Notiser från InfoSecurity 2016, London

2016-06-10
InfoSec 2016 Under tre dagar denna vecka besökte DinGard Europas största säkerhetskonferens i London. Det var 380 utställare och ca 17.000 unika besökare sammanlagt och det bjöds på många bra föreläsningar. Nedan följer ett smakprov på några saker det talades om.

Det var ett stort fokus på hur företag borde skydda sin digitala information, så den inte kidnappas, ändras eller säljs till obehöriga. Eftersom det var många produktleverantörer bland talarna, så blev det ibland ett överdrivet fokus på hur just säkerhetsprodukter ska användas. Alla var dock överens om att det inte räcker med detta. Sextiofem procent (65%) av alla attacker lyckas nämligen p.g.a. att företagets anställda begår "misstag" eller blir lurade till att begå misstag. En stor majoritet av de säkerhetsprodukter som företag använder idag skyddar däremot inte mot dessa angreppsmetoder. Det är därför viktigt att de anställda förstår vad företagets säkerhetskrav innebär i praktiken och varför de finns överhuvudtaget. För att uppfylla lagkraven i EU:s nya dataskyddsförordning, som träder i kraft under 2018, så är det viktigt att påbörja detta arbete redan nu.

Angriparna har blivit mer sofistikerade! För att undvika upptäckt lär de sig vad som är "normalt" i datorn och i nätverkstrafiken. Innan själva angreppet sker kartlägger de därför användarbeteenden och läser loggfiler för att kunna smälta in och välja attackmetoder utifrån dessa lärdomar.

En vanlig missuppfattning är att det krävs s.k. skadlig kod för att lyckas komma åt skyddsvärd information. Många tänker inte på att datorns redan befintliga program kan användas för att kommunicera och orsaka skada. Detta skyddar inte antivirusprogram och brandväggar mot...

En annan aktuell diskussionspunkt var "sakernas Internet" (Internet of Things, IoT). En av världens främsta säkerhetsexperter, Bruce Schneier, hade flera intressanta synvinklar på den nya uppkopplade värld vi nu håller på att bygga upp samt att det kommer att förändra mycket av hur vi ser på säkerhetsarbete framöver. Just nu är det mest osäkerhet i dessa produkter...

Avslutningsvis hölls det även ett par intressanta presentationer som beskrev hur man bygger upp en bra säkerhetskultur i sitt företag. Dessa behandlade allt ifrån rekrytering av personer, utbildning och belöningssystem till betydelsen av att förstå hela verksamheten och den verklighet som varje individ dagligen jobbar i.

Från London tar vi med oss en hel del nya idéer samtidigt som en del gamla kunskaper har upptäckts på nytt. Denna kunskap kommer att användas i våra kunduppdrag framöver.

- DinGard