Det här innebär digital säkerhet i dag

En övertro på teknik har länge kännetecknat it-säkerhetsarbetet, samtidigt som människorna i ekvationen har glömts bort. “Den största missuppfattningen är att ‘att vara säker’ är antingen eller. Det är inte sant, i verkligheten är det en jättelång gråskala”, säger Olle Segerdahl, säkerhetskonsult på F-secure.

Någon sprider ut usb-minnen i en företagspark i Göteborg. Trevligt? Nix. Denna någon är inte en osjälvisk person som ger bort praktiska presenter, utan en utpressare. På usb-minnena finns det nämligen skadlig kod som krypterar alla dina filer om du stoppar in minnet i datorn. Usb-spridaren hoppas att du ska vara villig att betala för att få tillbaka filerna.

Det här är förstås långt ifrån det enda exemplet på farorna med vår digitala värld. Ryssland kan ha påverkat valet i USA till Trumps fördel. Titt som tätt kommer det rapporter om läckta lösenord. Och även om Nigeriabrevens storhetstid är förbi finns det andra typer av mejlbedrägerier som ökar. Tyvärr lever förlegade föreställningar om it-säkerhet kvar hos de flesta. Vi har tagit hjälp av en expert för att slå hål på myter och få tips anpassade till nutiden.

It-säkerhet = riskmedvetenhet

Trots att antivirusprogram och brandväggar hela tiden blir bättre kan vi ständigt läsa i tidningarna om dataintrång och bedrägerier. Kommer vi någonsin kunna slappna av och känna oss säkra?

”Den största missuppfattningen är att ‘att vara säker’ är antingen eller. Det är inte sant, i verkligheten är det en jättelång gråskala. Det handlar inte om att bli säker, det handlar om att bli medveten om vilka risker vi tar”, säger Olle Segerdahl, säkerhetskonsult på F-secure.

Själv jobbar Olle mest med teknikdelen av it-säkerheten, men företaget som helhet jobbar också med att höja den fysiska säkerheten i lokaler och att utforma processer som gör företag mindre sårbara för påverkan utifrån. Helhetstänket på säkerhet är viktigt. För säkerhet handlar inte bara om att ha ett uppdaterat antivirus-program. Det handlar också om att vara medveten om svagheter, lära sig att känna igen säkerhetsmekanismer och att ha brandövningar.

Olle Segerdahl
Olle Segerdahl

Har ni också tänkt mer på säkra program än på personerna som använder dem?

Under lång tid har it-säkerhet fokuserat mycket på teknik.

“Det är det största misstaget folk gör – det gör vi själva som är tekniknördar också – vi överdriver beroendet av tekniska lösningar. Man har underskattat vikten av att kunna upptäcka och hantera en säkerhetsincident för att man har fokuserat alldeles för mycket på att skydda sig.”

Var medveten om svagheterna – och hantera dem

För att hamna närmare den positiva polen på säkerhetens gråskala behöver vi komplettera våra säkerhetsmurar med andra saker. Olle drar en parallell till den fysiska säkerheten runt en fabrik.

“Vi kan inte bygga hur höga stängsel som helst runt vår fabrik. Någon kan komma över ändå eller klippa hål med en bultsax. Vi vet att vi har den sårbarheten. Då jobbar vi i stället med en väktare med hund och säkerhetskameror. När någon försöker bryta sig in kommer väktaren med hunden och skrämmer bort hotet. Samma sak måste vi göra i it-systemet. Vi kan inte bygga det ultimata skyddet, utan vi måste ha en plan för vad vi gör när intrångsförsöket kommer.”

Att installera en programvara som blir som it-miljöns larm- och väktarbolag är en bra åtgärd, men det räcker inte hela vägen.

Skapa rutiner och verktyg som gör det möjligt att arbeta säkrare

Minst lika viktigt som att skaffa ett digitalt “väktarbolag” är att täppa till säkerhetshålen i rutinerna.

“Sårbarheten finns ofta i företagens rutiner. Vi brukar inte prata om att användare har gjort fel. Det finns tråkiga konnotationer i det, att lägga över ansvaret på den enskilda medarbetaren är inte så schysst. Vi måste i stället skapa bättre rutiner och skapa bättre verktyg som inte är så sårbara.”

Olle är noga med att påpeka att det är ledningens ansvar att se till att medarbetarna kan göra sina arbetsuppgifter på ett säkert sätt.

“Det kanske var deras jobb att klicka på den där bilagan; de kanske får 30 mejl om dagen där de ska klicka på bifogade cv:n. Då ska de ha en dator som det inte gör så mycket om den blir smittad. Den behöver kanske inte ha möjlighet att skriva till filservern, utan den kan vara mer isolerad.”

