Det finns en ökande oro kring hur säkra informationsutbyten ska upprättas. Företagsledningar måste börja reflektera över om och hur de tar sitt digitala ansvar. Ansvaret innebär att arbeta på ett proaktivt och hållbart sätt med sin informationshantering.
Vi tror att säkra informationsflöden är nödvändiga för att du ska bli respekterad som en attraktiv arbetsgivare och ledande företag. Ansvarsfull informationshantering ger dig möjlighet att uppnå livskraftiga och hållbara verksamheter som öppnar upp för innovation och nya intäktsmöjligheter.
Informationshantering ska ses som en del av CSR
Företag måste förändra sitt sätt att se på hållbarhet och väva in informationshantering i de mer traditionella parametrarna för CSR-insatser (Corporate Social Responsibility) som miljö, arbetsförhållanden, effekter på samhället etc. Information idag är en gigantisk byggsten för nästan alla delar av samhället. Och en del av denna information bör och måste skyddas.
Informationssäkerhet borde bli ett ämne som diskuteras och prioriteras oftare i styrelserum och ledning. Detta är avgörande eftersom att ta digitalt ansvar kan vara mycket viktigt för effekter på samhället. Att skydda information och använda/bygga säkra system borde vara en tydlig del av CSR, eller CDR (Corporate Digital Responsibility), som varje företag bör följa då detta blir viktigare och viktigare. Inte bara för företagen själva, utan för säkerheten för vårt samhälle.
Framtidssäkra lösningar hjälper dig att ta ditt digitala ansvar
Framtidssäkra lösningar för informationssäkerhet – det är vad du behöver för att kunna ta ditt fulla digitala ansvar. Detta innebär att du måste se till att din leverantör har en arbetsmetod som innebär att de kommer att fortsätta att vara digitalt ansvariga. Ger de dig säkerhetsuppdateringar under hela produktlivscykeln? Är deras produkt/lösning framtidssäker? Det här är viktiga frågor du behöver ställa din leverantör av informations-säkerhetslösningar.
Olika typer av cybersäkerhetsprodukter som hjälper dig ta ditt digitala ansvar
Det finns ett antal produkter som kan stärka din cybersäkerhet, men här är några av dem!
VPN-krypton
Ibland är det nödvändigt att kommunicera över Internet, men informationens känslighet kan hindra dig från att öppet kunna skicka den till mottagaren. Lösningen är att använda ett VPN-krypto (Virtual Private Network). VPN-krypton kan användas för att skydda ditt nätverk, medan du är ansluten till Internet, genom att skapa säkra och privata tunnlar mellan en enhet och ett nätverk, eller mellan två nätverk. På så sätt kan du vara ansluten till Internet, men informationen du skickar till andra enheter inom det privata nätverket krypteras och skickas säkert genom tunnlarna, vilket resulterar i trafik som inte kan läsas av någon utanför ditt privata nätverk. Du skyddar därmed ditt nätverk genom att skydda hur informationen flödar mellan enheter eller nätverk.
Många krypteringslösningar är huvudsakligen mjukvarubaserade, som de lösningar som används för distansarbete. Dessa lösningar är enkla att använda och inte så dyra, men är inte gjorda för information på högsta säkerhetsnivå. Rent mjukvarubaserade lösningar räcker helt enkelt inte för att tillhandahålla säkerhet på toppnivå på grund av sårbarheter för avancerade attacker, men de kan räcka för andra användningsfall.
Hårdvarubaserade krypteringslösningar är dyrare och kan vara lite mer komplicerade att hantera, men om du har känslig information eller information som behöver ett starkare skydd – vilket gör säkerhet högsta prioritet – bör hårdvarulösningar vara ditt val.
Läs mer om kryptering och Advenicas lösning SecuriVPN!
Brandväggar
En brandvägg skyddar ditt nätverk genom att endast tillåta viss trafik att komma in eller ut på ett nätverk. Den övervakar och filtrerar vilken trafik som är tillåten och vilken som blockeras baserat på dess konfiguration.
Med en brandvägg är det svårt att veta exakt vilken information som exporteras eller importeras till systemet. En brandväggskonfiguration blir ofta komplex, vilket ökar risken för felkonfiguration. Brandväggar separerar inte heller administration och dataflöde på ett sätt som skyddar informationen från insiders. Organisationer som har känslig information och som verkar inom kritisk infrastruktur, offentlig sektor eller försvarsindustrin, är i behov av att deras nätverk håller en högre säkerhetsnivå. Därför behövs fler lösningar än en brandvägg.
