torsdag 13 mars 2014

Dags att ta säkerhet på allvar - Säkerhet24

Dags att ta säkerhet på allvar - Säkerhet24



Hur många organisationer i Sverige vet hur de skulle klara sig,
om de blev angripna? Den frågan ställer säkerhetsexpert Tomas Djurling.




Tomas Djurling är säkerhetsexpert på Djurling Säkerhetsinformation.
Efter förra årets uppvaknande
i Europa och världen, i samband med att de av Edvard Snowden stulna
NSA-dokumenten, publicerades, kan vi inte längre säga att detta inte kan
hända oss. Dokumenten beskrev en större och mer omfattande
underrättelseinhämtning än de flesta kunde ana. Nyhetsförmedlingen var
stor och många förfasades över att det kunde gå till på det sätt som
beskrevs.


I upphandlingar har företag från
länder som figurerat i höstens mediastormar sorterats bort. Detta har
ibland skett med motiveringen att dessa kan man inte lita på, efter allt
som rapporterats.


Det kanske är rätt att tänka så
kortsiktigt. Men om vi tänker några steg till så kanske det inte håller i
förlängningen. Bara för att endast NSA, USA och GCHQ och Storbritannien
omnämndes så slutar kanske inte listan där. För hur ska vi hantera våra
säkerhetsutmaningar och upphandlingar om de allra flesta länder sysslar
med samma sak?


Listan kan göras väldigt lång, men
några exempel på andra aktörer som är aktiva på globala nät, är CSE i
Kanada, DGSE i Frankrike, Fapsi i Ryssland, GSD i Kina och RAW i Indien.


Om vi ska sortera bort alla andra
länder och företagen i de länderna, som agerar som beskrivs ovan, så kan
vi till slut bara göra affärer internt i Sverige, men bara då med
svenska företag. Det är inget som gagnar lönsamhet, expansion och
utveckling.


Det kanske istället är dags att ta säkerheten på allvar. Det borde ha gjorts för mycket länge sedan, men bättre sent än aldrig.

Många organisationer har fortfarande så låg säkerhet att de aldrig skulle upptäcka om de blivit utsatta för intrång och stöld.



Vissa tror inte att de kommer att bli utsatta för att de är små, okända
eller för att de inte har något av intresse för dessa krafter. De flesta
borde efter höstens skriverier ha insett att de måste fokusera mycket
mer på säkerheten än tidigare i sin verksamhet.  För att inte
kostnaderna ska bli för stora så gäller det att göra rätt saker på rätt
sätt , med rätt kompetens och i rätt ordning.


Att fokusera på säkerheten innebär
också att göra medvetna och riktiga upphandlingar. Att kravställa
säkerheten vid upphandling, outsourcing och så vidare. Efter leveransen
gäller det att kontrollera att man faktiskt fått det som man betalat
för.


För att då kunna gå tillbaka till
leverantören och få dem att rätta till det som inte stämmer, utan
kostnad för kunden, så måste man ha bra skrivna avtal med
säkerhetskraven tydligt och rätt formulerade.


För att kunna kravställa vid
upphandling så måste man veta vilka nivåer som verksamheten kräver. Med
dagens hotbild så krävs en hel del, för att förhindra och försvåra för
dagens angripare att nå sina mål.



Hur många organisationer i Sverige vet hur de skulle klara sig, om de
blev angripna? En början är att se var man står idag, i sitt
säkerhetsarbete och vilken säkerhetsnivå man faktisk uppnår. Detta
utifrån ett angreppsperspektiv. Det är inte bara penetrationstester som
krävs, utan en helhet i säkerhetsarbetet, vilket innebär teknik,
processer, rutiner samt människor. Människor utifrån perspektivet som
anställda, insiders och som externa angripare.


Organisationer som upphandlar
säkerhet kan inte längre bara titta på sista raden i offerten och anlita
den leverantören med det lägsta priset. Här måste kunskapen och
erfarenheten hos leverantören samt verksamhetens behov styra i mycket
större utsträckning än någonsin tidigare.


Dagens hotbild för många i samhället
är medvetna antagonister som har stora resurser och djup kunskap.
Dessutom är de väldigt motiverade och har tiden på sin sida. Detta
ställer helt nya krav på de säkerhetslösningar som behövs för att skydda
sig idag.


För att kunna skydda sig mot
inbrottstjuvar så måste man förstå hur de tänker och arbetar, men också
vad de är ute efter och hur kompetenta de är. Det är precis samma sak
med hoten från de antagonister som det skrevs om i höstas. Dessa
övervakningssystem möjligör inte bara massavlyssning utan även
 industrispionage i mycket stor skala.


Man måste förlita sig till  de som
vet hur antagonister på denna nivå tänker, arbetar, samt vad de är ute
efter. Sedan när det är dags för skydd och motåtgärder så är det ännu
viktigare med mycket djup kunskap inom området. Det kan vara allt från
beställarkompetens, rådgivning, till faktiska system och åtgärder.

 

Inga kommentarer:

Skicka en kommentar