Stora it-säkerhetshot i dag

Det händer inte mig. Så är det lätt att tänka, men stämmer det? Är det mest de stora företagen som drabbas av attacker, går det att flyga under hackarnas radar om man har tillräckligt låg profil? Kanske, i vissa fall, men det finns risker som alla behöver kunna hantera.

Ransomware: massattack som kan drabba alla

“Det man måste ha ett skydd mot är massattackerna som går mot alla, det vi brukar kalla för hagelbrakaren: den sprider hejvilt och hoppas att det träffar. Ransomware till exempel, som vi har haft mycket de senaste åren.”

Senaste exemplet på det Olle pratar om är, i skrivande stund, världsomspännande attacken i maj 2017 med utpressningsviruset ”wannacry”. Uppemot ett hundratal länder drabbades och bland annat tvingades brittiska sjukhus stänga ned.

Ransomware är en skadlig programvara som krypterar all information på datorn – dokument, bilder och så vidare – och kräver att du ska betala en ofta ganska stor summa pengar för att du ska kunna läsa din information igen. Programvaran kan komma in i din dator till exempel genom infekterade mejl-bilagor eller dåliga webbsidor (eller ett usb-minne från Göteborg) och spridas vidare till andra datorer i nätverket. Eftersom ransomware är en “hagelbrakare” kan vem som helst drabbas, stor som liten.

“Där kan man inte gömma sig i mängden, för det slår mot alla. Som litet företag måste man förlita sig på att tekniken, i kombination med information, kan skydda mot massattackerna.”

Vd-bedrägeri: riktad attack som blir allt svårare att avslöja

Det finns också attacker som är mer riktade. En typ av riktade bedrägerier som har blivit vanligare på senare tid är vd-bedrägerier. Vd-bedrägerier har tidigare varit ovanliga i Sverige men började öka i antal våren 2016. Ungefär 100 sådana bedrägerier anmäldes 2015 – under 2016 var siffran uppe på ungefär 1 000 anmälningar. Ett vd-bedrägeri innebär att någon som utger sig för att vara företagets vd (eller någon annan person med ekonomiskt mandat, som kommunens ekonomichef) skickar ett mejl och begär en utbetalning. Ofta är det bråttom med pengarna, kanske säger “vd:n” också att det gäller en hemlig affär så att medarbetare inte lika lätt kan kontrollera med sina kollegor.

Bedragaren kan använda olika metoder för att försöka lura den som får mejlet att allt är i sin ordning. Ibland “spoofar” bedragaren vd:ns mejladress, det vill säga att hen lurar datorn att tro att mejlet kommer från vd:ns adress. Ur bedragarens synpunkt är nackdelen med att spoofa att svarsmejlen går till den riktiga vd:n. En annan metod är att bedragaren registrerar en domän som liknar företagets och skickar mejlen därifrån, så att hen får kontroll över alla svarsmejl också.

”Vd-bedrägerier behöver inte vara riktade mot större företag, men de är ju riktade. Bedragaren måste ta reda på hur den ska uttrycka sig, vem den ska låtsas vara för att personen den försöker bedra ska gå på det. Vem är vd, vem är ekonomiansvarig? Det behöver inte vara svårt att ta reda på, det kan räcka med att titta på företagets hemsida, men det betyder att jag behöver ta reda på det en gång per företag. Där kanske man kan gömma sig i mängden, men å andra sidan – om man inte har så mycket pengar kanske man inte vill bli av med dem.”

Så minskar du riskerna och begränsar skadorna

It-säkerhet är en gråskala. Någonstans på den skalan, mellan riskernas svarta grottor och den absoluta säkerhetens vita ljus, står du och ditt företag. Oavsett om ni är stora eller små behöver ni kunna hantera risker. Låt Olle leda er mot ljuset.

Vad händer om brandväggen sviker? Håll en brandövning

“Det finns penetrationstester som man har jobbat med väldigt länge, men tyvärr har man inte övat på vad man ska göra när angreppet kommer. Man förlitar sig på teknik. Det jag kan tycka att man har missat är att öva på att upptäcka intrångsförsök och sätta in insatser.”

Att bara förbättra sitt skydd vore konstigt i andra sammanhang. Föreställ dig till exempel en skola som bränner massor av pengar på att undersöka hur brandsäkra lokalerna är, men som aldrig gör en enda brandövning.

“Vi övar på utrymning så att vi vet vad vi ska göra när brandlarmet kommer. Samma måste man göra med it.”

När brandlarmet går på skolan vet alla vem som ska ta emot brandkåren, vem som ska räkna in barnen och vem som ska kolla att ingen är kvarglömd inne på toaletten. Rutinerna är nedskrivna och genomövade och allt kan gå ganska lugnt till. Ni har säkert brandövningar på er arbetsplats – börja med it-säkerhetsövningar också. Simulera ett angrepp eller intrång och öva i (relativ) lugn och ro på hur ni ska hantera det. Ta hjälp av en konsult om ni inte har kompetensen själva inom företaget.