Datadioder
En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsutbyte. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.
Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. Datadioder är hårdvaruprodukter som placeras mellan två nätverk. En datadiod fungerar som en backventil vars funktion endast tillåter data att skickas framåt medan den blockerar all data i motsatt riktning. Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod, vilket också bidrar till hög assurans.
Läs mer om när du kan använda datadioder och om Advenicas datadioder och hur de fungerar!
Security Gateways
En security gateway är en enhet som styr informationsutbytet som äger rum mellan olika säkerhetsdomäner.
Om du har skyddsvärd eller till och med säkerhetsklassad information behöver du en lösning som erbjuder säker och filtrerad dubbelriktad kommunikation. Således måste du både säkerställa dubbelriktad kommunikation och vara säker på att inget skadligt kommer in i ditt känsliga nätverk, men även att känslig information och data inte läcker till ett mindre känsligt och mindre skyddat nätverk.
Syftet är att tillämpa en strikt kontroll på informationsnivå under själva informationsöverföringen och minska cyberhot som exempelvis manipulation, dataläckage och intrång. En security gateway vidarebefordrar endast mottagen information när den följer dess policy som härleds till organisationens informationssäkerhetspolicy. Den policy som implementeras i en security gateway definierar accepterade strukturer, format, typer, värden och till och med digitala signaturer. När ett meddelande skickas från en säkerhetsdomän till en annan över en security gateway analyseras informationen i meddelandet enligt den konfigurerade policyn. Godkända delar av det mottagna meddelandet sätts in i ett nytt meddelande som skickas till den avsedda mottagaren i den andra domänen. På så sätt vet du att endast tillåten information passerar denna gräns.
Advenicas lösning heter ZoneGuard, läs mer om den!
Digitalt ansvar – mer än teknik
Med innovativa och framtidssäkra teknologilösningar har du rätt verktyg för att ta ditt digitala ansvar. Informationssäkerhet innebär dock mer än teknik. Människor och processer är lika viktiga för att lyckas. Hållbart skydd kräver systematiskt och kontinuerligt arbete baserat på tillgångar, hot och risker.
Det första steget är att förstå vilken information som är viktig för företaget. En risk- och säkerhetsanalys hjälper dig att identifiera problemen samt specificera och prioritera nödvändiga åtgärder.
Men hur villig du än är att skydda din information så är det inte praktiskt eller ekonomiskt motiverat att skydda all information på samma sätt och nästa steg är därför att fatta några beslut baserade på analysen.
Så vad innebär digitalt ansvar?
Det digitala ansvaret bör ses som ett behov av att “göra gott” med din digitala teknik och dina digitaliseringsinsatser. Detta kräver en balanserad och medveten prioritering mellan tre delvis motstridiga hörnstenar:
- Digital funktionalitet
- Digital integritet
- Digital hållbarhet
Digital funktionalitet
Tekniska framsteg är oundvikliga och den digitalisering som pågår är nödvändig. Som samhälle behöver vi utöka våra möjligheter att mäta, samla in och bearbeta information för att på ett mer optimerat sätt kunna:
- Använda de begränsade resurser vi har
- Planera för att minimera skrot, och…
- Hitta nya möjligheter som antingen direkt kan skapa värden eller indirekt genom ökat entreprenörskap och innovation.
Inom funktionalitet finner du möjligheter till innovation och möjligheter för nya och utökade affärer samt de mer vardagliga funktioner som ‘alltid funnits där’. Det ansvarsfulla förhållningssättet är inte att undvika utveckling och digitalisering eller framåtskridande. Det ansvarsfulla tillvägagångssättet är att balansera funktionalitet med de andra två hörnstenarna.
Digital integritet
Den andra hörnstenen är ansvaret för digital integritet. Rätten till privatliv är en del av den universella förklaringen om mänskliga rättigheter. I Europa har medvetenheten om frågor relaterade till integritet tagit ett steg framåt på senare tid på grund av EU:s GDPR-förordning som trädde i kraft i maj 2018. Oavsett reglering måste digital integritet vara en del av all teknikdesign som ligger framför oss. Inte bara ur en kortsiktig synvinkel utan också med en oro för eventuella långsiktiga effekter.
De traditionella informationssäkerhetsmålen: konfidentialitet, integritet och tillgänglighet kompletteras nu med tre nya mål: olänkbarhet, transparens och inflytande. Dessa mål är parvis motstridiga; man kan till exempel inte samtidigt ha maximal tillgänglighet och maximal konfidentialitet. Därför blir det en nödvändighet att förstå konsekvenserna av olika tekniska designbeslut så att lösningarna som byggs blir väl avvägda mellan de olika målen. Tyngdpunkten kommer att förskjutas från de traditionella målen mot de nya.
