Tolv tips om IT-säkerhet
Robin Blokker, informationssäkerhetsspecialist på FRA (Försvarets radioanstalt) gav en rad råd under sin föreläsning.
Här är tolv tips för att höja IT-säkerheten.
- 1 Undvik komplexitet
– Komplexitet är ofta den stora boven vid angrepp. Ökar komplexiteten ökar också sårbarheten. Sträva efter minsta möjliga angreppsyta, systemet ska inte ha mer funktioner än det behöver.
- 2 Prioritera säkerhet från start
– Lägga på säkerhet i efterhand har aldrig varit ett framgångsrecept. Säkerhet innehåller en massa saker som måste göras om och om igen. Säkerhet är inget tillstånd utan en kontinuerlig process.
– Om man gör avsteg från principer som att angreppsytan ska vara minimerad, då är det viktigt att man förstår konsekvenserna av det. På Transportstyrelsen förstod deras IT-grupp det mycket väl, generaldirektören gjorde det inte i samma utsträckning.
- 3 Hitta rätt rådgivare
– Det är lätt att bli förvirrad om vilka vägval man ska göra. Om man inte riktigt förstår det bör man åtminstone veta vems råd man ska följa. Hitta personliga fyrar som visar vart du är på väg. Du kan inte läsa alla goda råd, då hinner du inte annat.
- 4 Skydda guldäggen
– Vet du inte var du har dina guldägg kanske du skyddar för mycket. Det finns också en gräns för hur många ägg man kan ha i samma korg. Övervakning och logg ska inte vara sammankopplat, då kan angripare ta över din miljö.
- 5 Konsulter
– Jättebra att ha när de har kompetens som en kommun eller motsvarande inte kan hålla. De kan behövas, men är inte lösningen. Konsulter är inte primärt i branschen för att hjälpa dig, utan för att tjäna pengar. Och kontrollera att de kan sitt jobb. Jag har stött på konsulter som lär genom det arbete de gör för kundens pengar. Specificera vilken konsult som ska göra jobbet. En del skickar paradkonsulten på säljmöte, när jobbet ska göras skickar de andra av annan kvalité.
- 6 Övervakning och detektering
– Grunden är att du kan skilja på det som är vanligt från det som inte är det. Man måste ha en normalbild. Och åter: komplexitet är den stora boven. Hitta något i en djungel är nästintill omöjligt. Vi vill ha en homogen miljö, då blir avvikelser tydliga. Den bör se ut som en öken, där ser man spår i sanden Är det en djungel, satsa då på att hugga ner en del skog.
- 7 Logga, logga, logga
– En förutsättning för övervakning och incidenthantering. Det som inte loggas kan inte analyseras. Loggningen ska vara detaljerad för att kunna följa varje process som startas och stängs.
- 8 Personal före program
– Det är inte loggövervakningsprogram som gör skillnaden, utan personerna. Att börja med en miljonlösning är generellt fel, satsa på personalen och deras kompetens. Fler prylar är sannolikt inte lösningen på säkerhetsproblemen, det är lösningen för de som säljer prylar. Och fler prylar gör miljön mer komplex, det är bättre att lära sig operativsystem i detalj.
- 9 Ska krävas dubbelfel
– En utmärkt tumregel som en kollega lärt mig. Alla kan göra misstag. När man designar system ska det tåla att någon gör misstag. System ska utformas så att det krävs två fel i rad för att orsaka katastrof.
- 10 Lösenord
– Avveckla lösenord som byts med intervall, de är dåliga. Förslaget är tvåfaktorsautensiering (inloggning via två olika källor). Därefter ett lösenord med 20 tecken.
- 11 Patchhantering
(rättelse/ändring av programkod)
– Automatisera patchhantering, manuell hantering fungerar inte.
- 12 Vitlista (godkänna)
– Använd vitlistning överallt, både för klienter och servrar för att specificera vilka som är tillåtna användare. Det betalar sig.