Trend Micro ”Det är dags att ta cybersäkerheten på största allvar”

Trend Micro bjöd in till ett seminarium med temat ”Cybersäkerhet i vardagen”. IT-Kanalen var där och vi fick, tillsammans med övriga åhörare, lyssna till flera intressanta föredragshållare.

Ola Wittenby, VD på Trend Micro

Dagen inleddes med att Ola Wittenby, som är svensk VD på Trend Micro, hälsade oss välkomna. Även om Olas välkomnande var hjärtligt och genuint så stod det tidigt klart att dagens ämne var mycket allvarligt. Vi lever i en värld där cyberattacker är högst sannolika. Faktum är att hotet från dessa attacker är helt i nivå med de terrorattacker som vi tvingas läsa om var och varannan dag. Om vi t.ex. tittar på den attack som Maersk drabbades av tidigare i år kan vi konstatera att de i sina räkenskaper kommer att göra en avskrivning på svindlande 200-300 miljoner dollar med hänvisning till de konsekvenser som attacken fört med sig.

Framtidens mobilitet

Efter Ola Wittenbys inledning var det dags för Richard Fagerholm från BMW och Nathalie Salasca från Bavaria att inta scenen. Nathalie hälsade oss alla varmt välkomna och berättade att Bavaria var mycket stolta och glada över att hälsa alla välkomna till deras lokaler i Solna. Som en äkta säljare kunde hon självklart inte missa tillfället att berätta att vi alla hade ett gyllene tillfälle att provköra en BMW eller en MINI. Därefter lämnade hon över ordet till Richard.

Han berättade att det är hela 100 år sedan BMW såg dagens ljus och att de nu fokuserar på ”The next 100 Years”. Inom detta koncept har de lanserat ACES vilket står för Autonomes, Connected, Electrified, Shared/Services.

Molnet är framtiden

Rik Ferguson, Trend Micro, en av världens främsta experter på cybersäkerhet

Rik Ferguson, från Trend Micro, är en av världens främsta experter på cybersäkerhet. En person med stor integritet och fackkompetens. När Rik talar då lyssnar vi. Han har verkat i branschen i 23 år och vet vad han pratar om.

Rik berättar att marknaden för publika moln växer kraftigt. Tyvärr är det många organisationer som ser sin egen avdelning för IT-säkerhet som en allmän ”Nej-avdelning”. Utmaningen för anställda på avdelningar för IT-Säkerhet är att liksom en broms på en bil se till att det inte går för fort ibland och att kunna köra säkert i trafiken. Men om de bromsar för mycket är risken att övriga delar av organisationen hittar lösningar som ”rundar dem”.

Molnet kommer att vara en del av framtidens infrastruktur, slår Rik fast.

Vikten av att vara säkerhetsmedveten blir än mer tydlig när han berättar om ett exempel från sitt eget yrkesliv. När Rik arbetade på ett helt annat företag fick de vid ett tillfälle en fråga från en betrodd medarbetare. Personen ville ha några IP-adresser för ett kommande test. Även om medarbetaren hade goda avsikter så blev resultatet att företaget exponerade ett antal IP-adresser mot Internet. Ett sådant agerande var helt oskyldigt då, men kan idag få stora konsekvenser.

 

Terrorattacker i framtiden

Varför vill en terrorist få kontroll över en bil som är uppkopplad mot Internet?

Det nedslående svaret är att i framtiden kan vi inte utesluta att vi får se attacker där förarlösa fordon är inblandade. Det fjärrstyrs av någon som har hackat sig in och tagit över kontrollen.

Rik pratade även om artificiell intelligens och påpekade att vi har vant oss vid att arbeta med datorer och då har vi fått anpassa oss till datorns sätt att fungera för att få den att göra det vi vill. De smarta maskinerna gör tvärtom och lär sig utifrån hur vi människor löser olika saker. En intressant vinkling.

Den mänskliga faktorn är en av de största riskfaktorerna och därför är det viktigt att minimera sårbarheten kopplat till personalens sätt att agera. Rik uppmuntrar oss till att låta medarbetarna få arbeta i isolerade ”sandboxar” och i realistiska simuleringar där det är helt ok att göra fel. Därefter kan vi titta på de misstag som har gjorts och lära av det.

