Den nya vardagen av Micke ”Lex” Lexelius och Lars ”Morre” Mårelius
Ni har alla sett bilden i tidningar och TV under rubriken Hacker: en mörk siluett med luvtröja som sitter framför en dator. Bilden är kraftigt missvisande och borde i stället vara en bild från ett datacenter med rader av kraftfulla datorer. Det är ingen människa som letar efter just din organisation; maskiner söker runt på nätet för att ta sig in via era brister och sårbarheter. Ibland lyckas dom. Var och varannan dag kan vi läsa om välfungerande bolag som fått in ransomware (utpressningsprogram) och behövs stoppa hela eller delar av sin verksamhet, trots att de har en IT-säkerhetsavdelning och mängder av avancerade skydd. På IT-säkerhetsslang säger man ”att dom blev ägda”. Vad gjorde dom för fel? Vad har ni för chans att klara er?
Den dåliga nyheten är att om en stark aktör, t.ex. en stat, bestämmer sig för att ta er, så klarar dom det. Då gäller det att ha ransomware-säkra backuper och vältränade processer. Den goda nyheten är att ni kan skydda er så att ni blir svåra att ”äga” – det är inte komplicerat, bara jobbigt att bli ”ett hårt mål”. Denna artikel kommer hjälpa er på vägen.
Överblick över IT-säkerhet
Som ledare för att förbättra IT-säkerhet behöver du inte alla detaljer, men du behöver överblick så du kan styra arbetet. Denna överblick kan ges med följande bild.
Execution (Genomförande)
Det operativa arbetet består i att Skydda era system och information, Reagera i tid när något händer, Hantera det som sker och Planera för att bli bättre på att Skydda, Reagera och Hantera.
Objectives (Mål)
Målet vi ska uppnå med informations- och it-säkerhet är:
- Confidentiality (Konfidentialitet): Skyddsvärd data ska hållas oåtkomligt för icke-betrodda. Ingen ska kunna sno dina lösenord eller ta sig in på ditt LinkedIn-konto.
- Integrity (Riktighet): Informationen ska vara korrekt. Ingen ska kunna manipulera er information.
- Availablity (Tillgänglighet): Informationen ska vara nåbart, när ni behöver den. I dagligt tal pratar vi ofta om säkerhet och stabilitet, men faktum är att hålla systemen vid liv och få tillbaka dem efter en crash eller ransomware är en del av it-säkerhetsarbetet.
- Overview (Översikt): Utan överblick kan du inte veta att du är säker. Om du har ett kontor med hundratals dörrar behöver du en panel för att se att alla är låsta. Bland de organisationer vi träffar är oftast Överblick det största problemet, inte minst i molnet. Bolag idag har många system och att snabbt få upp nya gör att man snabbt kan tappa överblicken.
Tools (Verktyg)
Human 1 (Människan): Det första, och viktigast verktyget är människor – era anställda och konsulter. En vis man sade en gång: ”Människor, lösningen på, och orsaken till, alla it-säkerhetsproblem”. Ni måste få medarbetarna med er och se till att de får tid att får bort ”smutsen”.
Human 2 (Verktyg för människan): Människans arbetsminne klarar bara att hålla 7 +/- 2 saker i huvudet – 5 om vi är stressade och 9 om vi är helt fokuserade. En bra minneshjälp är ramverk som OWASP, ISO 27001, CIST och liknande. Dessa är inte en lösning på problemen utan bara verktyg för att strukturera arbetet.
Technical (Tekniska): Lösenordshanterare, brandväggar, virusskydd och liknande ökar skyddet.
Physical (Fysiska hjälpmedel): Om någon har fysisk access (och tid) till din laptop eller era servrar så kan man ta sig in. Passerkontroller, larm, kassaskåp, digitala nycklar skyddade i speciell hårdvara är alla exempel på fysiskt skydd.
Legal (Juridik): Ett bra avtal kan göra att du kan minska andra skydd. Inom vården så kan personal läsa en journal för en patient de vårdar. Men om någon läser en journal för en patient de inte vårdar så riskerar de böter eller att bli av med arbetet.
