Dagens produktionsanläggningar är ständigt uppkopplade, maskiner kan fjärrstyras via internet och data kan utbytas inom några sekunder. I takt med den digitala utvecklingen ser vi allt fler exempel på återkommande, frekventa och mer eller mindre sofistikerade cyberattacker. Det är det nya normala och något vi måste vara förberedda på.
Dagens it-miljöer består av ett hopplock av system, applikationer och program som vart och ett underhålls av en eller flera leverantörer. Ofta använder en hel bransch samma leverantör och samma typ av system, applikation eller programvara. Uppdateringar måste ske regelbundet och snabbt. Frekventa brister i kontrollerna av vad man stoppar in i produktion, det finns inte längre någon testmiljö, och det mesta går med automatik. Ett tydligt exempel på det var uppdateringen av en programvara från Kaseya som drabbade tusentals företag globalt, däribland Coop i Sverige.
Många verksamheter lägger ut sin drift på så kallade molntjänstleverantörer. Med det hanteras vissa risker, till exempel bristen på kompetens internt, men det tillför andra. Det får man inte blunda för. Molntjänstleverantörerna har ofta gott om resurser och driver ett bra säkerhetsarbete, men de är inte immuna. Tvärtom, de har kommit att bli en allt populärare måltavla för angrepp. Lyckas du som angripare att ta ner en molntjänst har du fått ner väldigt många anslutna verksamheter samtidigt.
Att inte ta it-säkerhet på stort allvar redan på idé- och designstadiet kommer att leda till stora kostnader när de väl ska hanteras. Det är som att ignorera tandvärk och hoppas på att det ska gå över, medan det till sist blir smärtsam behandling och kanske till och med rotfyllning.
Det finns tre viktiga designprinciper som man ska ha med sig:
1: Minimera attackytan
Attackytan representerar alla ingångs- och kommunikationspunkter som ett informationssystem har på utsidan. Attackytan kan relateras till en programvara (operativsystem, bibliotek, läs-/skrivåtkomst), ett nätverk (öppna portar, aktiv IP, nätverksflöden, använda protokoll), en människa (nätfiske, social manipulation) eller ett fysiskt intrång (som inuti byggnaden).
2: Begränsa behörigheter
Franska cybersäkerhetsbyrån (ANSSI) preciserar denna princip som att en administratör endast ska ha åtkomst till administrationszoner där denne har ett operativt behov, utan några tekniska möjligheter att komma åt någon annan zon.
3: Försvar på djupet
Uttrycket Försvar på djupet kommer från det militära, och syftet är att sinka fienden. Hot motverkas med samordnade och oberoende försvarslinjer. På samma sätt som en grind måste säkerhet övervakas, skyddas och ha en kontinuitetsplan i händelse av en incident.
Att sätta dessa tre principer i praktiken redan på idéstadiet för en applikation, ett system, ett anslutet objekt eller en programvara garanterar naturligtvis inte full motståndskraft mot attacker eller intrång, men det skapar en miljö där man gjort vad man kan baserat på de risker som finns.
För att läsa mer om IT-säkerhet så finns en längre artikel av Anne-Marie att läsa här. I artikeln får ni även ta del av hennes tips och råd i arbetet med dessa frågor.