Digital hållbarhet
Den tredje hörnstenen är digital hållbarhet. Den digitala funktionaliteten vi bygger och de digitala möjligheter som vår nya teknologi möjliggör bör syfta till att följa en digital version av Hippokratiska eden: “avstå från att göra skada”. Vårt samhälle går väldigt långsamt mot en sorts överkänslighet för störningar i vår digitala teknik. Detta är uppenbart i teknologin kring kritisk infrastruktur där brist på digitalt ansvar kan få allvarliga konsekvenser. Attacker eller till och med dålig implementering i IT- och OT-systemen som omger vår kärninfrastruktur kan lätt sätta stora värden eller till och med liv på spel.
Det finns andra behov av digital hållbarhet. Att begrava avfall eller dumpa det i havet var acceptabelt tidigare eftersom vi “inte visste bättre”. Framtida effekter på vårt samhälle på grund av “digitalt spill” i form av intrång och läckor eller det enorma “sociala minne” som byggs upp av sociala medier är okända. Alla de tre hörnstenarna ovan bär ansvar. På grundnivån finns ett behov av digitalt ansvar. Funktionaliteten vi inkluderar i vår teknik, de val vi gör i våra designer och den data vi väljer att samla in kommer att påverka vår gemensamma framtid. Värt att notera är att (digital) säkerhet inte är en hörnsten i sig. IT och informationssäkerhet är verktygen med vilka vi kommer att utföra många av de ansvarsfulla åtgärder som krävs.
Vid varje beslut bör det digitala ansvaret tvinga fram en strategisk syn så att det skapas en balans mellan den digitala funktionaliteten som införts och dess kortvariga och långsiktiga effekt på digital integritet och digital hållbarhet.
Ansvaret sträcker sig till mer än innevarande år. Du måste ta ansvar för eventuell framtida användning och missbruk av din insamlade data och din implementerade funktionalitet. Om dina handlingar idag skulle kunna användas på ett fientligt sätt av morgondagens aktörer, bör du använda en försiktighetsprincip idag. Om din teknik kan missbrukas i morgon, är du ansvarig idag.
Säkerhetskultur – en viktig del av cybersäkerheten
Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och det är därför den mänskliga faktorn som är orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med cybersäkerhet.
Säkerhetskultur är gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden hos individer och grupper i en organisation inriktade på att skapa säkerhet i verksamheten. Säkerhetskultur handlar om hur medarbetares värderingar påverkar sättet att tänka och agera i förhållande till risk och säkerhet. Den har därför stor betydelse för hur man arbetar och påverkar de anställda dagligen.
I en bra säkerhetskultur är alla medvetna om riskerna och har både kunskap och vilja att genom sitt agerande bidra till att minska riskerna. Säkerhetstänkandet är en självklar del av verksamheten. Säkerhetskulturen har med andra ord en stor betydelse för hur man arbetar, prioriterar och på olika sätt skapar förutsättningar för medarbetarna att arbeta på ett säkert sätt. Ytterligare en sak som kännetecknar en god säkerhetskultur på en arbetsplats är att ledningen prioriterar och hanterar säkerhetsfrågor på alla nivåer i verksamheten och att de är en del av kulturen.
Lagar och förordningar
En del av att ta digitalt ansvar är att lägga fram lagar och förordningar som syftar till att skydda känslig information. Digitalisering skapar inte bara affärsmöjligheter utan öppnar fler attackvektorer för system. Antalet cyberattacker har ökat kraftigt under de senaste åren, inte bara från brottslingar och script kiddies utan också från statligt finansierade styrkor med stor uthållighet och stora resurser. Att höja informationssäkerheten inom kritisk infrastruktur höjer samhällets beredskap för yttre störningar.
NIS-direktivet
NIS-direktivet skärper kraven på informationssäkerhet vad gäller integritet och tillgänglighet. Det är viktigt att ta hänsyn till människor, processer och teknik för att säkerställa informationssäkerheten i de berörda organisationerna. Bättre förståelse i allmänhet för information och systemriskklassificering tillsammans med beredskaps- och handlingsplaner för påverkan är nödvändig för att förbättra motståndskraften mot attacker. Incidenter ska rapporteras som ett led i att öka kunskapen och höja beredskapen. I grund och botten ligger fokus på nätverket och de informationssystem som används.