Enablers (Möjliggörare)
Det börjar med ledarskap.
Hur ska ni som organisationen strukturera er för att klara utmaningarna?
Hoten mot svenska organisationer är större än någonsin. De som vill bryta sig in är välorganiserade och rika. Idag är malware-marknaden (speciella skadeprogram) specialiserad. Några är bäst på att ta sin igenom det yttre skyddet, och sedan säljer de ingången till de som är bättre på att ta sig vidare, något som på engelska kallas Lateral Movement. Brister finns alltid i alla organisationer. Det är lätt att råka ställa in något fel i brandväggen eller glömt att man tillfälligt stängde av virusskyddet. Nya sårbarheter upptäcks varje vecka. Det är ett evighetsjobb att hålla saker uppdaterade så att inte sårbarheterna läggs på hög. Hur ska man hinna med? Konsekvenser av bristande IT-säkerhet läser vi om i pressen och på Twitter. Ena dagen står kassorna på Coop stilla, den andra så står Maersks containrar stilla då logistiken har fallerat. A-kassorna kan inte betala ut pengar till några av de mest behövande i samhället, och deras problem drar med sig andra bolag i fallet för datacentret de använde inte hade separerat kunderna tillräckligt. Hur ska vi bygga en organisation som klarar av att hantera riskerna från Hot, Brister, Sårbarheter → Konsekvenser?
Igen, det börjar med ledarskap. Någon måste bestämma vilken av riskerna man vill ta, då det inte finns någon väg framåt som är riskfri.
De tre viktigaste sidorna av problemet är följande:
- Affären: De som tjänar pengar när systemet är i gång.
- Juridik: De som ska skydda organisationen mot legala risker.
- IT-säkerhet: De som ska skydda organisationen mot IT-risker.
Se dessa delar som sittande i var sitt hörn av en triangel och de drar åt olika håll. It-säkerhet vill ha allt supersäkerhet så det knappt går att jobba. Juridik tycker att vi helt ska undvika att använda persondata, fast då kan vi inte sälja eller skicka varor. Affären vill tjäna pengar och röra sig fortare framåt än konkurrenterna. Någon måste bestämma var i triangeln ”man sätter krysset” – vilken balans man vill ha av de tre olika viljorna. Svaret är enkelt: Affären sätter krysset. Det är de som tjänar pengar på att systemen är i gång och ledsna om de går ner. Jobbet för juridik och it-säkerhet är att förklara på vardagligt språk vad olika val innehåller för Hot, Brister, Sårbarheter → Konsekvenser. Bäst är om man kan få ner valen till två: Ska vi uppdatera systemet omedelbart och få bort sårbarheten, men riskera en minskad försäljning, eller ska vi ta risken att ha kvar sårbarheten några dagar till och uppdatera på natten mellan lördag och söndag? Ni som är hemma med RACI-matrisen: Affären är Responsible, medan jurdik och it-säkerhet är Consulted. Affären tar risken och andra delar av verksamheten lyfter fram Hot, Brister, Sårbarheter → Konsekvenser så Affären kan välja risk.
Vad brukar det finnas för motstånd i en organisation att börja hantera risker på ovan sätt? Oftast är det kulturen – det finns ett motstånd mot att lyfta information och IT-säkerhetsproblem. Det är inte så konstigt: Du sitter och jobbar som vanligt och försöker hinna med allt och klara budget. Plötsligt får du veta att golvet affären står på är ruttet och kan rasa när som helst. För många är den omedelbara psykologiska reaktionen att slå bort det – problemet är komplext, och konsekvenserna är obehagliga. Tyvärr är det alltför vanligt att problemen mörkas och budbäraren tystas ner. Det finns en logik i det. Nya problem stör planeringen. Du kanske inte har budget för det. Att berätta för din chef att något i din avdelning är trasigt kan mötas med bistra kommentarer, eller t.o.m. repressalier. Å andra sidan finns det alltid en katastroffond Om en ”olycka” händer så kan man kasta in hur mycket personal och konsulter som helst. Löser du och dom incidenten snabbt så kan ni få applåder. Då ingen förutsåg det så var det ingens fel. Så titta inte efter. Vänd inga stenar. Lyft inte upp problem.
