Svenska företag och myndigheter för en ojämn kamp mot krafter som på olika sätt försöker få tillgång till känslig data. Varje dag rapporterar media om olika typer av hackerattacker och andra bedrägliga sätt att komma åt hemlig eller känslig information.
Men samtidigt finns flera, mer dolda faror för företagens hemligheter.
– Många företag är idag medvetna om riskerna de utsätts för. Men i allt mer komplexa system som är ryggraden i företagens verksamhet finns även många fler risker än tidigare. Aktiva hackerattacker är bara en del, det finns dessutom en mängd dolda faktorer som många kanske inte spontant ser som risker. De här frågorna är en angelägenhet för styrelser och ledningar, inte bara för IT-avdelningar, berättar Sören Rantzow, CIO på Pulsen Group.
Vi fångade IT-säkerhetscheferna Kalle Larsson på Pulsen Integration och Robert Rinde på Shibuya för att reda ut några av de mer dolda riskerna och missuppfattningarna:
1. Kan andra länders myndigheter få tillgång till min data?
Molntjänster har blivit allt mer populärt, bland annat tack vare att det medger enorm flexibilitet att komma åt system och dokument och samarbeta oavsett var man befinner sig. Men det finns också anledning att tänka en extra gång på vilken data man faktiskt lagrar i molnet. Mail och andra samarbetssystem kanske inte innebär något problem – iallafall inte så länge rätt nivå av information hanteras där och man tillämpar nödvändiga säkerhetsfunktioner – medan vissa typer av verksamhetskritisk eller konfidentiell information bör lagras någon annanstans.
– Man behöver förstå hur molntjänster faktiskt fungerar och bestämma vilken data man lägger där. Använder man till exempel en större ‘public cloud’-leverantör som är ägd av ett företag i USA så betyder det att landets myndigheter faktiskt kan få tillgång till datan, utan att du vet om det, säger Robert Rinde. Vill man vara säker, både ur ett verksamhets- och GDPR-perspektiv, bör man istället välja att kryptera känslig data och lägga den hos svenskägda bolag med serverhallar i Sverige. Här skyddar lagstiftningen både datan och företagen.
2. Hur vet jag om rätt personer har tillgång till rätt information?
Finns det tidigare anställda som fortfarande har fungerande passerkort eller till och med tillgång till olika IT-system? Förhoppningsvis är svaret nej, men med många och komplexa system finns det risk att alla listor inte är uppdaterade, med uppenbar risk för intrång eller misstag. Därför är hanteringen av identiteter, Identity Access Management, en allt viktigare del av säkerhetsarbetet.
– Det viktigaste är att man har fungerande processer och säkra rutiner för att hantera personalens identiteter, för de som börjar, slutar eller byter arbetsuppgifter. Att ha exakt rätt nivå av rättigheter och behörigheter till olika system, varken för höga eller för låga. Och det är viktigt, inte minst ur ett GDPR-perspektiv, att det är korrekta personuppgifter som är avstämda mot Skatteverkets system, säger Kalle Larsson, IT-säkerhetschef på Pulsen Integration.
Förutom risken för intrång kan det även handla om slarv som kan få stora konsekvenser, berättar han.
– Det finns exempel på hur användare, kanske utan att veta om det, haft så kallade höga priviligierade rättigheter. Då har man av misstag kunnat göra större förändringar i ett system än det var tänkt, som i sin tur påverkat hela verksamheten och varit svåra att rätta till.
Förutom att medarbetare är inloggade så har även många tjänster i system egna konton kopplat till sig, så kallade systemkonton. Även här är det viktigt att inte något systemkonto har för mycket rättigheter till de andra systemen.
– Om ett systemkonto har för höga behörigheter med stor tillgång till andra kopplade system kan det få stora konsekvenser, om det systemkontot skulle bli hackat. En inkräktare som kommer åt ett sådant konto kan få väldigt stor tillgång till känslig information. Även systemkonton är väldigt viktiga att hantera, att ett systemkonto endast har de behörigheter som krävs för att kunna utföra sin uppgift, varken mer eller mindre, säger Kalle Larsson.
3. Finns det risk för säkerhetsluckor när olika system ska prata med varandra?
I takt med att allt fler företag digitaliserar sin affär ökar också mängden av olika IT-system. Även om varje system kan ha skyddsmekanismer inbyggda så behöver de samtidigt kunna prata med andra system, till exempel CRM-system och affärssystem. Och det är just i integrationen mellan olika system som säkerhetsluckor kan uppstå och det blir än viktigare när information flödar mellan olika samarbetspartners och organisationer.
– Det är i uppsättningen av integrationer många är sårbara idag, när man ska få olika system att prata med varandra på ett säkert sätt, ofta med gränssnitt som fungerar olika och ser olika ut,berättar Kalle Larsson.
