BitsUpdate | Juni 2022

IT-säkerhetsprat med Jörgen Ottosson

Hej Jörgen! Vad roligt att få en pratstund med dig. Kan du berätta lite kort vem du är, och om din roll här på Bits Data?

Hej! Mitt namn är Jörgen Ottosson, jag har arbetat på Bits i över 10 år med både systemansvar inom teknikprodukterna och de senaste åren även med GDPR och informationssäkerhet.

Idag är det ett ökande fokus på IT-säkerhet i hela näringslivet och inte minst ransomware har visat sig utgöra ett allvarligt hot mot företags fortlevnad om det inte bedrivs ett gediget säkerhetsarbete. Vi arbetar dagligen med att övervaka säkerheten i våra system och följa upp sårbarheter och incidenter med åtgärder. Vid behov har vi kontakter med Volkswagen, Scania eller andra centrala aktörer. Jag som säkerhetsansvarig (CISO) är föredragande i de olika interna säkerhetsforum där både operativa och dagliga frågor likväl som mera taktiska och strategiska hanteras och jag är alltid inblandad i att överse incidenthantering där det kan finnas risk för en GDPR-koppling.

Berätta hur IT och säkerhet hänger ihop?

Utan säkerhet i och kring systemen har man ingen tillförlitlig IT. Dessutom i och med GDPR som började gälla 2018 så är det tvingande enligt lag att bedöma systems säkerhet och att designa utifrån prioritering av integritet och säkerhet – att inte kunna visa att man gör detta är brott mot gällande lag.

Säkerhet är således en förutsättning för att kunna ha IT i dag och därmed för att kunna bedriva en verksamhet nästan oavsett vilken verksamhet det handlar om. 

Hur ser Bits Datas säkerhetsteam ut?

I säkerhetsgrupperna ingår även flera avdelningschefer och systemarkitekter för att det skall finns en bred kompetens vid beredning av olika säkerhetsrelaterade frågor samt för att grupperingen skall ha god beslutsfähighet och förankring in i ledningsgruppen.

Vilka produkter och tjänster erbjuder Bits Data kopplat till IT-säkerhet?

Bits har i dag två tjänster inom säkerhetsområdet, dels en utbildningstjänst som ger högre säkerhetsmedvetande hos medarbetarna genom kontinuerliga utbildningar och den andra en mycket sofistikerad teknisk sårbarhetsskanning som man kan använda för att hitta potentiellt sårbara och därmed farliga system i näten. (Läs mer längst ned på sidan, red. anm.).

För att uppnå en god standard på säkerhetssidan, vad är minimum som du tycker man ska se till att ha?

Uppdaterade system och någon form av antivirus. Flerfaktorinloggningar och se till att medarbetare får kontinuerlig information och utbildning i IT-säkerhetsfrågor, är några saker som ger en god grund. Att se över hur de lösenord som används i verksamheten hanteras är också mycket viktigt och någon form av lösenordshanterare bör användas.

Hur säkerställer Bits Data sin egen säkerhetsnivå?

Några viktiga inslag i Bits säkerhetsarbete är dels att nyanställda får en introduktion i informationssäkerhetspolicyn samt att den tekniska utrustningen som används av medarbetare hålls kontinuerligt uppdaterad.

Bits har daglig tillsyn av operativa säkerhetsfrågor, kontroll av säkerhetsinformation från myndigheter och viktiga leverantörer. Vi använder själva den säkerhetsutbildning ni kan köpa från oss.

Bits har riktlinjer, system och kompetens att utföra även avancerad form av forensisk utredning vid misstänkta incidenter och har vana av att bedöma GDPR-incidenter. Våra leverantörer har definierade kontaktvägar för eskalering av säkerhetskritiska incidenter och återkopplar också till Bits regelbundet med statusinformation och förslag på proaktiva förändringar.

