Förtroende är bra, kontroll är bättre!

I vårt 10:e Techtalk talade vi om användare och mjuk säkerhet. Poängen vi lyfte fram var att människor är första delen utav försvaret, på samma sätt som att vi förväntas låsa dörren till kontoret när vi går för dagen. Efter detta följer alla de skydd som vi betraktar som faktiska säkerhetsåtgärder: larm, väktare och fönstergaller med mera.

Ett återkommande påstående är att bästa sättet att förbättra en organisations motståndskraft kring IT-angrepp är att utbilda dess användare. Detta är en viktig del utav det holistiska arbetet, och något vi rekommenderar, men långt ifrån den viktigaste aktiviteten en organisation skall sysselsätta sig med. Vi människor är tyvärr långt ifrån så perfekta som en robot kan vara. Vi glömmer, vi bortser och vi slarvar konstant med våra åtaganden. Det är att vara mänsklig! Att utbilda människor i IT-säkerhet för att på så sätt säkra våra IT-miljöer är en aktivitet som kräver mycket utav både individen och organisationen. Det är som Sisyfos eviga rullande av stenen uppför berget, arbetet tar aldrig slut och arbetet i sig tillför ingen garanti i säkerhetsarbetet eller direkt värde för organisationen. Med detta sagt är ett systematiskt arbete med säkerheten en självklar del inom en organisation. Dock behöver det ses för vad det är och inte ges en oproportionerligt stor förväntan på dess värde gällande den holistiska säkerheten. Människor kommer alltid att göra fel även om de får lära sig vad som är rätt. 

John Lambert arbetar som Distinguished Engineer på Microsofts Threat Intelligence Center och jag brukar ofta referera till ett citat som kommer ifrån John vilket lyder; ”Försvarare tänker i listor och angripare tänker i diagram. Så länge detta är sant så vinner angriparen.”. Med andra ord, så länge det finns ett hål i vår rustning så kommer angriparen att komma in för de behöver bara en enda svaghet. Grundläggande för all IT är att den utgörs utav teknologi. Förr var det även sant att den primärt nyttjades av människor, men detta är inte längre sant då allt fler system konsumerar andra system och dess information helt automatiserat. Digitaliseringen börjar mer och mer genomsyra alla olika former av verksamheter och där användaren förr var den primära input- eller output-funktionen så börjar vi nu skönja Artificiell Intelligens utav olika former. 

Vad vi behöver fokusera på är att med arkitektur och design utav teknologiska implementationer göra det lätt att göra rätt och svårt att göra fel för människan. Lösningar skall designas och implementeras på så sätt att när en människa gör fel så skall detta inte få katastrofala följder. Klickar en användare på länken i ett phisingmail skall detta inte leda till att en angripare får tillgång till vad denne behöver för att kunna angripa IT-miljön. Här finns idag ett stort arbete att göra med alla de teknologiska lösningar som en organisation redan har investerat i. Återkommande ser vi hur kunder inte utnyttjar all den funktionalitet som deras teknologiska lösningar redan besitter. Det beror oftast på en utav två saker; Bristande kunskap om teknologin eller bekvämligheten som ofta kommer med mindre säkra lösningar. Det är även utav vikt att betona att BARA produkter ger inte säkerhet. Utan kunskap och processer för hantering betalar organisationer dyra licenser för lösningar som bara står och blåser varmluft i ett datacenter.

För de scenarion som inte kan säkras upp med teknologi behöver processer implementeras vilket säkerställer att regler och anvisningar följs och att ingen enskild individ kan hota säkerheten. Detta är t.ex. applicerbart på inköp utav lösningar, uppköp av andra bolag, anställning av nya medarbetare eller införandet av förändringar i en IT-miljö. 

Förtroende är bra men kontroll är bättre. Kontroll får vi genom att införa tekniska skyddsåtgärder som aktivt förhindrar skada på våra system och vår information. Detta behöver vara grunden för vårt säkerhetsarbete och sedan kompletteras med att utbilda människor i vad de behöver veta, kunna och förstå kring att arbeta med våra system. 

Utvecklingen inom IT har gått så fort att de flesta fortfarande inte ens har den mest grundläggande förståelsen för IT. Min vanligaste liknelse är den runt ekonomi. De allra flesta beslutsfattare har en god förståelse för ekonomi och de har dessutom ofta en utbildning inom området. Tyvärr är en förståelse för IT på samma sätt synnerligen ovanlig. Mitt påstående är att kunskap om IT är precis lika kritiskt som det är för ekonomi. IT är en utav strömmarna som pumpar blod genom hjärtat i våra organisationer.

 Här har alla vi som arbetar inom IT en livsuppgift att ta oss an, att göra vår verksamhet mer förståelig och att verka för att ingen uppfattar IT som svart magi som endast kan förstås av ett fåtal med särskilda förmågor.

Vidare måste även vi som tekniker vara ödmjuka inför varandra och ta hjälp när det är något vi inte själva har tillräckligt med kunskap kring. Det finns inget utrymme för ”kan själv”-mentalitet inom IT längre. Marginalerna kring säkerhetsarbete är alldeles för små och alla som arbetar med försvar av organisationers information har oddsen emot sig redan som det är. 

Så för att summera; utbilda all er personal i IT och säkerhet. Inför tekniska skyddsåtgärder som gör det lätt att göra rätt och svårt att göra fel. Se till att använda all den funktionalitet som redan finns i tillgängliga och implementerade lösningar. För de aktiviteter som inte kan säkras med teknologi; implementera processer och regler som säkerställer att ingen enskild individ kan äventyra säkerheten för organisationen. Och sist men inte minst, ta in hjälp från experter om du inte känner dig helt trygg i teknologin!

Med vänliga hälsningar,

Mats Hultgren