Arbetar ni med den mjuka sidan av IT-säkerhet – Medvetenhet?

2019-04-02 06:25

blurred-background-cellphone-coffee-842554

IT-säkerhetsfrågor växer hela tiden, samtidigt som många små- och medelstora företag inte är medvetna om att de är ett av målen för säkerhetsattacker. Här tar vi upp en hörnsten i IT-säkerhetsarbetet, att arbeta proaktivt och förbereda medarbetarna på säkerhetsfrågor.

Tar vi mycket för givet?

Vi som arbetar med IT tycker förhoppningsvis att området IT är väldigt roligt, vi har kanske ett brinnande intresse eller i alla fall en fallenhet och förståelse för hur saker hänger ihop och vad som är bra och dåligt.

Vi är i de allra flesta fall en leverantör av tjänster och system till våra kunder, medarbetare, kollegor och vänner som i sin tur pysslar med helt andra saker. Deras intresse kanske ligger i mode, de vet precis vilken skjorta man borde klä sig i till nästa firmafest för att vara trendig. Eller precis vilken gräsblandning du borde anlägga till hösten för den finaste gräsmattan i grannskapet, eller vilken löparsko du borde köpa för att kapa 3 sekunder kilometern på nästa maraton. På arbetet behöver de fokusera på sina arbetsuppgifter och vill oftast inte lägga tid på IT-frågor.

Säkerhetsfrågor inom IT växer med varje ny molntjänst, disksystem, kryptovirus, mobilt bankID som dyker upp där ute. Vi behöver alltid vara på tå och följa utvecklingen kring säkerhet allt eftersom vi hela tiden blir bombarderade med ny funktionalitet. För det gör de som vill attackera oss! Vi som dagligen arbetar med IT vet också hur komplext det är och hur svårt det är att hänga med i denna allt större och föränderliga IT-värld.

Tänk då på de som arbetar med gräsmattor, skjortor och löparskor. Hur ska de kunna veta? När läste de ditt företags IT-policy senast?

Därför behövs utbildning i IT-säkerhet

Vi behöver hjälpas åt. Vi bör informera våra medarbetare på ekonomi eller HR kring IT-säkerhet. Vi måste göra det kontinuerligt och på ett sätt som är enkelt att ta till sig. Där IT-intresset saknas blir det en stor utmaning att få folk att ändra sitt arbetssätt, tänka i nya banor och förstå varför den enklaste vägen inte alltid är den bästa.

Här följer några exempel på saker som alla med en dator uppkopplad till ett nätverk borde känna till och ägna en tanke då och då. Ledningen på våra företag borde ställa dessa krav på oss som IT-partner att väcka dessa tankar hos användarna. Enligt Radar kommer svenska företag att lägga mer av sin IT-budget 2019 på just utbildning kring säkerhet.

Detta bör varje medarbetare veta om IT-säkerhet:

  1. Din dator är en värdehandling

I den dator du använder i ditt dagliga arbete, oavsett vad du använder den till, finns information, mängder av information som är kanske både känslig och dyrbar. Datorn ska inte lämnas utan uppsikt utan att vara låst, den ska inte lånas ut till varken barnen där hemma eller kompisen som behöver uppdatera sin status på Tinder. Den ska heller inte ligga i bilen under natten för att det var för kallt att hämta in den när brallorna åkt av och tänderna redan är borstade inför sängdags. En förlorad dator där personuppgifter kommit på avvägar ska anmälas till Datainspektionen. Se till att kryptera era datorer med Bitlocker som ett sätt att höja säkerheten.

  1. Var uppmärksam på resande fot

Det är många som befinner sig utanför kontoret i arbetet. Vi reser till Shanghai och Stockholm med både flyg, tåg och båt och vi vill gärna göra det effektivt med kontoret på fickan. Vi vill kunna arbeta på flygplatsen, biljettkön eller på fiket med en Caffé macchiato vid sidan om.

Varför kan man inte bara få koppla upp sig till ”Free wifi” och jobba? Måste saker och ting krånglas till med MFA (Multi faktorsautentisering) och krypterade uppkopplingar. Här behöver man, oavsett vad man arbetar med, ha en hygglig förståelse för ”Man in the middle attacker” och avlyssning av trafik som våra datorer genererar och varför MFA är så effektivt för att skydda våra konton. Det är oerhört enkelt att sätta upp ett falskt Wifi där man lyssnar på allt som användaren har för sig och läser ut lösenord och kreditkortsnummer i klartext. Man bör känna till dessa risker och kunna ta ställning till dem.

