INFORMATIONS- SÄKERHET

Transkript

1 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET INFORMATIONS- SÄKERHET MEDFÖLJER SOM TEMATIDNING I DAGENS INDUSTRI MAJ 2007 Hemlig övervakning Inom OMX finns en hemlig avdelning. I ett säkrat kontrollrum övervakas börshandeln i realtid. Man ser också till att bolag ger korrekt information till marknaden. Läs mer på sid 5 Informationens livscykel Många företag ägnar mer än 20 procent av arbetstiden åt att leta efter information, vilket bäddar för smartare informations hantering och minska resursslöseriet. SÄKERHET EN BOMB PÅ VÄG ATT BRISERA SE SID 4 Läs mer på sid 7 30 ÅR I BRANSCHEN GER RESPEKT! Content management Enterprice content management är lösningen på att hitta information som annars kan liknas vid att hitta nålen i höstacken. Läs mer på sid 10 DI_annons_lång.indd

2 2 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET INLEDNING Är du på den säkra sidan? Hur säker är du på att någon inte kommer över information från din server, laptop eller mobiltelefon? Många har en övertro på den egna säkerheten. En dyrt inköpt brandvägg eller ett krångligt lösenord Tomas Djurling. FOTO: KRISTINA SALÉN kan lura dig idag behövs ett långt mer heltäckande säkerhetstänk för att vara bra skyddad. Vi måste se i fler dimensioner och ta ett helhetsgrepp det handlar idag inte bara om tekniskt skydd utan också om utbildning och säkerhetsrutiner för att kunna hålla informationen säker. Det krävs en större balans mellan olika insatser i säkerhetsstrukturen idag då attackerna är betydligt mer sofistikerade. Tidigare bestod IT av stordatorer ofta utan kopplingar till externa nät. Få personer hade tillgång till systemen och ännu färre kände till deras svagheter. Systemen stod i datorhallar med gott fysiskt skydd och tillträdesbegränsning i form av kort och kodlås. Dagens system består ofta av många små servrar som står utspridda i olika fysiska miljöer. De flesta system är ihopkopplade med varandra i komplexa nätverk som oftast är kopplade mot partners, underleverantörer och Internet. Säkerheten i dagens datorer och nätverk består ofta bara av en brandvägg och lösenord. Kunskapen om de vanligaste operativsystemen, databaserna och applikationerna samt de brister dessa ofta är behäftade med är idag vida spritt, detta i kombination med att datorerna faktiskt är allmänt tillgängliga på nätet, och därmed sämre skyddade. En brandvägg som skydd mot de interna systemen och nätverken räcker inte. För en kvalificerad angripare är det frågan om några minuter att ta sig förbi en brandvägg oavsett märke eller modell. Angripare med stor kunskap om dagens IT-system förutom insiders är ett stort problem idag. Många är väl medvetna om dagens IT-system och dess brister, samt vetskapen hur dessa kan utnyttjas för att komma åt informationen. Det gör att vi måste tänka i nya banor för att kunna skydda oss bättre. Den budget vi har kan inte enbart läggas på tekniskt skydd. Vi behöver dela budgeten i delar. Tekniskt och administrativt skydd samt utbildning. Hoten idag är reella och ofta allvarliga om du vidtar förebyggande åtgärder idag räddar du din organisation imorgon. Tomas Djurling INFO: Dagligen skriver media om företag som utsätts för obehöriga intrång på deras hemsidor, hur affärshemligheter läcker ut eller att annan känslig information hamnar hos obehöriga. Därför ger Mediaplanet ut tematidningen Informationssäkerhet. Syftet med tidningen är att informera om de hot som finns idag och hur man bör agera för att säkra sig mot dessa. INNEHÅLL Säkerhet en briserande bomb sid 4 Hemlig övervakning sid 5 MiFID sid 6 Säkrare affärer med ISO 2700 sid 8 Kurs i säkerhet sid 9 Lita på sin nätbank? sid 10 Fysisk IT-säkerhet sid 12 