Digitalisering och säkerhet – bristande säkerhet hotar att sänka etablerade varumärken

För ett år sedan hamnade British Airways i blåsväder då de läckte personuppgifter via en osäkrad molntjänst. För detta riskerar bolaget att få betala 230 miljoner dollar i sanktionsavgift. Incidentutredningen visade i det fallet på 22 rader kod som möjliggjort incidenten. Dessa 22 rader ingick i ett JavaScript som inte hade blivit uppdaterat sedan 2012. Utredningen pekade på att bolaget hade en väldigt bristande förvaltning av sina IT-system och deras livscykelhantering. 

Nu ett år senare är bolaget i pressen igen för en ny brist, denna gången kopplat till hur deras e-biljettsystem fungerar. I jakten på effektiv digitalisering har man åsidosatt säkerhet och både exponerat personuppgifter och möjliggjort att en angripare kan ändra i biljetter utan större svårighet.

Behovet av att säkerhet genomsyrar organisationen

Bristerna i British Airways e-biljetter är ett tydligt tecken på att företag måste börja inse att säkerhet inte är en avdelnings ansvar eller någon specifik individs. Alla behöver reflektera över vad de kan göra i sina processer och system för att säkra informationens tillgänglighet, riktighet och konfidentialitet. Jag har personligen sett hur en förvaltning går från att tycka att säkerhetsgranskningar är något som är en orimlig belastning till att efter GDPR börja tycka att, OK detta är faktiskt relevant. Till att nu efter en tids mognad börjat ställa krav tillbaka på IT-avdelningen att tillhandahålla tjänster och lösningar som hjälper dem i deras säkerhetsarbete. Detta ger mig hopp om att förr eller senare så kommer de flesta att mogna och inse att säkerhet i digitaliseringen är precis lika viktigt som effekten av digitaliseringen i sig själv. För att detta skall ske måste vi som arbetar med säkerhet fortsätta att dela vår kunskap och vidareutveckla våra tjänster för att möjliggöra digitalisering.

Digitalisering – Vägen framåt

Låt oss prata mer om målen än medlen. De allra flesta vet att utmaningarna är stora, vi behöver inte säga till dem att om de inte gör 500 säkerhetskontroller perfekt så är allt förlorat. Den typen av härskarteknik har säkerhetsbranschen blivit känd för och det har inte hjälpt vare sig branschen eller kunderna. Istället bör vi förmedla varför säkerhetsarbetet är viktigt och tydligt kommunicera vilka synergieffekter detta får tillsammans med verksamhetens målbild. Hur verksamheten kan bli effektivare, hållbarare och mer konkurrenskraftig genom ett strategiskt, taktiskt och operativt säkerhetsarbete!

Vill ni veta mer om hur ni kan kombinera digitalisering och säkerhetsarbete, hör av er till oss på Truesec. Vi hjälper kunder att både digitalisera sin verksamhet och på samma gång stärka sin motståndskraft!  https://www.truesec.com/security/

Mvh

Mats Hultgren

VP Cyber Strategies, Truesec