Hoten mot svenska organisationer är större än någonsin. De som vill bryta sig in är välorganiserade och rika
Hur vänder man då en negativ kultur till en som ser positivt på att lyfta fram saker som behöver fixas? Man måste börja högst upp. Vi konsulter har en viktig uppgift att fylla i att förklara till ledingen att hot är det nya normala, samt att brister och sårbarheter finns överallt. Information och it-säkerhet är komplext, men att beta av synliggjorda problem är mest jobbigt. Om ledarskapet visar uppskattning på hittade problem och ger beröm ifall det presenteras förslag på hur man löser det, så förändras kulturen snabbt. Det kommer att finnas motstånd på grund av obehaget för konsekvenserna varför medarbetare måste ges utrymme att lufta och diskutera. I förändringsarbetet så kan det vara bra att ta in en konsult på heltid. Hen kommer in med andra ögon, och kan som någon som står utanför rådande kultur bli den som lyfter de tunga frågorna. I andra fall finns det saker som talar emot att sikta på att få in en info/it-säkerhetskonsult på heltid.
- Det är stor brist på kunniga personer.
- Det nya normala är att behöva skydda sig – nu och i framtiden.
- Info/IT-säkerhet ska vara en naturlig del i de anställdes arbete.
- Det operativa, vad man behöver göra, går att googla sig till eller med AI som bollplank.
- 2-head policy. På alla viktiga delar bör organisationen ha minst två personer som kan det.
Kort sagt, er organisation måste bli självgående. Så om vi bortser från förändringsarbetet, är ofta bästa lösningen att ha en konsult på timmar som kommer in då-och-då och hjälper till med det taktiska och strategiska. I vilken ordning är det lämpligt att göra saker? Vad behövs för kompetenser? Var står vi nu och vad är gapet till dit vi vill komma? Hur vet du om konsulten är bra? Ovan gick vi igenom hur viktigt det är att i vardagligt språk förklara Hot, Brister, Sårbarheter → Konsekvenser. Så förstår du vad konsulten pratar om så är sannolikheten hög att den är värd sitt pris.
En snabbkurs i info/IT-säkerhet
Du kan inte skydda det du inte vet du har
Vilka system har du, vad gör de och vad innehåller de för data? Om du kan svara säkert på frågan ovan, så har du lagt grunden för info/IT-säkerhetsabetet. Du behöver inte gå en fyraårig utbildning för att få det hela på plats – du behöver ”bara” kommunicera med medarbetare och leverantörer. Jobbet är tungt och tar tid, men livet blir mycket lättare när det är gjort – både vad gäller GDPR och it-säkerhet. Vill du ha guldstjärna så ser du till att teknikerna tar fram bilder på hur alla system prata med varandra. Vilka system anropar vilka? Vilka portar används?
Det finns bara tre sätt att ta sig in
Många konsulter och leverantörer pratar om sina fantastiska lösningar. Hur man kan köpa sig fri bara man lägger pengarna hos dem. För att bättre förstå om du verkligen behöver deras erbjudande är det bra att veta på vilka sätt man tar sig in i system:
- Något är trasigt
- De använder dina rättigheter
- Du bjuder in dem
Trasigt är saker som fel i mjukvara, felkonfigureringar m.m. Har de kommit över dina lösenord, så kan de göra samma saker som du får göra. Klickar du på en länk eller installerar ”smutsig” programvara så har du bjudit in ovälkomna gäster i ditt hus. I många fall kommer de in via en kombination av ovanstående tre punkter. Ett exempel är att någon klickar på en länk och ”smutsig” programvara kan installeras för att operativsystemet inte är uppdaterat och innehåller kända hål.
För att minska risken så är det grundläggande att ha ordning och reda:
- Håll alltid allt du har uppdaterat
- Validera dina konfigurationer
- Se till att ingen har mer rättigheter än de behöver för att utföra sitt jobb
- Använd starka lösenord som är unika för varje tjänst.