Många företag köper säkerhet sid 13 Är kaos granne med IT? sid 14 INFORMATIONSSÄKERHET - EN TITEL FRÅN MEDIAPLANET Mediaplanet är världsledande inom produktion och finansiering av ämnesspecifik information genom tidningar och webb-tv Stockholm Oslo Köpenhamn Helsingfors London Zürich Madrid Amsterdam Berlin Milano För mer information, kontakta Rickard Wilton på Projektledare: Carl Dohrmann, Mediaplanet, Produktionsansvarig: Anna von der Groeben, Mediaplanet Layout: Anna Staffansson, Mediaplanet Repro: Ordbild Tryck: Bold/DNX Tryckeriet AB Text: Hans Hjelmstad om inget annat anges. För information, kontakta: Gustaf Ryding, Mediaplanet, Distribueras med Dagens Industri Synpunkter på våra tidningar: synpunkter@mediaplanet.se VILL DU KÄNNA DIG TRYGG? Fysisk it-säkerhet i fokus i 30 år! Med verksamhet i hela landet tryggar ENACO IT-miljön för sina kunder. Underhåll och byggnation av säkra rum - vår verklighet. Välkommen att besöka oss på ENACO_DI_ledare.indd

3 Essential Security against Evolving Threats Marknadsplats Europa_DI_15_dec_ :37:01

4 4 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET SÄKERHETSEXPERT Säkerhet en bomb på väg att brisera Marcus Murray. Det säger Marcus Murray, it-säkerhetsexpert på Truesec. Han menar att säkerheten är akilleshälen inom it och varnar för att hotbilden idag är en helt annan än för bara några år sedan. Över 70 procent av alla datorer innehåller skadlig kod. Det krävs därför nya former av kontroll för att hantera hoten, säger Marcus Murray. Hoten kräver teknikskifte Han är personligen trött på den ständiga diskussionen om risk kontra kostnad. Dagens hot kräver enligt honom ett teknikskifte där företag flyttar över till en modern it-infrastruktur med inbyggda säkerhetsfunktioner. Visst kostar en sådan investering, men du får å andra sidan en strukturerad och säker it-miljö som dessutom är lättare och billigare att administrera än dagens miljöer, understryker Marcus Murray. Labb testar intrång Truesec har ett labb där man för kunders räkning testar it-säkerheten och gör penetrationstester. Företaget jobbar också intensivt med alla nya säkerhetsfunktioner som finns i Microsofts nya plattformar Longhorn Server och Windows Vista. It-säkerhet handlar inte bara om antivirus och brandväggar, utan om helheten där man skapar en ordning och struktur som gör det möjligt att segmentera, övervaka och administrera hela it-miljön. Det går inte längre att basera en säker it-miljö på gamla plattformar, understryker Marcus Murray. Fjärrstyrs av okända Han berättar att han under senare tid sett en ny skrämmande trend med allvarliga intrång. Nya kunder kommer till Truesec för att de vill ha hjälp med vad de tror bara är ett virusproblem. Det blir en chock att efter kontroll få veta att deras datorer i själva verket fjärrstyrs av okända personer på internet. Genom att utnyttja beroenden i it-miljön skaffar sig utomstående fullständig kontroll över ett företags datorer och kan komma åt all data i hela it-miljön. I vissa fall har vi kunnat påvisa att intrången pågått i flera år, säger Marcus Murray. Komplexiteten är problemet Enligt Marcus Murray är problemet dagens komplexa it-miljöer med system och program som är beroende av varandra. Det är en komplexitet som har vuxit fram under många år. Säkerhetsproblemen blir inte heller mindre av alla nya trådlösa nätverk. Ingen kan längre överblicka alla beroenden i it-miljöerna. Därför är det idag lockande för illasinnade att leta efter säkerhetshål i program, sårbarheter som de kan utnyttja för intrång, säger Marcus Murray. Letar säkerhetshål Bra skriven kod innehåller en bugg per tusen rader. Då är det en tankeställare att dagens program innehåller miljontals rader