Sikre dataene

Er dere i ferd med å gå over fra analoge til digitale rutiner og løsninger? Da er det viktig å tenke grundig gjennom alle sider av saken, ellers kan dere ende med digitale løsninger som er vidåpne for alt fra overbelastningsangrep og kunders misbruk til aggressive angrep.

Moln_Stralfors_875x580.jpg

Folk kommer til å prøve å knekke systemet fra internett, og de kommer til å misbruke tjenesten. Det kan du være helt sikker på, sier Jörgen Mellberg, som er IT Security Manager i PostNord Strålfors.

Det er mange bedrifter som ikke er tilstrekkelig sikret mot slike trusler.

– Den vanligste sikkerhetsfeilen bedriftene gjør er at de bygger inn sikkerhet i produkter og tjenester først i ettertid, sier Jörgen Mellberg.

Rent bortsett fra at man da vil være ubeskyttet i begynnelsen, er det også flere ulemper med å utsette sikkerheten.

– Det kan være vanskelig å innføre sikringstiltak i etterkant. Noen ganger er det umulig uten å nyutvikle store deler av løsningen. En slik fremgangsmåte vil gjerne løse én konkret sikkerhetstrussel, men ikke alle. Dessuten er det alltid dyrere enn å integrere sikkerhet fra begynnelsen av.

Løsningen er å tenke sikkerhet allerede når produktet eller tjenesten er på utviklingsstadiet.

En annen vanlig feil er å forsøke å bygge sin egen sikkerhetsløsning. Slike systemer er ofte komplekse, og da er det vanskelig å gjøre alt rett.

– Man må ha kunnskap om alle sidene ved sikkerheten, slik at man ikke hopper over noe – en kjede er aldri sterkere enn sitt svakeste ledd. Samtidig er det vanskelig å ivareta sikkerhet gjennom hele produktets eller tjenestens levetid uten streng kontroll, sier Jörgen Mellberg.

– Det er svært sjelden at man har bruk for noe som ikke allerede er bygd. Da er det bedre å kjøpe inn etablerte løsninger med velprøvd sikkerhet og bygge dem inn i sitt eget system.

Analysere risikoene

For å sikre seg må bedriftene på forhånd dekke alle eventualiteter ved å tenke som en gjerningsperson. Det er det Jörgen Mellberg arbeider med. Han forsøker å forutsi alle slags sikkerhetstrusler med det som mål at ingenting skal skje.

Trusselen trenger ikke være noen ondsinnet hacker som vil ha tilgang til dataene, eller som utfører overbelastningsangrep for å sette bedriftens nettsider ut av spill. Det kan være så enkelt som noen som bruker tjenesten på en måte du ikke hadde forutsett – for eksempel de robotene som automatisk publiserer meldinger på Twitter.

– Andre kommer til å prøve å bruke tjenesten din til egne behov, enten du har tenkt på det eller ei. Har man den innstillingen fra begynnelsen av, går utviklingsarbeidet lettere, sier Jörgen Mellberg.

Når man bygger opp systemet, gjelder det altså å sperre for ikke-tilsiktede bruksområder.

– Det er viktig å avdekke risikoene i systemet. Da gjelder det å ha satt seg inn i hvordan systemet skal brukes, og hvordan det er bygd opp. Jo mer vi forstår om hva som kan skje, desto bedre sikkerhet kan vi bygge.

Jörgen Mellberg, som  er IT Security Manager i  PostNord Strålfors.Sikkerhet på rett nivå

Det finnes mange typer trusler. Spørsmålet er om man skal beskytte seg mot alle eksisterende trusler eller bare dem som blir identifisert som alvorlige.

– Alt handler om balansen mellom risiko og kostnad. Det gjelder å finne riktig nivå på sikkerhetssjekkene. For høyt sikkerhetsnivå koster unødvendig mye, sier Jörgen Mellberg.

Er sikkerhetsnivået for høyt, kan det også skremme kundene over til en annen leverandør.

– Vi er vant med å bruke kodebrikker eller bank-ID på mobilen når vi logger inn i nettbanken, og det godtar kundene. Hvis en enklere tjeneste hadde hatt samme sikkerhetsløsning, hadde det vært fare for at kundene hadde gått lei av tjenesten.

Tilpass sikkerheten til virksomheten

Bedriftens virksomhet bestemmer sikkerhetsløsningens utforming. Har bedriften en e-tjeneste, er det for eksempel viktig å ha redundans på tjenestens internettforbindelse. Det er også nyttig å vite når kundene bruker tjenesten. Er belastningen konstant, eller har den en topp en kort periode av året? I det siste tilfellet må sikkerhetssystemet ha kapasitet til midlertidig å takle høyt trykk.

– Det ordnes ved hjelp av såkalt belastningsbalansering og en arkitektur som takler store mengder besøkende. For hvis tjenesten går i stå, vil kunden gå til neste leverandør i stedet, sier Jörgen Mellberg

Er det mulig å bygge inn sikkerhet mot menneskelige feil?

– Man kan aldri være hundre prosent trygg – det er menneskelig å feile.

Risikoen kan imidlertid minimaliseres ved at man for eksempel må være to for å gjennomføre endringer. Da kan man sikre at den andre personen ikke gjør feil.

– Ved å automatisere så mye som mulig reduserer du også risikoen for menneskelige feil, og du får samme resultat hver gang.

Komme i gang med sikkerhetsarbeidet

1. Sørg for å ha noen som kan gi råd. Hvis bedriften ikke har kunnskap om sikkerhetsspørsmål internt, få hjelp av en ekstern leverandør.

2. Begynn med å utarbeide en sikkerhetspolicy om hvordan bedriften vil håndtere sikkerheten, slik at det er tydelig for alle, både internt og eksternt.

3. Ta en titt på eksisterende rammeverk og sikkerhetsstandarder, for eksempel ISO 27000. Der finner du de ulike delene som trengs. Bruk det som bedriftens behov tilsier.

4. Tenk over trusselbildet mot bedriften. Hvilke sikkerhetsløsninger er det bruk for? 

5. Ranger truslene. Hvis datakapasiteten er den største risikoen, håndterer dere den først. Deretter fortsetter dere med neste trussel, for eksempel vern mot hackere.

6. Kjøp inn et veletablert sikkerhetssystem som har vært i bruk i noen år og beviselig fungerer. Å bygge sitt eget sikkerhetssystem er komplisert og ikke noe hvem som helst bør gi seg ut på.