Begränsa skaderisken redan på förhand

Backup. Denna enkla lösning kan rädda livet på ditt företag. Infekterade av ransomware? Betala för guds skull inte (du har ändå inga garantier för att du får tillbaka dina kidnappade filer) – återställ bara den senaste friska backupen.

“Vi kan inte skydda oss mot att det här händer, men vi kan se till att konsekvenserna blir mycket mindre”, konstaterar Olle.

Olika typer av isoleringsmekanismer är också effektiva skadebegränsare. Som vi skrev om i början av artikeln så kan ni se till att “farligt” arbete (som HR:s flitiga cv-öppnande) bara görs på datorer som är förhållandevis isolerade från resten av företaget. Och glöm för all del inte att ha unika lösenord till alla konton.

Skriv upp dina lösenord

Uppmaningen “skriv aldrig upp dina lösenord” är välkänd, men också gammalmodig. Den uppmaningen bottnar i en rädsla för det fysiska hotet. Inbrottstjuven som hittar lappen under tangentbordet. Den nyaste kollegan, som senare visar sig vara mullvad, som smygkikar på lappen som bordsgrannen har fäst på sin skärm.

Men det är inte det fysiska hotet som är det mest sannolika. Det är i stället de digitala riskerna, särskilt “hagelbrakarna”, som det är troligast att bli utsatt för. Det i sin tur betyder att det är viktigare att du har riktigt bra lösenord (som du behöver skriva upp) än att du kan komma ihåg dem i huvudet. Fast det är klart, att sätta upp en post-it på skärmen är aldrig en bra idé. En privat fickanteckningsbok eller en app är en betydligt bättre idé.

“Jag använder den lilla boken, jag är så pass oldschool. Fördelen med en app är att du slipper skriva in lösenorden själv och att appen kan hjälpa dig att skapa säkra lösenord.”

Det finns en hel uppsjö av lösenordsappar och debattens vågor går höga – vilken är egentligen bäst? Olle vill inte rekommendera en särskild app, men påpekar att till och med en dålig app är bättre än att ha samma lösenord överallt. Här kan du läsa några jämförelser:

The Best Password Managers of 2017
You Need a Password Manager. Here Are Some Good Free Ones
Keep your login information under lock and key with the best password managers

Radera gamla hårddiskar på riktigt

Brukar ni skicka gamla datorer på återvinning eller kanske till och med på återbruk? Föredömligt! Men kom ihåg att själv ibland är bäste dräng.

“Det finns speciella företag som jobbar med att sälja vidare företagsdatorer. Innan man lämnar ifrån sig datorn ska man se till att företagsinformationen är raderad, man ska inte lita på att de som säljer vidare gör det.”

F-secure och flera andra it-säkerhetsföretag köper ibland in begagnade företagsdatorer eller hårddiskar för att visa att det finns ett problem här. Ofta kan de få fram information som går att koppla till ett företag. Till och med på datorer som ska återvinnas och inte startar går det att hitta information.

“Går man in och gräver kan man fortfarande hitta dokument. Det tar ganska lång tid att radera hela hårddisken, så ibland tar någon en genväg och raderar bara så mycket information så att datorn inte startar. Det är viktigt att man raderar hela hårddisken, man får köpa att det tar några timmar. Det går ju att låta den stå över natten.”

Telefoner är mer lätthanterliga.

“På mobiler raderas allt helt när man trycker på ‘radera allt’. Så pass bra är de i dag. Bilder kanske inte raderas helt säkert, men lösenord, e-post och annat viktigt. Det räcker, för det krävs väldigt speciella verktyg för att få fram raderad information, det är svårt och det enda man kan få ut är semesterbilder.”

Uppdatera behörigheter och håll obehöriga ute

“Mina gamla behörigheter ska försvinna om jag byter arbetsuppgifter. Det slarvas det med en del. Folk gillar att ha kvar sina gamla behörigheter, vi gillar inte förluster – det känns värre att bli av med en hundring än det känns bra att hitta en på stan. Men man vill inte att behörigheterna ackumulerar, för om det händer ett virusangrepp och jag har samlat på mig rättigheter till tre olika avdelningars ledningssystem är det tre som drabbas i stället för en.”

När någon slutar på företaget ska hen så klart inte ha kvar sina behörigheter eller sin tillgång till it-systemen längre.

“Man vill inte ha massa konton som en angripare skulle kunna använda sig av. Det ser vi också ganska ofta hos företag, att de som har slutat har kvar sina gamla behörigheter.”