kod. Sårbarheter finns i alla program, bland annat i alla webbläsare. Genom att kapa webbläsare och webbservrar kan man sedan ta över datorer. Verktyg finns det gott om ute på Internet, till exempel för att bygga förändrade trojaner som antivirusprogram inte upptäcker och hämta verkanskod och skadlig kod för att attackera alla slags servrar. Det räcker med att någon använder en dator i det interna företagsnätet för att surfa på Internet. Besöker personen då en webbplats som har skadlig kod så är det redan för sent, säger Marcus Murray. Genom att utnyttja beroenden i it-miljön skaffar sig utomstående fullständig kontroll över ett företags datorer. Gör intrång på fem minuter Lite provokativt lovar han att visa hur han på fem minuter kan ta sig in i ett storföretags interna nätverk. Först skickas ett mejl till personer på företaget för att locka någon att besöka en webbplats som har skadlig kod. När personen väl besöker hemsidan fryser skärmbilden och hon eller han får starta om sin webbläsare. Det är nog inte många som i detta läge anar oråd och ringer polisen. Vad som egentligen har hänt är att en extern dator har tagit över personens dator och skapat ett master-slav-förhållande. Genom att utnyttja beroenden mellan datorer och system i företagsnätet, visar Marcus sedan i flera steg hur han tar över även systemadministratörens dator och får tillgång till servrar som innehåller lösenord, kataloger, kryptonycklar och domännamn. I processen behöver han inte knäcka lösenord och kryptonycklar, utan hittar istället alla hashar, lås, som skapas vid inloggningar. Tack vare en persons besök på fel webbplats har jag sedan på fem minuter kunnat komma in i nätverket och ta över. Jag kan valfritt välja vilken dator i nätverket jag vill vara och syns inte själv, säger Marcus Murray. IT Säkerhet - En illusion? Vet Du vilken säkerhet Du har i din IT-infrastruktur? Vet Du hur skyddad din verksamhet är? Du är inte ensam om att vara osäker, vi vet att det finns brister i säkerheten och att angreppen blir mer avancerade. Om Bitsec Bitsec har de bästa IT-säkerhetsexperterna i en kreativ miljö och befinner sig i utvecklingens yttersta framkant. Vi har utvecklat unika metoder för att upptäcka brister i säkerheten och kan biträda med allt från förebyggande insatser till att utreda inträffade incidenter. Tillsammans med våra samarbetspartners täcker vi allt, från management till djup teknik och från förebyggande till konsekvenshantering. Bitsec kan stödja Er i Ert arbete med att utveckla, anpassa och granska olika säkerhetslösningar. Vi kan även analysera och utreda IT-relaterade hot och risker och därigenom hjälpa Er i förebyggande syfte eller om en oönskad händelse inträffat. Vår tjänsteportfölj innehåller allt från säkerhetsgranskning, penetrationstest, ITsäkerhetsrevision till avancerad kodgranskning och incidentutredning. FoU Bitsec har skapat en forsknings- och utvecklingsenhet för att analysera nya hot och sårbarheter. Analyser och förvärvad ny kunskap utgör grunden för Bitsecs verksamhet. Vi utvecklar egna verktyg för att hjälpa våra kunder att skydda sig mot skadlig kod och andra hot. Succén med Kernel Wars fortsätter.. Bitsec representeras av fyra forskare från FOU teamet som kommer att hålla föredrag vid USA:s två största IT-säkerhetskonvent under Augusti 2007 Bitsec kan hjälpa Er på ett kostnadseffektivt sätt, tack vare vår unika kompetens. För oss är hög kompetens - Stor erfarenhet och Kundens förtroende viktiga ledord. Bitsec AB tillhandahåller kvalificerade och produktoberoende konsulttjänster inom informationssäkerhet och avancerad teknisk säkerhet. Vi hjälper företag och myndigheter med höga krav på säker hantering av information. Bitsec har mångårig erfarenhet från kvalificerade uppdrag i komplexa och känsliga miljöer. Kontakta oss Telefon : E-post: info@bitsec.se Web:

