Standardisering skapar enklare system, men gör dem också mer utsatta för risker och hackerattacker, skriver Henrik Davidsson på NTT Security.
Standardiserade nätverk på till exempel Cisco, HP eller Juniper är i dag normen – något som varje organisation investerar i. Det är lika vanligt som att använda brandvägg, IDS/IPS eller anti-virus på datorer och servrar. Samtliga lösningar är kommersiella och skalbara. Men mer standardiserad design gör nätverken mer lika varandra hos olika företag.
I takt med att standardiseringen ökar blir det enklare för förövare att hitta mer storskaliga sårbarheter. Marknaden och media pratar om att hoten blivit mer sofistikerade. Men faktum är att det blir enklare och enklare för hackare att hitta vägar in.
Vi säger ofta att man måste “tänka utanför boxen”, men för dagens hackare finns det ingen box. De ser bara möjligheter. Genom att utnyttja företagens standardiserade infrastruktur kan de komma åt affärskritisk information, och kostnaden för icke framgångsrika attacker är praktiskt taget noll för hackarna. Hackarna löper ingen risk.
Detta kräver stor säkerhetsmedvetenhet bland företagen. Vet du till exempel om när du blivit hackad? Hur många misslyckade inloggningsförsök följer du? Och när flaggas de som en säkerhetsincident? Företagen investerar ofta i förebyggande teknik på utsidan av infrastrukturen men glömmer att titta på vad som sker på insidan av sina system.
Många organisationer inser inte att de är intressanta måltavlor eller att de kan användas som bakdörrar in i organisationer som de arbetar med eller för. Vi ser fortfarande att kunderna fastnar i tankegången “det händer inte mig”, samtidigt visar våra undersökningar att över 50 procent av svenska företag har upplevt säkerhetsintrång.
Företag saknar ofta resurser för att göra ett grundligt jobb och skapa en god säkerhetsstrategi. Säkerhet är mer än teknik. En bra säkerhetsstrategi måste ta hänsyn till det övergripande hotlandskapet, men även till hackarnas motivation och tankegångar.
Här är några viktiga punkter som jag noterat under mina 14 år i säkerhetsbranschen i diskussioner med kunder i både Sverige och i Europa:
- Har ni en plan för att skydda företagets allra viktigaste tillgångar och data – organisationens kronjuveler? Om inte är det hög tid att snabbt utforma en plan som bedömer hotet mot samt identifierar och skyddar dessa. Hur skyddar ni ”nycklarna till kungariket” som ni har i era system? Skapa en ögonblicksbild över attackytan och tänk hur ni kan automatisera hanteringen av den attackytan.
- Säkerhet ska aldrig nedprioriteras på grund av affärsbehoven. Anpassa istället organisationens säkerhetsbehov med affärsbehoven. Om säkerheten misslyckas riskerar du allvarliga skador på företaget.
- CISO bör vara en del av företagets ledningsgrupp för att coacha och stötta VD att kunna göra riskmedvetna affärsbeslut. Då blir säkerheten en möjliggörare, istället för en affärshämmare. Utveckla en incidenthanteringsplan som involverar ledningsgruppen, deras ansvar under ett angrepp och vem som gör vad.
- Hur ser organisationens riskbild ut? Har du infrastruktur med tillräcklig förmåga att upptäcka inkräktare? Traditionella ansatser är inte längre relevanta – hotet förändras snabbt. Det måste återspeglas i både säkerhetsstrategi och teknik.
Av Henrik Davidsson, Säkerhetsexpert på NTT Security