- Lagra dina lösenord så det är endast lättåtkomliga för dig med en lösenordshanterare
- Slå på multifaktorautenticering (MFA)
- Ha phishing-skydd på din mejlserver
- Skydda dina klientdatorer och servar med Endpoint Detection and Response
- Centralisera dina användaridentiteter och slå på de extra skydd som moderna lösningar erbjuder
Anamma Zero Trust
Det finns lika många förklaringar på vad Zero Trust (ZT) är som det finns tjänster och system att köpa. IT-marknadens aktörer har starkt hoppat på detta modeord och kan visa upp många grafer och bilder, den ena mer komplicerad än den andra. I själva verket är det enkelt.
ZT = Onion + PoLP2
Onion (Lökprincipen): Du ska ha så många lager, så hårda som möjligt. Bygg inte en kokosnöt – ett hårt skal på utsidan, men mjukt på insidan. Ditt jobb är att hitta vilka lager du kan addera.
PoLP 1: Principle of Least Privilege – ingen medarbetare eller systemkonto ska ha mer rättigheter än de behöver för att göra sitt jobb.
PoLP 2: Principle of Least People – du ska inte ha fler personer än du behöver som har höga rättigheter.
Sköt din medarbetarprocess (X-boarding)
Om medarbetare inte har de rättigheter som de behöver så hör de av sig – om de byter tjänst internt eller slutar och har kvar rättigheter så hör man inte någonting.
Bygg upp en process för att hantera stegen från att de signerat kontraktet till de inte lägre jobbar kvar (På engelska X-boarding – X:et har nedan ersatts med prefix):
- Pre-boarding: när personen skrivit på avtalet så kan man ge dem rätt att läsa mejl och kurser.
- On-boarding: vid start av anställningen eller uppdraget så bör medarbetaren ha allt som behövs för att jobba.
- Cross-boarding: ta bort rättigheter som inte behövs längre när någon byter tjänst.
- Off-boarding: Se till att blocka allt så snart någon slutar. Centraliserat rättighetssystem är till stor hjälp – låser du användaren är allt klart.
I teorin är det enkelt med PoLP och X-boarding, men i praktiken är det ett stort jobb att få överblick över alla system och dess inbyggda rättigheter. Inte komplicerat, men jobbigt. När man gjort det tunga lyftet och få till det, så måste det kontinuerligt upprätthållas, då både organisation och system förändras.
Skaffa er ransomware-skyddade backuper genom ”air-gapped vault”
Lägg era backuper på ett ställe som ingen som har rättigheter till den vanliga miljön har tillgång till. Om någon tar över hela er miljö så har de inte någon möjlighet att hoppa över till den separata miljön. Det går enkelt att lösa med ett separat konto i molnet som t.ex. några i styrelsen som inte jobbar operativt har inloggning till. Backuperna synkar man sedan upp med skript som så ofta som man behöver.
Risker och ramverk
Som du noterat har vi ovan pratat mycket om Hot, Brist, Sårbarhet och dess Konsekvenser – de delar som skapar en risk. Samtidigt så kanske du känner till att det pratas om att man ska jobba på ett ”riskbaserat arbetssätt”. För att gå till botten med frågan, behöver vi börja med att definiera vad risk är. Wikpedia definierar det såhär: “In simple terms, risk is the [possibility] of something bad happening.” Grunden är alltså sannolikhet. Det är tyvärr vanligt att man i dagligt tal kallar hot, brister och sårbarheter för risker. Några exempel:
- ”Anonymous Sudan är en stor risk”. Denna attackgrupp är ett hot.
- ”Våra system har en risk då de inte är uppdaterade”. Systemen har sårbarheter.
- ”Vi har en risk i våra avtal då vi inte har med en GDPR-klausul”. Avtalen har brister.