5 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET 5 KONTROLLRUM Inom OMX finns en hemlig och från den vanliga verksamheten helt separat avdelning. I ett eget säkrat kontrollrum övervakas här börshandeln i realtid. Man följer också noga att noterade bolag ger korrekt information till marknaden. Här pågår hemlig övervakning Vi är OMX hemligaste avdelning. Det handlar om förtroende. Ceasars hustru får inte misstänkas! Det säger Anders Ackebo, chef för handels- och bolagsövervakning på OMX Nordiska Börs. Hemligt och oberoende Därför arbetar vi helt oberoende av OMX vanliga verksamhet. Vår personal får inte heller handla aktier över huvudtaget, understryker Anders Ackebo. OMX äger börser i Norden och Baltikum och levererar tekniklösningar och tjänster till finansiella företag över hela världen. OMX Nordiska Börs är Europas sjätte största och har ett samlat marknadsvärde på runt EUR 930 miljarder. Själva talar OMX om att man förser den globala marknaden med handelstimmar varje år. OMX-börserna har även en viktig roll att övervaka att handeln går rätt till och att noterade bolag lämnar korrekt information. Stockholmsbörsen rapporterar misstänkta avvikelser till Finansinspektionen, följer utredningar noggrant och skickar ofta även in egna revisorer. Våra rapporter är ofta upprinnelsen till utredningar som till exempel den nuvarande utredningen på Carnegie, säger Anders Ackebo. Övervakar i realtid För övervakningen använder OMX-börserna ett system som kallas SMARTS. Det systemet är i sin tur länkat till två av OMX handelssystem, CLICK XT för optioner och terminer och SAXESS för aktier, obligationer och andra värdepapper. SMARTS används för att följa upp noteringsfrågor, övervaka handeln i realtid och läsa in all information som bolag lämnar. Vi följer i realtid allt som händer i handelssystemen: papper som handlas, order som läggs, avslut som görs och publicerade pressnyheter och all annan information som kan vara kurspåverkande. I SMARTS registreras dessutom tidpunkter för alla händelser, berättar Anders Ackebo. Rapporterar avvikelser SMARTS har en avvikelserapportering där vi på sekunden kan se vilka ordrar som läggs, av vem och hur stora poster det rör sig om. Systemet använder en samling larmparametrar för att spåra avvikelser. Till samlingen lägger vi hela tiden till nya larmparametrar. Anders och hans personal tittar på många saker. De kan direkt se om kursen för en aktie plötsligt rör sig onormalt. En mäklare kan plötsligt börja handla stort i en aktie han eller hon inte handlat i tidigare. SMARTS visar intensiteten i handeln av en aktie. Hur många aktier handlas? Hur stora är enskilda affärer? Hur såg handeln i aktien ut förra året, igår eller för en vecka sedan? Ibland tar man direktkontakt med en mäklare för att få en förklaring till hans eller hennes affärer. Det behöver inte röra sig om något oegentligt utan mer om att ge goda råd till en mäklare med otillräckliga kunskaper. Spårar insideraffärer Inför kommande stora affärer som uppköp eller fusioner är bolag skyldiga att rapportera till Stockholmsbörsen. Sådan information får inte läcka ut i förväg så att någon får ett informationsövertag på marknaden. Övervakningsavdelningen tittar därför mycket noga Anders Ackebo chef för handelsoch bolagsövervakning på OMX Nordiska Börs. på hur affärer sker i en sådan aktie tiden före bolaget offentliggör informationen. Upptäcker vi en plötsligt ökad handel i en aktie kan vi kräva information från bolaget. Vi ser också om det sker internhandel för att otillbörligt påverka kurser. All information från handelssystemen