Det är ofta de vardagliga och tråkiga rutinerna på en arbetsplats som vi inte orkar att säkerställa. Det vet de cyberkriminella om och därför är det inte ovanligt att attacker kommer den vägen. Arbetet med IT-säkerhet är inte ett enmansjobb. Det är viktigt att involvera alla medarbetare. Ge personalen mandat att säga nej, avslutar Rik.

Attackytan ökar

Magnus Carling är CISO (Chief Information Security Officer) på Stena Group. Han fungerar som kravställare mellan IT och verksamheten. Kostnaden för cyberkriminaliteten kan mycket väl överstiga den samlade summan av våra IT-budgetar. Dessutom ökar attackytan hela tiden eftersom fler och fler enheter kopplas upp mot IoT (Internet of Things). Som ett exempel på det berättar Magnus att vi säkerligen kommer att få se självkörande fartyg i framtiden.

En av de största farorna är när personalen tillåts att ta med sina egna enheter till arbetet och koppla upp dem där, menar Magnus. Begreppet BYOD (Bring Your Own Device) uppmuntrar till detta. Men även om det kan vara praktiskt att använda sina egna enheter på jobbet eller då och då ”flytta med” jobbet till osäkra enheter i hemmet, så är det förknippat med stora risker och ökad sårbarhet.

Det är viktigt att hjälpas åt med att hantera cyberhoten. Företagen måste våga vara öppna med vad de har råkat ut för. Magnus uppmuntrar till deltagande i nätverksgrupper där man kan dela med sig av sina erfarenheter. Om man inte ger något får man inte något tillbaka, menar han. Om vi ska vinna kriget mot de cyberkriminella måste vi samarbeta.

Nano-utbildning

Hur arbetar då Stena själva med IT-säkerheten?

En viktig del är utbildning. Vi arbetar bl.a. med E-learning och Nano-utbildning. Med det menar jag att vi har satt ihop ett kurspaket där personalen får en 3-minuters utbildning i veckan. Programmet löper över 20 veckor. På så sätt håller vi fokus på säkerheten under en längre tid, svara Magnus. Vi jobbar även med informationsklassning där vi försöker identifiera vad som är extra viktig och känslig information. Det kan handla om filer från betalningssystem eller dokumentation av patent. Vi kallar dem för våra guldägg.

Magnus avslutar med att råda oss att inte placera CISO:n på IT-avdelningen. Det är viktigt att hen kan verka i en mer oberoende roll. En CISO vinner inte några popularitetstävlingar, avslutar Magnus med glimten i ögat.

Minns ni Pan Am?

Lottie Knutson

Lottie Knutson är kanske mest känd från tiden efter Tsunami-katastrofen. Hennes lugna och trygga framträdande i olika media gick rakt in i svenska folkets hjärtan. Hon talade om hur det låg till och hur Fritidsresor hanterade det fruktansvärda som hade hänt. Trots att det var många fler som arbetade med krishanteringen så blev hon symbolen för trygghet och säkerhet. Idag är Lottie ett styrelseproffs som har många strängar på sin lyra, bl.a. föredragshållare.

Lottie tar det amerikanska flygbolaget Pan Am som ett exempel på en misslyckad krishantering. Efter attentatet ovanför Lockerbie i Skottland den 21 december 1988 gjorde bolaget en mängd förödande misstag i sin krishantering. Att en av bolagets jumbojets sprängts i luften kan man inte klandra Pan Am för. Det var en terroristattack som ingen kunde förutse. Det som hände sedan blev däremot tyvärr ett smörgåsbord av felaktiga beslut och åtgärder. Man gick ut med ett felaktigt telefonnummer som anhöriga kunde ringa. När det numret rättades möttes oroliga anhöriga av en melodi som spelades medan de väntade på svar. Melodin man hade valt var ”I’ll be home for Christmas”! Man hade även helt missbedömt behovet av att ha representanter på plats vid olycksplatsen samt flygplatsen i New York dit flygplanet var på väg. Lottie gav oss ytterligare exempel på misstag som Pan Am gjorde och efter en tid gick bolaget i konkurs bl.a. beroende på att resenärernas tillit till bolaget var helt borta.

Öva, Öva, Öva

Budskapet från Lottie kan sammanfattas med tre ord; Öva, Öva, Öva.

