen?
Beroende av IT
Även om det kan vara frestande så är det inte realistiskt att jag helt enkelt tar bort mina barns datorer, smartphones och tillgång till Internet för att skydda dem. Både undervisning från skolan och deras sociala liv är grundat på dessa verktyg och kanaler.
I affärslivet, där vi i Norden i allmänhet är IT-modiga och IT-mogna, är vi också helt beroende av dessa verktyg och en väl fungerande IT-infrastruktur. Men är vi över huvud taget uppmärksamma på de risker och de allvarliga konsekvenser som brister i IT-säkerheten kan orsaka?
Experter spår att sannolikheten är hög för att ett eller flera större nordiska företag i en närstående framtid riskerar konkurs på grund av ovälkomna säkerhetsincidenter i IT-infrastrukturen. Till exempel kostade incidenten med NotPetya nästan två miljarder danska kronor för Maersk trots att organisationen var betydligt bättre utrustad och förberedd än många andra företag för intrång.
Men hur ska vi råda våra företag – och våra barn?
Digitalisering
Det är förstås uppenbart att affärslivet eftersträvar digitalisering för att effektivisera arbetsflöden och ta tillvara möjligheterna att förkorta den så kallade time-to-market. Dessa digitala processer resulterar i stora besparingar och det är knappast ett alternativ att inte följa med i utvecklingen då även myndigheter och samarbetspartners dikterar utvecklingen (för att inte prata om konkurrenssituationen med konkurrerande företag).
Jag inser att vi inte kan stå utanför den digitala utvecklingen, men jag förbehåller mig samtidigt rätten att sätta frågetecken till både hastigheten och kvaliteten på denna digitalisering.
Ett exempel är Patch Tuesday som börjar bli ett välkänt koncept i IT-världen. Det är ganska tankeväckande att en dag i veckan kan bli uppkallad efter en hel grens bristande förmåga att leverera stabilitet och kvalitet.
Men fakta är det likaväl, vi kan inte undvika att fel kommer fortsätta göras och nya osäkerheter kommer framkallas. Och trots det snubblar jag fortfarande över många företag som arbetar utifrån principen: ”Om det inte är trasigt – laga det inte!”
Men – det ÄR trasigt! Det är därför det finns en buggfix!!!
Om till exempel bilindustrin upptäcker fel på en bilmodell kommer alla bilar att kallas in för att få felet åtgärdat. Det är uppenbarligen en dyr process och därför lägger bilproducenterna extra tid på utveckling, testning och produktion för att säkerställa kvaliteten på dessa bilar. Och inom flyget rättas tack och lov kända felaktigheter omedelbart.
Men är företagen över huvud taget uppmärksamma på riskerna, de potentiella konsekvenserna och kostnaderna av IT-incidenter när IT-lösningar väl är etablerade på företagen?
Med det menar jag inte bara kostnaden för att göra dataåterställning från backup utan även företagets reella kostnad för produktionstapp, lägre omsättning och varumärkespåverkan för att inte tala om återupprättandet av hela IT-infrastrukturen.
För Maersk kostade det som redan nämnts nästan två miljarder danska kronor. Vad kommer det att kosta ditt företag?
Vem har ansvaret
När vi pratar om att förutse den digitala hotbilden och förhindra IT-incidenter ska vi vara ärliga med att det är ett svårt område.
Expansionen av IT-system fortsätter oundvikligen genom digitalisering och gör IT- systemen långt mer komplexa än nödvändigt. De är nämligen väsentligt svårare att hantera idag både i förebyggande faser – och inte minst när det går helt fel.
Företagsledningen kommer förstås se till att ekonomin inte påverkas. Med de ekonomiska glasögonen på sig kan ledningen av goda skäl också ha svårt att se exempelvis vad det är för fel med den nya brandväggen som köptes in för bara två och ett halv år sedan. Och varför pågående uppdatering och underhåll inte är ett ansvar för den externa leverantör som företaget i förväg betalar att göra det?
Detta ska koordineras med tekniska chefen, tekniker, projektledare, användare och leverantörers olika åsikter och attityder. Därför slutar det med ofta med att det inte händer något alls. Inte på grund av ont uppsåt eller slöseri – utan för att det är lättare att inte åtgärda problemet.
Men IT-säkerhet är – liksom allt annat – i slutändan också ledningens ansvar. Ledningen måste därför ta de rätta besluten, men det bör ske på ett informerat sätt baserat på följande ”formel”:
Risk = Sannolikhet x Konsekvens
Sannolikheten beräknar teknikerna. Konsekvensen är affärsområdets ansvar och risken tillhör ledningen.