kan vi samköra i SMARTS för att se mönster. Vi kan till exempel se mönster i handeln i derivat i underliggande aktier. Anders Ackebro berättar att man tittar på en rad saker för att spåra misstänkt insiderhandel. Det är inte bara mönster i själva handeln som är intressanta, utan också vilka personer som kan vara inblandade i handeln. I sådana fall har man långtgående möjligheter att begära information från värdepappersinstitut som är inblandade i affären. Misstänkta avvikelser rapporteras regelmässigt till Finansinspektionen. Hur är det med säkerheten? All datatrafik är krypterad och all annan information vi använder oss av är hemlig. Det finns vattentäta skott mellan oss och OMX övriga verksamhet där de har rollen som kommersiell börsaktör och leverantör av tekniska system för handel, avslutar Anders Ackebo. Dags att avmaska usbminnet? Forskare på Sophos varnar för en ny mask som sprider sig via usb-minnen. Just denna mask är relativt ofarlig men visar hur usb kan användas för spridning. När masken infekterat en dator skapar den en dold fil som kallas autorun.inf. Masken sprider sig automatiskt till nya usb-minnen som kopplas in i datorn. Masken har fått smeknamnet silly worm. Detta är ett första harmlöst försök, men forskarna varnar för att det kan vara ett nytt sätt att sprida spionprogram och rootkits på. Källa: InfoWorld/Sophos blogg Risker med hackertävling Vid en hackertävling på mässan CanSecWest vann nyligen Dinom Dai Zovi dollar efter att ha lyckats göra intrång på en standardinstallation av Mac OS X. Analysfirman Gartner menar att sådana arrangemang är ett hot mot säkerheten. Apple har sedan dess tagit fram en uppdatering som täpper till hålet. Gartner medger att det är värdefullt att söka efter sårbarheter, men menar att det är oansvarigt att hålla offentliga hackertävlingar Källa: Computerworld By Luke Ellis Nya kortbedrägerier okända personer har mer är oroade för att kommit åt känslig grooming? IT-brotten Skimning eller smygkopiering, av engelskans skimming, en form av kontokortsbedrägeri där någon olovligen använder en speciell avläsare för att kopiera innehållet i magnetremsan på ett kostar oss miljarder. kontokort. Denna information läggs sedan över på ett annat kort. Kontokortsbedrägerierna genom skimming ökar kraftigt. Be- Bedragaren använder kortet för att betala med och räkningarna drägerier med kontokort ökar kraftigt. Den vanligaste formen hamnar hos den ursprungliga ägaren. infor- kallas skimming, vilket innebär att informationen på magnetremsan som finns på ditt kort kopieras över till ett annat kort. -En mer avancerad form av skimning är att montera speciell elek- tronisk apparatur, skimningapparat, på en bankomat eller annan Skimmingen kan ske på t ex en restaurang eller i en butik. Du lämnar ifrån dig kortet för att betala och vet inte om ditt kort uttagsautomat och sedan läsa av innehållet på bankomatkortet kopieras. Bedragaren använder det falska kortet för att göra köp Nexus är Sveriges ledande aktör när det handlar om informations- och IT-säkerhet, och erbjuder både tjänster och produkter till kunder som ställer höga krav på säkerheten. Vi skyddar själva informationen, inte bara maskinerna den lagras i. Kombinationen av en säker identitetshantering, en väl genomtänkt Läckan kostade dem över 130 mkr. Storbankernas samt den speciella koden som behövs. Därefter gör man ett falskt kort och tar ut pengar från någon annans bankkonto. Skimming, phishing eller ekono- Identitets- olämpligt beteende som inte kontentan är att sånt här kan tolereras hos anställda måste stoppas tidigt innan stölder är största hotet Identitetsstölder tar upp allt mer resurser av polisens arbete. Polisen vet inte om den här typen av brott ska klassas som ekonomiska brott eller brott mot privatperson. användarpolicy och kryptering ger en säkerhetsbas som alla företag och myndigheter borde ha. Våra lösningar implementeras dessutom på ett kostnadseffektivt sätt och utan att störa den dagliga verksamheten. Vill du veta mer eller kanske bli en av oss, gå in på