Generellt sett är vi dåligt förberedda. När ett företag råkar ut för en attack eller en olycka är det viktigt att vara tillgänglig och informativ. Det första som folk gör är att kolla hemsidan. Då gäller det att ha en kapacitet som klarar det utan att webbplatsen går ner. Om det finns människor som har drabbats är det viktigt att inte glömma bort dem. Deras behov måste tillgodoses, säger Lottie.

Under tiden direkt efter tsunamin kunde Fritidsresor, något förvånade, konstatera att deras webbplats hade många besökare som var där för att boka resor. De förstod givetvis också att många av besökarna på webbplatsen var drabbade som förgäves försökte få information om sina anhöriga. Då lärde vi oss att ha en s.k. ”Svart sida” som man kom till först, berättar Lottie. Där fanns alltid den senaste informationen om katastrofen och längst ner fanns det en länk som man kunde klicka på för att komma till den ordinarie förstasidan. Syftet var att de drabbade inte skulle mötas av ”klatschiga” bilder på folk som är glada och solar på stranden. Det här lärde oss också att vi behövde flera olika typer av människor i bemanningen. Dels de som arbetade med ”brandsläckning” och dels de som tog hand om de kunder som ville boka resor. Där skulle det mitt i kaoset råda en form av ”Business as usual”.

En annan viktig parameter är sömn och mat. Det blir lätt att några tar på sig hjälterollen och nästan jobbar ihjäl sig. Utan sömn och mat tar vi till slut väldigt dåliga beslut. Bannlys simultankapaciteten, säger hon och menar att det är bättre att varje medarbetare fokuserar på en sak i taget och gör det på bästa sätt. Det finns inga superhjältar som inte behöver mat & sömn och dessutom kan göra allt på en gång.

Lottie säger att när hon i olika sammanhang frågar hur många företag som har övat på ett katastrofscenario är det endast 5 % (!) som säger sig ha övat någon gång. Hon påminner oss igen om vikten av att öva.

Paneldebatt

Under dagen fick vi även lyssna till en paneldebatt som leddes av Johnny Krogsböll från Trend Micro. Där fick vi bl.a. höra följande inlägg:

  • En av de största farorna är självgodhet. Att vi tror att vi kan det här med IT-säkerhet och redan har gjort allt vi kan och bör göra, menade Rik
  • Olika incidenter kräver olika lösningar. British Airways hanterade inte sin IT-krasch tidigare i år på samma sätt som om de skulle ha drabbats av en flygolycka, sa Lottie
  • Vi kommer definitivt att få se flera totalstopp hos olika företag och myndigheter i framtiden, förutspådde Magnus

X = I + U – T

Vi samtalar en stund med Rik Ferguson och frågar honom då om hur man kan arbeta förebyggande med IT-säkerheten. Han svarar då att man måste titta på och bedöma de viktigaste parametrarna, som kan illustreras med algoritmen X = I + U – T.

Om vi ska komma fram till vad vi behöver förbättra (X) bör vi utgå ifrån hur vår infrastruktur (I) ser ut. Till detta lägger vi till hur våra användare (Users) agerar. Till sist drar vi ifrån kända hot (Threats). T.ex. kan ett företag ha lösningar som är molnbaserade(I) och deras användare har ett mailsystem (U) i sina smarta telefoner och ett känt hot (T) är malware via mail. Utifrån den bilden måste företaget räkna ut hur det ska skydda sig (X).

Vi är lite naiva

IT-kanalen får även möjligheten att samtala en stund med Lottie Knutson under dagen. Hon säger då att det är viktigt att lyfta IT-aspekterna vid en krishantering. Idag har vi kommit dit att oavsett vilken verksamhet vi pratar om så är IT alltid en viktig del av verksamheten och ofta är det direkt affärskritiskt. Vi är lite naiva i Sverige och vi har litat mycket på den Svenska modellen. Dagens cyberhot känner inte några gränser utan är ett globalt hot och då är det viktigt att vi orkar tänka igenom olika krisscenarion samt inte minst övar på dessa, avslutar Lottie med tyngd i rösten.

Hon om någon vet vad det innebär att stå mitt i krisens epicentrum med mediebevakning, otröstliga anhöriga och försvunna medarbetare.

Fler artiklar om Trend Micro: http://it-kanalen.se/han-vill-bidra-till-ett-sakrare-samhalle/