GDPR
Genom att lagstifta betydelsefulla rättigheter för den enskilde, och motsvarande skyldigheter för organisationer som hanterar informationen, överförs makten över informationen till den enskilde. GDPR (General Data Protection Regulation) innebär omvälvande förändringar av IT-system. Det innebär även stora arbetsinsatser att anpassa alla system och rutiner till de nya kraven. Det i sin tur öppnar stora möjligheter för de som levererar tjänster och produkter inom informationssäkerhetsområdet. Det är ingen överdrift att jämföra arbetets omfattning med Y2K-anpassningen.
Hur tar du ditt digitala ansvar?
Dags att börja jobba. Om du är en chef på C-nivå, börja bara balansera ditt arbete med att bygga ny funktionalitet, öka operativ effektivitet och skapa nya affärsmöjligheter med digitalt ansvar. Om du för närvarande inte är på C-nivå i ditt företag kan du börja diskutera relaterade ämnen kring digitalt ansvar för att flytta ämnet mot den större frågan om ansvar snarare än att ta itu med varje fråga på egen hand. Om du vill börja arbeta proaktivt med digitalt ansvar, till exempel inom det digitala integritetsområdet, är här fem åtgärdspunkter:
- Involvera. Börja involvera din ledning och styrelse i diskussioner och reflektioner kring er nuvarande position inom digitalt ansvar.
- Inventera. Identifiera den information du lagrar, transporterar och bearbetar som därmed behöver skyddas.
- Underrätta. Var tydlig i din kommunikation till dina kunder vars data du hanterar om hur du ska skydda deras information.
- Tänk integritet genom design (privacy by design). Den som designar utan att förstå dessa konsekvenser kommer att behöva korrigera i efterhand – något som alltid blir dyrare än att göra rätt från början.
- Tänk på lagar och regler som kräver att du tar ansvar.
Varför du bör göra en riskanalys
För att veta i vilken riktning du ska gå med ditt cybersäkerhetsarbete måste du utvärdera verksamheten som den är idag – genom att göra en analys av de risker som för närvarande finns i verksamhetens system.
En första enkel riskanalys identifierar det värsta som kan hända idag utan att ha infört några riskreducerande åtgärder. Senare görs en detaljerad riskanalys för separata zoner och flöden. Detta steg tas när grupperingarna av zoner och flöden har gjorts, baserat på den initiala riskanalysen.
Målet med dessa riskanalyser är att i slutändan kunna tillämpa rätt riskreducerande åtgärder och skapa en säkrare verksamhet där fokus sätts på rätt ställen.
Läs mer hur du gör både den initiala och den detaljerade analysen.
Varför du bör arbeta med nätverkssegmentering
En viktig del av att förbättra din cybersäkerhet är att arbeta med nätverkssegmentering. Nätverkssegmentering i datanätverk innebär att dela upp ett datanätverk i delnätverk, där vart och ett är ett nätverkssegment. Fördelarna med sådan uppdelning är främst att förbättra säkerheten och prestanda. Utan segmentering finns det en risk att känslig information kan läcka eller manipuleras, och att skadlig programvara och ransomware kan spridas okontrollerat och snabbt. Angripare behöver inte gå direkt mot målet, till exempel eldistributionen. Istället nästlar de sig in via svaga punkter långt ut i arkitekturen, via mejl eller kundtjänst, som ett sätt att nå målet. Statsstödda angripare är också tålmodiga, beredda att arbeta långsiktigt, gör allt i små steg och ligger tyvärr ofta steget före. Den skarpa verkligheten är att företagets lednings- och kontrollsystem redan kan attackeras utan att det märks ännu.
Det finns olika typer av nätverkssegmentering:
- Fysisk separation
- Airgap
- Logisk separation
Läs mer om de bästa sätten att använda nätverkssegmentering och hur du implementerar det!
Advenica har cybersäkerhetslösningarna du behöver
Vilka är dina säkerhetsutmaningar?
- Behöver du säkert integrera IT- och OT-system?
- Behöver du säkra din fjärråtkomst?
- Vill du kunna överföra känslig information från ett SCADA-system?
- Måste du hitta en säker lösning för spårbarhet och loggning?
- Vill du undvika säkerhetsriskerna med att uppdatera dina system?
- Behöver du säker kommunikation med fjärrsiter?
Läs mer hur våra lösningar kan hjälpa dig med dessa och liknande utmaningar!
Vill du läsa mer om våra produkter? Du hittar informationen här!