6 6 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET NY SVENSK LAG Snart vet alla vad MiFID är Hört om MiFID? Tänkte väl det. Men i finansvärlden och på Finansdepartementet och Finanspektionen är det just nu det hetaste ordet. Den 1 november 2007 träder en ny svensk lag om värdepappershandel i kraft som konsekvens av MiFID. Det hela började med att Europaparlamentet och rådet den 21 april 2004 antog ett nytt direktiv (Markets in Financial Instruments Directive, MiFID). Syftet med MiFID är att öka konkurrensen på europeiska värdepappersmarknader, stärka tillsynen och erbjuda ett gott skydd för alla som investerar i finansiella produkter. Lag om värdepappershandeln MiFID föreskriver hur värdepappersföretag ska organisera och bedriva sina verksamheter. Alla transaktioner ska dessutom rapporteras till utvald myndighet i varje medlemsland. I Sverige blir det Finansinspektionen, FI, som hanterar denna rapportering. Sammanfattningsvis kan man säga att MiFID ska skydda privatpersoners handel med värdepapper genom att öka både genomlysning och konkurrens, säger Fredrik Hjorth, MiFI Consulting. Han berättar att det inte längre kommer att vara ett krav att handla Ericsson B på Stockholmsbörsen utan det kan finnas andra alternativ. Instituten måste informera kunden innan handeln om exakt vilka riktlinjer för handel man har och hur man planerar för ett erbjuda kunden bästa genomförande av en order. Kunden ska sedan utifrån sin avräkningsnota kunna få bekräftat hur uppdraget genomfördes. Förseningar accepteras inte Alla aktörer måste också inse att inga förseningar med införandet av MiFID kommer att accepteras. Instituten blir skyldiga att innan en affär berätta om konsekvenser och ta reda på om köparen har tillräcklig kompetens, fortsätter Fredrik Hjorth. Han berättar att kunder kommer att klassificeras utifrån nya kriterier och deras kunskap ska stämmas av mot vilka typer av transaktioner de kan göra. Det finns övergångsregler för att göra detta klart fram till sista oktober. Blir ett helt nytt spel Från den 1 november blir det möjligt att handla samma instrument på andra börser än Stockholmsbörsen. Det menar Fredrik Hjorth kommer att ändra spelreglerna på marknaden ordentligt. Fredrik Hjorth, MiFI Consulting. Idag är det hastighet som gäller där avancerade algoritmer för trading styr automatiserad läggning av köp- och säljorder. Istället för ett val får vi 20 val. Efter den 1 november gäller det inte längre att springa snabbast utan mer att veta vart man ska springa. Snabbhet ersätts av flexibilitet. Det gäller att veta vilka val man kan göra, och att utvärdera dem rätt blir avgörande. När börsmonopolet försvinner öppnas marknaden för andra aktörer och småbörser som ser möjligheter, menar Fredrik Hjorth transaktioner per dag Alla transaktioner ska rapporteras in till FI. För detta ändamål bygger FI tillsammans med de nordiska länderna och Litauen ett eget TRS, Transaction Rapport System, för inrapporteringen från marknaden och en automatiserad övervakning av värdepappershandeln. Vi får en applikation och ett gemensamt gränssnitt för Norden och Litauen. I starten kommer vårt TRS att hantera transaktioner per dag. Taket för antal transaktioner är dock mycket högre, säger Helena Haukeland, ansvarig för TRS på Finansinspektionen. Till en början tar TRS transaktioner med finansiella instrument som är upptagna till