De flesta av oss som jobbar på kontor har nog gjort det. Släppt in någon som vi inte riktigt känner igen, men som beter sig som att hen har rätt att komma in. Trots att vi vet att vi kanske borde tar det emot att säga de tre små orden: “Vem är du?” Kanske är det särskilt svårt på större arbetsplatser där du inte känner igen ens hälften av dina medarbetare – det vore ju pinsamt att få veta att den där okända personen du misstänkte var datortjuven Pelle egentligen är administratören Kim från fjärde våningen.

Risken att tappa ansiktet ska inte behöva hindra oss från att sköta säkerheten. Här kan tydliga säkerhetsrutiner hjälpa till.

“Be folk att inte öppna dörren för någon som de inte känner igen eller som inte har synlig passerbricka. Kommunicera ut att vi inte gör det här för att vara taskiga utan för vår egen säkerhets skull, även om det kan kännas lite taskigt att inte släppa in någon.”

“Sen kommer det alltid vara folk man inte känner igen men som har ett giltigt ärende som behöver komma in, till exempel lokalvårdare, någon som ska byta glödlampan eller fixa något annat. Då kan man åtminstone hålla koll på att de bara gör det de har sagt att de ska. Du ska inte bara kunna trilla in från gatan och gå runt som du vill när folk är på fikarast.”

Lär dig känna igen säkerhetsmekanismerna

Google Translate har blivit riktigt bra och autocorrect “hjälper” oss att formulera ibland väldigt märkliga meddelanden. Det är två saker som spelar bedragarna i händerna.

“Det är jättesvårt att till exempel se på texten i ett e-postmeddelande att det inte är som det ska, de blir bättre över tid. Det du kan göra i stället är att hitta tecken på att någon försöker få dig att kringgå ett säkerhetsskydd.”

Det kan handla om en “vill du verkligen”-ruta eller den gula remsan längst upp i Office-produkterna som varnar dig för att aktivera macron. Om någon vill få dig att gå runt sådana säkerhetsmekanismer behöver du vara extra vaksam.

“Men vi på tekniksidan måste också bli bättre på att inte överösa användaren med val. När det kommer upp någonting ska det vara jätteviktigt”, säger Olle.

Än så länge är inte alla program och tjänster nått det återhållsamma idealet, så vi som användare får göra extrakontroller i stället.

“När det kommer en säkerhetsfråga, ta för vana att inte godkänna och se vad som händer då. Och när det kommer ett e-postmeddelande med en konstig bilaga är det kanske inte så viktigt att jag klickar just den här sekunden. Skicka ett mejl tillbaka ‘det här var lite konstigt, kan du skicka på något annat sätt?’ Eller ring och dubbelkolla.”

Det här har Olle lärt oss

  • Vi gör som i Melodifestivalen och kör en snabbrepetition nu när vi börjar närma oss slutet.
  • Ha “brandövningar” och öva på vad ni ska göra i olika scenarion.
  • Begränsa de potentiella skadorna: ta back-up regelbundet, isolera känsliga arbetsuppgifter från resten av företaget och ha unika lösenord till alla konton.
  • Skriv upp dina lösenord på ett säkert ställe – försöker du komma ihåg alla är risken att det slutar med eller “Sommar2016”.
  • Radera enheter själva innan ni skickar dem på återvinning eller återbruk.
  • Uppdatera behörigheter när någon byter jobb.
  • Skriv tydliga rutiner för hur ni kontrollerar att den som knackar på faktiskt får komma in.
  • Lär er att känna igen säkerhetsmekanismer.

Tack till Olle, och tack till dig som har läst hela den här långa artikeln. Dela den gärna med en kollega som behöver uppdatera sig på it-säkerhet. Vi finns på Facebook, Twitter (@amsystemab) och Linkedin.

Ärende

Läs mer

Digitalisera era affärsprocesser så som avvikelser, reklamationer och tillbud med smarta formulär.

Funktioner i urval

  • Bygg unika formulär med dra- och släppteknik
  • Bygg från grunden eller installera färdiga mallar
  • Skapa händelser och påminnelser
  • Sök och presentera er data i grafer
Ärende

Dokument

Läs mer

Skapa, dela, granska och godkänn dokument. Så som rutiner, instruktioner och policys.

Funktioner i urval

  • Skapa dokument från färdiga mallar
  • Ordning och reda med revisionshantering
  • Automatisk distribution och påminnelser
  • Hämta färdiga policys
Dokument

Underhåll

Läs mer

Skaffa överblick över underhåll av maskiner, fordon och mycket mer.

Funktioner i urval

  • Skapa arbetsordrar och felanmälningar
  • Ladda upp ritningar, instruktioner och manualer
  • Bygg en hierarkisk objektsstruktur
Underhåll