Därför har jag naturligtvis stor respekt för ett ledarskap som väljer att ta risker när besluten sker på välgrundad information.
Förhindra, upptäcka och kompensera
När det äntligen är beslutat att något måste göras för att förbättra säkerheten och/eller kontrollera risken brukar företaget ställas inför ett antal utmaningar. Det kan finnas brist på:
- Specifika färdigheter inom IT-säkerhet, hot och sårbarheter
- Kunskap om IT-infrastrukturen
- Inblick i organisationen
- Ekonomiska resurser
När vi har identifierat risken kommer förändring av vanor, eller till och med att skapa nya vanor, att vara ett relevant tillskott i processen för att förebygga, upptäcka och kompensera en säkerhetsbrist.
Stort fokus brukar vanligtvis läggas på att förhindra händelser för att på så sätt minska riskerna. Det är helt naturligt, men om allt fokus ligger på att arbeta förebyggande kan det vara begränsande för affären och samtidigt en kostsam lösning som inte står i relation till den verkliga effekten.
I mina ögon är det därför minst lika viktigt att se till att händelser upptäcks. Att verksamheten söker efter avvikelser är tyvärr en mycket underskattad process. Men det är också värt att påpeka att vi inte kan förhindra händelser om vi inte upptäcker de befintliga händelserna eller de som redan drabbat oss.
Därför vill jag ännu en gång påpeka hur viktigt det är att i förväg planera och förbereda kompenserande åtgärder för när ett intrång sker.
Ha därför alltid en plan B till hands i förväg eftersom det helt enkelt är för sent när en olyckshändelse dundrar in – planera för att misslyckas!
Tänk på konsekvenserna
Hur bör företag förhålla sig till framtidens hotbild när det gäller IT- säkerhet?
Om jag hade ett definitivt svar så vore det inget annat än ett ekonomiskt guldägg, eftersom det är mycket svårt att förutsäga nästa steg för internets dolda undre värld.
Om ni redan i förväg tänker på och påvisar konsekvenserna av intrång och därmed planerar vad som ska göras så har ni faktiskt redan kommit långt.
Det kan till exempel vara ”så enkelt” som att säkerställa att system övervakas och testas kontinuerligt, så att ni alltid är säkra på att de fungerar som avsett.
Och nu när vi alla ändå fokuserar på digitalisering och att följa GDPR kan vi dra nytta av att sätta procedurer för IT- säkerhet på dagordningen och processer i system. Det skulle öka sannolikheten för en budgeterad investering i löpande IT- säkerhet i nästa driftsbudget och sålunda öka möjligheten att antingen säkra den nödvändiga kompetensen internt – eller att använda externa specialister vid behov.
Copy/paste
Hur kan jag då ge råd till mina barn under vår digitalisering?
jag har kört med copy/paste och använder exakt samma råd som mina föräldrar gjorde. Jag oroar mig och säger upprepade gånger: ”Var försiktig nu… Tänk på att…. Tänk om… ”.
Samtidigt påminner jag mig om att jag ofta själv ibland sprang över vägen utan att se mig för, simmade direkt efter maten och slarvade med tandborsten.
Hur som helst så har jag satt ett tak på barnens kreditkort och telefonräkningar och skapat ett speciellt VLAN till dem och deras vänner. Då kommer en oförutsedd säkerhetsincident i alla fall inte gå ut över deras mor och mig själv. Jag har därmed kontroll över konsekvenserna på dessa områden.
Vår digitala mognad är inte nödvändigtvis ett korthus som kan falla ihop, men vi är själva med och bestämmer hur säkert fundamentet i vår IT- plattform – och hela verksamheten – är.
Har du en fråga till en av våra certifierade säkerhetskonsulter – är det kanske dags att göra en analys av er säkerhet? Hör av dig!
Niels Mogensen, Security Evangelist, Conscia. Som säkerhetsevangelist och ”techie by nature”, har Niels Mogensen stor kunskap och intresse för de mjuka aspekterna av IT-säkerhet och att knyta ihop det med tekniska utmaningar och möjligheter. Niels Mogensen har arbetat i IT-säkerhetsbranschen i mer än 25 år och har en åsikt om allt – och då främst allt som med IT-säkerhet att göra. Certifieringar: ESL, CISSP, CISA.
