Det pågår IT-angrepp hela tiden
– Just nu medan ni sitter här pågår det angrepp mot era system. Ni har missat tio eller 100 angrepp bara under den tiden ni lyssnat på mig.
Stefan Grinneby, Sveriges IT-incidentcentrum, Sitic, var inte ensam om att måla upp en skrämmande hotbild när MSB i slutet av augusti anordnade den första konferensen om informationssäkerhet.
Alla medverkande från säkerhetsexperter till generaldirektörer och politiker vittnade om hur skralt det är ställt med landets informationssäkerhet. Kanske är det tur att denna lätt alarmistiska bild inte slagit igenom i det allmänna medvetandet. I mer gripbara sammanhang skulle den sannolikt utlösa panik.
Samtidigt finns saker att göra. Stefan Grinneby och Robin Blokker från Försvarets radioanstalt berättade om vanliga risker, men också hur informationssäkerheten kan förbättras. Båda har också hjälp att erbjuda. På Sitic finns ett Computer emergency response team, Cert, som få tycks känna till.
– För mig är det lite fantastiskt. Jag har en kader av hyfsat svåranställda tekniska experter som jobbar med internet dagarna i ända, är gratis och ändå ringer ni inte mig hela tiden.
Cert är en funktion med snabb operativ förmåga dit vem som helst kan vända för att rapportera och få hjälp vid IT-incidenter.
– Ring oss, dygnet runt. Har ni problem med en applikation, ta kontakt med oss. Vi kan på ett anonymt sätt förhandla med leverantören så att de fixar problemet. Det har vi gjort några gånger, säger Stefan Grinneby.
Riksdagsledamoten Desirée Liljevall (s) ansåg att Sverige skulle kunna utsättas för en massiv IT-attack liknande den som drabbade Estland 2007 och Stefan Grinneby håller med.
– Ingen går säker för resursstarka överbelastningsattacker, de är svåra att skydda sig mot. Men vi skulle klara oss mycket bättre. Vi har robusta nät, duktiga människor och bra kultur vid kriser. Vi samverkar och skulle återhämta oss snabbt.
Robin Blokker tog upp informationssäkerhetschefens svåra roll.
– Det är ett nytt område och informationssäkerhetschefens uppgift är att se till att organisationen hanterar risk på ett rimligt sätt. Det är ett jättesvårt jobb, man ska ta resurser från och styra hela organisationen utan att ha ett supermandat.
Att ha en säkerhetspolicy är viktigt, men den ska följas upp och överträdelser ska helst få konsekvenser.
– Vill du att din policy ska ha effekt, se till att du har någon form av övervakning. Har du uppföljning och övervakning visar du att du bryr dig. Det kan hända att säkerhetschefen kommer och hälsar på om man busar med sin dator.
Att ha en korrekt lägesbild är mycket viktigt och utan fungerande incidentrapportering är man blind. Skydda inte allt, klassa informationen och skydda det riktigt skyddsvärda hårt. Höj säkerhetsmedvetandet genom utbildning.
– Min rekommendation att man inför återkommande säkerhetsutbildningar för anställda där man påminner dem om vad säkerhetspolicyn innebär för deras roll i organisationen.
Liksom Sitic står FRA till förfogande om en organisation har problem och testar sårbarheten i IT-system.
FRA har tagit fram en utbildning för systemansvariga med fokus på enkla, konkreta lösningar som ger stor utdelning.
– Vi lär ut hur man utnyttjar säkerhetsfunktioner som finns men inte används. Hälften av användarna utnyttjar bara tio procent av de inbyggda säkerhetsfunktionerna.
Det är en två-dagars-kurs och nästa anordnas i månadsskiftet november-december.
De +sju operativa dödssynderna
Högmod - händer inte oss
Det gör det visst det, angrepp mot era system pågår hela tiden.
Girighet
”Vi väntar med att patcha till nästa vecka när vi ändå ska uppgradera det andra systemet”. En svår synd, ni ger angriparen en vecka på sig.
Avund
”Jag vill också ha admin-privilegier” – se till att användarna har så små privilegier som möjligt.
Vällust
”Jag vill surfa Facebook, Blocket och pr0n” – Vi ska inte begränsa anställdas surfning, men man ska vara medveten om att sidor som Facebook blir intressanta för buset eftersom de har så många besökare.
Frosseri
”Vi loggar allt så när något händer kan vi spåra problemet i vår jättelogg”. Inte en chans. Det finns de som doktorerat på komplexiteten i att visualisera loggar, det går inte.
Bestäm i förväg vilka händelser era loggar ska hjälpa er detektera.
Vrede/hämnd
”Vi ska gå till botten”. Ni är jättearga, känner er förnedrade, kränkta och vill ha hämnd. Glöm det, det går inte att leta upp den som hackat systemet. Det är fruktansvärt kostsamt och tar tid.
Vi har ändå inget som är så hemligt
Kan tänkas att det är så, men tänk efter.
Förnekandet
Det är inte trovärdigt och säga att man inte har IT-incidenter. Till och med banker erkänner idag att de är tvungna att hantera säkerhetsproblem. Behöver ni stöd var inte rädda för att säga det, ring oss på Sitic.
(Stefan Grinneby, Sitic)