U-båten i IT-miljön

2014-11-05
Var finns din "Korvett Visby"?

U-båt Försvarsmaktens massmedialt bevakade spaning efter främmande undervattensobjekt i Stockholms skärgård för en månad sedan har följts av många. Att spana efter avvikande aktivitet och närvaro av främmande objekt måste göras strukturerat. Det blev ingen ”fångst” denna gång, i alla fall ingen publikt redovisad, men det blev ett nationellt och internationellt fokus på vårt försvars tillgängliga resurser och kostnaderna för operationen. Någon exakt övre ekonomisk gräns verkade dock inte finnas när insatsen väl var igång. Frågan är vad som gjorts i förebyggande syfte för att snabbt kunna upptäcka, bekräfta eller avskriva misstanken. Av sekretesskäl kommer vi förmodligen aldrig att få veta det.

De flesta tycker att det är självklart att vi ska värna vårt lands gränser, men vad är det då som gör att en u-båtsjakt i skärgården är mer självklar att bekosta än en ”u-båtsjakt” i organisationens IT-miljö?

  • Miljön och aktörerna är troligtvis lättare att förstå!
    Alla beslutsfattare vet hur en u-båt ser ut, att det är vatten som den befinner sig i, att det är fartyg och i viss mån helikoptrar som letar efter den, att havet är olika djupt på olika ställen i skärgården, att det är en stor yta att genomsöka, etc.

  • Syftet och nyttan är troligtvis lättare att förstå!
    När beslutsfattare vet vad som kostar pengar och förstår syftet och nyttan med arbetet är det mer sannolikt att de vill bekosta arbetet.

Det är med andra ord inte så konstigt att om ”vattnet” vi ska bedriva spaning i består av arbetsdatorer, servrar, mobiltelefoner och databaser, så är det svårare att förstå.

Även om det är komplext att sätta sig in i IT-miljöns alla delar, så är det viktigt att bedriva spaning där emellanåt och ha fungerande varningsklockor som ”plingar till” vid avvikande aktivitet. En del av dessa varningsklockor kan bestå av hårdvara och mjukvara, men det är viktigt att även användarna observerar och rapporterar det som avviker enligt deras erfarenhet. Många gånger är det just när en användare observerar något som en IT-incidentutredning påbörjas.

Skadlig kod De digitala u-båtarna (t.ex. skadlig kod) är skickliga på att kamouflera sig och precis som u-båtarna i havet samlar de in information. Den som har tillgång till intern/hemlig information får ett informationsöverläge. Information kan säljas eller användas i annat syfte. DinGard blir emellanåt kontaktad av företag som blivit erbjudna att köpa intern information från en konkurrents IT-miljö eller tvingade att köpa tillbaka sin egen information. Tillvägagångssättet är oftast detsamma. Vid en inledande analys kan vi som säkerhetsspecialister oftast konstatera att IT-miljöerna är eftersatta när det gäller uppdateringar och konfiguration. Detta gäller även hos de företag som säger att de har goda rutiner för uppdateringar, uppdaterade antivirusprogram och brandväggar…

Fem frågor till dig som sitter i ledningsfunktion:

  • Hur klassificerar ni de olika informationsmängderna i er IT-miljö?
  • Vad skulle det få för konsekvenser om informationen hamnar i orätta händer?
  • Vet ni med säkerhet vad som pågår i er IT-miljön?
  • Hur verifierar ni att era varningsklockor fungerar?
  • Hur mycket kostar varje timme i utebliven intäkt när ett IT-system hos er inte fungerar?

Det sparar mycket tid och pengar att jobba proaktivt med informationssäkerhet. Kostnaden för att jobba metodiskt och regelbundet med detta är blygsam i förhållande till vad det kostar att återställa IT-miljön efter en IT-incident, återskapa förlorad information eller kartlägga vilken intern information som har läckt ut.

Många av våra kunder har erfarit detta den hårda vägen, d.v.s. när olyckan väl varit framme. De säger att ingen förklarat nyttan med informationssäkerhetsarbete för dem tidigare och att de trodde det räckte med att ha en brandvägg och antivirusprogram på arbetsdatorerna. Nu vet de att det inte är så...

Välkommen att höra av dig även INNAN något händer hos er!

- Peter Bayer