Känner du att cybersäkerhet är ett område som är svårt att få grepp om? Att det ibland är svårt att sätta fingret på varför utmaningen blir så stor?
Kanske gäller de nya säkerhetsskyddsreglerna din verksamhet och ni har därmed fått krav på att ta fram säkerhetsåtgärder för vilka det behövs motivering? Eller kanske du behöver inspireras för att vässa dina argument för en högre säkerhetsbudget?
Här presenterar vi 5 insikter om cybersäkerhet som ger dig ett försprång i ditt arbete med cybersäkerhet!
1. Du kämpar mot en tänkande motståndare
En motståndares närvaro och förmåga spelar stor roll i hur vi förbereder oss. Det faktum att vi behöver försvara mot angripare innebär att vi måste bygga och utforma vår produkt annorlunda. Det är också viktigt att inte endast tänka på en angripare som en motståndare, utan som en aktiv och intelligent motståndare. Hur intelligenta är de? Attackerar de generellt eller är de ute efter just dig?
Så, hur hanterar du närvaron av en motståndare/angripare? Börja med att ställa dig själv frågorna: “vilka motiv kan vår motståndare ha?”, “varför skulle de attackera oss?” och ”vilka kan de vara?”. Funderingar kring dessa frågor kan ge insikt i hur envis angriparen kan tänkas vara, deras förutsättningar och förmågor, samt vilken typ av information eller system du kan behöva skydda. Om du misstänker att attackeraren är bra mycket bättre än du själv är det bra att ha fokus på att kunna detektera att en attack har skett, snarare än bara försvar.
2. Osäkerhet växer angående säkerhetslösningars innehåll
Det kan finnas mycket osäkerhet i vad du faktiskt har köpt. “Är innehållet specificerat?”, “vet vi vem som byggt detta?” och “om inte, kan vi lita helt på det vi har köpt?”. Kedjan av leverantörer kan vara lång och därför kan det vara svårt att veta vad lösningen exakt innehåller. En annan aspekt är ifall det går att avgöra om lösningen du har köpt är bra. IT-lösningar idag innehåller miljoner rader av kod vilket gör det svårt att upptäcka problem. Speciellt eftersom kodens kvalitet inte alltid syns på utsidan – synlighetsfaktorn är dålig.
När du skriver kod återanvänder du och importerar lösningar från andra genom små korta import- och inkluderingskommandon. Även om ditt program verkar kort, kan det innehålla mycket programvara i slutändan. Detta gör det svårt att veta exakt vad och hur mycket du får med i koden.
3. En kombination av säkra saker blir inte alltid säkert
En aspekt är seriekopplad säkerhet – om din lösning är beroende av att alla delar i en lång rad fungerar, blir den resulterande säkerheten mindre än för varje del. Om en del inte fungerar tappar hela kedjan sin funktionalitet. Om du har säkerhetslösningar som fungerar på detta sätt är det viktigt att ha mekanismer som upptäcker när något inte fungerar.
Den andra aspekten är att säkerhet kan bete sig på mystiska sätt. Det behövs inte en lång kedja för att saker ska gå fel. Det kan räcka att bara kombinera två saker som i sig anses säkra. Det är lätt att förstå att en kombination av två osäkra saker blir osäkert. Men tyvärr finns det ingen garanti för att en kombination av två säkra saker bildar en säker lösning. Detta beror inte på “kedjeeffekter” som beskrivits ovan utan snarare på att säkerhet ibland fungerar mer som kemi. Saker som är säkra när de hanteras separat kan försvagas eller till och med bli dödliga när de kombineras.
4. Sinnebild ≠ verklighet för en säkerhetsfunktion
Vår sinnebild kanske säger att ett hänglås alltid är säkert och uppfyller sin uppgift att “hålla saker låsta om du inte har rätt nyckel”. Men våra sinnebilder bedrar oss lätt. I den verkliga världen finns det en värld av detaljer och skillnader i situationer och i olika typer av hänglås. Säkra saker tenderar också att dölja svagheter i dess omedelbara omgivning. ”En dörr med ett säkert hänglås” ger bilden av en säker dörr. Men kanske sitter gångjärnen på dörren på utsidan och kan enkelt slås bort, vilket gör hänglåset värdelöst. Exakt samma resonemang dyker upp i IT- och produktsäkerhet. “Låt oss säkra den här situationen med en brandvägg”.
Så vad kan du göra? Fundera på var din viktigaste och känsligaste data befinner sig och tänk på hur din design faktiskt skyddar den. Kanske är det möjligt att utföra regelbundna kontroller av att allt fortfarande fungerar?
5. Säkerhet går inte att mäta – assurans går!
Hur mäter man säkerhet? Faktum är att det inte finns något sätt att göra det. Det finns ingen skala som kan berätta exakt hur säkert något är. Men varför är det så? En anledning är att vi uttrycker krav på säkerhet i ”negativa termer”. Vi brukar säga, “ingen ska kunna <skriv in dålig sak här> vårt system”. Denna typ av krav är mycket svåra att tillgodose eftersom det är mycket svårt att bevisa att något inte är möjligt. En mer användbar metod att använda när man pratar om att utvärdera säkerhet är assurans.
Assurans inom säkerhet innebär graden av tillförsikt i att en produkt eller ett system korrekt utför sina kravställda säkerhetsfunktioner och att de inte kan kringgås
Men hur ökar man graden av tillförsikt? Du kan börja med att ställa frågor. Börja med uttalandet ”Den här produkten är säker” och fråga ”Varför?”. Bryt sedan upp svaret i dess delar och ifrågasätt varje del, utmana exempelvis uttalanden som “Produkten har en säker design” med “Varför är det säkert?” och så vidare. Fortsätt tills summan av svaren gör att du känner dig säker.
Vill du veta mer om varje insikt? Lyssna på vårt inspelade webinar med vår säkerhetsspecialist Håkan Ahrefors!
Behöver ni hjälp med ert cybersäkerhetsarbete? Tveka inte att höra av er till oss!