Jörgens främsta IT-säkerhetstips

  • Se till det inte finns några datorer i nätverket som har gamla och icke supporterade operativsystem.
  • Glöm inte att uppdatera sådana applikationer i era datorer som inte uppdateras via Windows Update, som webbläsare från andra tillverkare eller andra klienter.
  • Fundera över om ni behöver dela upp nätverksmiljön i olika nätverk med åtkomstregler emellan, för att göra det svårare för eventuell malware att röra sig och att se alla resurser. Exempelvis skall ALDRIG externa enheter i ett gästnät blandas med interna kontorsdatorer.
  • Att applicera 802.1x (portautentisering) i nätet gör det svårt för ej tillåtna enheter att kunna kommunicera.
  • Kontrollera att alla utifrån nåbara system är uppdaterade, detta är ofantligt viktigt. Brandväggar och system som tar emot VPN-anslutningar måste vara uppdaterade, de är mycket prioriterade angreppspunkter för en angripare.
  • Använd alltid flerfaktor-inloggning till VPN – en av de viktigaste punkterna. Använd det helst på så många system som möjligt, särskilt de som är nåbara via Internet som Office 365.
  • Säkra upp trådlösa nätverk, det finns osäkra inställningar som gör intrång mycket enklare, dessa måste undvikas. Även här: använd inte gamla enheter som inte kan uppdateras!
  • Se till att det finns kompetens om GDPR i incidenthanteringsprocessen – det är ett allvarligt brott enligt GDPR att inte hantera och anmäla en uppenbar incident som berör både itsäkerhet och personuppgifter, som så ofta i praktiken är fallet. GDPR-aspekten skall alltid beaktad vid alla incidenter. KAN det som har skett ha berört personuppgifter eller inte osv.
  • Hantera mobila enheter, se till att de inte använder osupporterade operativsystem. För Android bör antivirus övervägas och fundera över om ett MDM/Mobile Device Management system användas. Mobila enheter kan förläggas i ett eget nät så de inte utgör en extra risk för kontorsdatorerna.
  • BACKUP! Detta är ett av de allra viktigaste att tänka på om man blir utsatt gör ransomware. Om man har otur och råkar ut för en zero-day så kanske företagets fortlevnad hänger på om det finns bra backuper eller inte.
  • Se till att alltid kryptera enheter som laptops, om en laptop förkommer eller blir stulen är den att betrakta som anmälningspliktig GDPR-incident.
  • Hantera riskerna med att fler medarbetare än förr numera arbetar på distans. Detta ställer krav på de nätverk varifrån arbetet utförs, vilka i många fall då är hemma. Brandväggars uppdateringar, att det inte finns osäkra enheter i näten och att säkra trådlösa nät för att nämna några saker. Det bör finnas en policy för hur arbetet skall utföras och checklistor att kontrollera sin miljö emot för att minska risken att stora risker förbises.

 

Bits Datas IT-säkerhetstjänster:

SÄKMED – utbildning i ”security awareness” med simuleringar och återkoppling till användarna

Automatiserade utbildningar via e-post med simulerade tester och direkt återkopplingar till individen när en medarbetare agerar fel, för direkt situationsanpassad feedback. Vid perioder av ökad eller ny metodik hos angriparna så kommer det situationsanpassade kurser inriktade på de nya företeelserna, allt för att så proaktivt som möjligt kunna mitigera nya mönster i attackerna.

Detta område är oerhört viktigt – personalens säkerhetsmedvetande är det kraftfullaste skyddet vi har.

VESSLA – vår tjänst för skanning efter sårbarheter i näten

Denna tjänst utgör en komplett och för företaget specialanpassad assistens med att sårbarhetsskanna nät efter system som har kända säkerhetshål. Detta kan röra sig om datorer, kameror, sensorer, ja allt som kan kommunicera – och alla dessa ”IoT”-prylar. Alla system som kan kommunicera på ett nätverk måste vara säkra och kan annars utgöra källor till så väl belastningsattacker som annan skadlig aktivitet i nätverken.