3. Vägen in i er IT-miljö

En attack börjar oftast med kartläggning. Vilka jobbar på företaget, vem kan vara ett lämpligt offer? Kan man ta den enkla vägen in genom att lura en vanlig användare för åtkomst? Hackers är lata, varför ägna dagar, veckor, månader åt att försöka hacka webapplikationer via brandväggar när man kan försöka få access inifrån. Det enklaste sättet är fortfarande att lura en användare att klicka på den där länken i ett mail, eller öppna det där dokumentet som var preparerat med skadlig kod. Efter att användaren klickat på länken eller öppnat den där bilagan och tror att inget farligt hände kan en attackerare i lugn och ro börja sin resa i systemen, allt utan att användaren har en aning. Så vad pysslar dom med när dom väl kommit in?

Ofta ser det ut så här:

  • Bibehåll tillgång – Säkra upp tillgången till miljön inför nästa intrång.
  • Kartläggning miljö – Hur ser miljön ut, hur kommer man vidare.
  • Öka sina rättigheter – Vilka konton är nyckelkonton för högre rättigheter.
  • Förflytta sig i systemen – Lämna klientdatorn bakom sig och gå vidare till mer intressanta system.
  • Slutföra sitt uppdrag – Stjäla data, kryptera för utpressning eller kanske bara förstöra.

Det är orättvist, Vi inom IT behöver skydda alla tänkbara vägar in. Den som attackerar behöver bara hitta en väg in, och den vägen är ofta den vanliga medarbetaren och hans dator. Så, varför ska man inte klicka på länkar i mail? Varför ska man vara försiktig med bilagor man får? Prata med kollegor, stötta dem och utbilda dem. Det finns inga dumma IT-frågor, bara vi IT-människor som dumt nog tar dessa saker för givet.

Ställ frågor

Ibland har man inte riktigt koll på hur det står till ute i verksamheten, varför inte ta reda på det? En enkel enkät online för personalen? Eller veckans fråga på intranätet för att få lite insikt i hur insatta folk är i IT-säkerhet. Vet användarna vad Phising är, har dom sett ett exempel på ett phisingmail? Kanske visar det sig att folk faktiskt har koll! Eller så är det total katastrof. Det troliga är nog något mitt emellan, somliga har koll andra inte. Det kommer hur som helst hjälpa till att få igång en dialog mellan kollegor i verksamheten och med IT-avdelningen. Sakta men säkert kan man ändra människors sätt att tänka säkerhet, men det bästa för att boosta medvetenheten är utbildning. På en timme hinner man höja säkerhetstänket en hel del. Att sedan underhålla detta med kontinuerlig information gör att man inte glömmer, det blir en ny del i arbetet.

Att dessutom IT-avdelningen får lite sändningstid och verksamheten ser att de har en engagerad IT-avdelning är extra plus. Exempel på en bra fråga till användarna skulle kunna vara: ”Upplever du att du har ett säkert lösenord?” Följ upp detta med information kring hur ett säkert lösenord ser ut, och lite information om ”Passwordspraying”.

Priset för säkerhet

Självklart kan vi skapa säkra miljöer och system för våra användare, men det kommer med kostnader i olika former. Vi kan skapa en server, låsa in den i ett bergrum bakom bepansrade dörrar, och låta den kommunicera vid två tillfällen per dygn när vi fyller på med data. Säkert? Ja absolut, användarvänligt och smidigt? Nej inte så värst. Eller så öppnar vi den vidöppen, hela företaget når servern och kan enkelt komma åt det data de behöver med ett klick. Användarvänligt? Ja, absolut. Säkert? Inte så värst. Eller så går vi all-in och låser in den i bergrummet, skapar krypterade tunnlar till de användare som verkligen behöver åtkomst, implementerar MFA och PAW (Privileged Access Workstation) där varje användare har en dator för enbart access mot denna server. Dyrt, ja. Användarvänligt, Nej, säkert, ja mycket.

itsecurity

Det gäller att hitta sin egen nivå i säkerhetsträsket, kostnaden man betalar i pengar, tid, användarvänlighet och nivå på säkerheten måste alltid vägas in i besluten, prislappen får man med på köpet.

Förändra kulturen kring säkerhetsfrågor

Summa summarum handlar det om utbildning och information kring lösenord, mobila enheter, sociala medier, e-post, backuper osv. Man ska inte göra det avancerat för användarna utan väcka tanken kring säkerhet och försöka skapa en trygghet. Det blir säkerligen ett uppskattat inslag och något man kan ta med sig både på arbetsplatsen och i den privata vardagen.
Det är bra att bygga en kultur kring säkerhetstänk på företaget. Har man personal som förstår och är medvetna tycker man förmodligen att det är rätt ok med regler och säkerhetssystem.

Lyssna gärna på IT-säkerhetspodden här.

 Ladda ner E-bok:  Verktyg för att säkra digitaliseringen

Topics: IT-säkerhet

Johan Swahn

Kontaktperson Johan Swahn

Arbetar på Office IT-Partner i Borås som Affärsutvecklare.