Vi människor kan inte uppskatta risk – sannolikheten att något dåligt händer. Det är för vi har inget inbyggt system för att i hjärnan att ”mäta” det. Ett exempel: Det finns människor som är rädda för att flyga – det mest säkra transportsätt vi har. Samtidigt kan dessa personer utan att bli nervösa köra många km/h för fort trötta i en bil till flygplatsen för att sedan stressade springa över vägen om de håller på att missa flyget. Vad gäller IT-säkerhet så är det inte vi som har ägandeskapet om risken – det är den som attackerar. I vissa fall kan vi mäta risker: I repetitiva system. Flyg är ett sådan system. Överallt händer samma sak: man taxar, startar, stiger, får kaffe när man är upp på höjd, sjunker, landar och taxar igen. Samlar vi alla gånger något dåligt händer så får vi ett medelvärde på risken. Dock är it-säkerhet inte repetitivt – hela idén med en attack är att den ska vara ovanlig – då är det större sannolikhet är det att den lyckas. Om vi nu inte kan uppskatta risker eller mäta den, så kan vi med bestämdhet säga att vi inte ska tillbringa tid att gissa risker.
Så hur ska vi jobba riskbaserat? Det finns en sak som vi vet om risk: vi vill att den ska bli mindre! Om vi motverkar Hot, tar bort Brister och Sårbarheter så minskar risken för att Konsekvensen infaller.
Att jobba riskbaserat betyder att strukturerat och kontinuerlig ta bort ”smuts”. Har ni en organisation som hittar ”smuts” så är det bara att lägga in vad som behöver göras i ett ärendehanteringssystem – desto fler hittad ”smuts”, desto bättre är organisationen på att identifiera risker. Mät sedan även på hur många ärenden som är gjorda och redovisa per kvartal eller halvår. En annan trevlig konsekvens av att mäta på antalet hittad och borttagen är att när det börjar bli ”rent” inom ett område så är det svårare att hitta saker att ta bort. Så börjar de leta extra noga. Det är precis det du vill!
Hur får du upp er lista med vad som behöver fixas? TTH – Talk To Humans. De som jobbar “på golvet” vet alla saker som behöver fixas – det är bara att fråga dem och sedan ge dem tid och resurser att fixa. Nu vet vi att när man börjar prata om det så blir listan snabbt lång. En dags session med en bra konsult kan ge månader av jobb.
Hur prioriterar man? Det är enkelt: Fråga personen närmast problemet hur stor smärta det är att saken inte är lagad. Sätt ett värde från 0 till 100. Be dem sedan att uppskatta hur jobbigt det är att lösa saken. Fråga inte hur många timmar det tar! Ställer vi den frågan så tänker folk på när de jobbar (som bäst) och glömmer lätt strul, möten, problem med att få tag på rätt information m.m. Nu har vi två mätvärden att använda för prioritering: Smärta och Jobbighet. Tänk dig ett diagram med Smärta på Y-axeln och Jobbighet på X-axeln. Du kan t.o.m. sätta upp notis-lappar med det du ska göra på en whiteboard med ritade X- och Y-axlar. Prioritering: Lös först de sakerna med mycket Smärta och lite Jobbighet, sedan de med medel Smärta och Jobbighet osv. Du kanske aldrig hinner med de med låg Smärta och hög Jobbighet. Det är OK, för vi vet vad som är viktigare.
Ramverk och certifiering
Nu några ord om ramverk som avslutning. ISO 27001 fokuserar på processer. Man kan jämföra det med hur restaurangen är på att hantera recept. Du blir inte en bra kock på att hantera recept – du blir bra av att kontinuerligt laga mat. Gå ut i köket och laga mat! Få saker gjort. Recepten kan du skriva sen. Vi kan även använda liknelsen för att bedöma konsulter: Du kan inte fejka att laga mat. Samma gäller för it-säkerhet. Se till att hålla borta de konsulter som bara kan prata recept. Ta hjälp av de konsulter som kan stå i köket med er och laga mat
Micke ”Lex” Lexelius är VD och grundare av Lex Security AB. Han har en bakgrund från Försvarsmakten inom informations- och säkerhetsarenan och myndigheter inom Total Försvaret. Tidigare ledamot inom SACS (Swedish Association of Civil Security). Säkrar samhällskritisk och känslig information tillsammans med kund när han inte är ute och fiskar eller åker skidor med sina barn.
Lars ”Morre” Mårelius är VD på Tentixo. De hjälper organisationer med att bygga IT-säkerhet, global
infrastruktur och utveckla stabil mjukvara.