handel på marknadsplatser som Stockholmsbörsen och NGM, Nordic Growth Market. I ett nästa steg kommer det att gälla all värdepappershandel. FI får rapporterna på kvällen efter en handelsdag och det finns olika sätt att rapportera till FI på. Det går att skicka rapporter som filer med ftp, maskin-tillmaskin eller uppladdning från webben. Manuell hantering är möjlig för små bolag som har ett mindre antal transaktioner, säger Helena Haukeland. Effektiv tillsyn med hög säkerhet På FI är större delen av utvecklingen gjord. Applikationen för TRS är så gott som klar. Det som återstår är funktionen eller gränssnittet för att skicka och ta emot data mellan andra länder i inom EU. Med MiFID och TRS får vi en effektivare tillsyn och handel över gränserna. Systemet flaggar för avvikande beteenden och om vissa kunder behandlas sämre. Säkerheten är mycket hög eftersom vi kommer att ha en databas med känslig information om personer, pengar och affärer. Vår lösning uppfyller standarder och är godkänd av marknaden. Allt skickas krypterat, avslutar Helena Haukeland. Hemsida: ModuSec PyroFoam System Paneler för byggnation av säkra IT-miljöer. Testade för 90 minuters säkerhet mot brand, vatten, rök, gas och elektromagnetisk strålning. ModuSec är det enda modulära systemet som är godkänt enligt SEAP 2 och 3 för extra skydd mot skador förorsakat av explosioner. Enaco Sverige AB är Remtech Nordic AS återförsäljare i Sverige. Hemsida:

7 FOTO: ANNA STAFFANSSON Forskning visar att en typisk organisation med anställda slösar bort mer än elva miljoner dollar per år på att manuellt hantera och lagra dokument, säger Frederik Søndergaard-Jensen, försäljningschef för Content Management på IBMs huvudkontor i New York Ta kontroll över informationens hela livscykel Om tre år kommer världens digitalt lagrade information att fördubblas var elfte timme. Redan idag hanterar globala företag mer än 35 miljarder e-postmeddelanden och drygt en miljon pappersdokument varje dag. Med den volymen i åtanke, är det kanske inte så märkligt att många företag redan nu tvingas ägna mer än 20 % av sin arbetstid åt att leta efter information. Med hjälp av smartare informationshantering kan företag åtgärda dagens resursslöseri, samtidigt som de bäddar för framtidens ökade digitala informationsflöde, menar IBM. Färska siffror från analysföretaget IDC visar att lagringen skjuter i höjden: förra året lagrade vi 36 gånger mer elektronisk information än vad vi gjorde Flera faktorer driver utvecklingen, exempelvis nya regelverk, att fler dokument blir digitala samt en förändrad syn på lagring. Utan ett effektivt system för att hålla ordning på informationen blir lagringssituationen snabbt ohållbar lösningen är Enterprise Content Management. För ett företag finns här allt att vinna: ökad effektivitet, bättre kundservice och anpassning till gällande regelverk. Ostrukturerad information Problemet heter ostrukturerad information. IBM räknar med att 85 % av den totala informationen i ett företag inte finns lagrad i logiska databaser och därmed inte är sökbar. Det kan vara mejl, bilder, skannade dokument eller ljudfiler som ofta ligger lokalt på användarnas datorer. Nästan all kommunikation sker idag genom ostrukturerad information och det kostar företag enorma summor varje år. Forskning visar att en typisk organisation med anställda slösar bort mer än elva miljoner dollar per år på att manuellt hantera och lagra dokument, säger Frederik Søndergaard-Jensen, försäljningschef för Content Management på IBMs huvudkontor i New York. Den enorma summan kommer sig av att en genomsittlig person förlorar upp till sex veckors arbetstid varje år på att leta efter information på arbetsplatsen. Effektiviserar arbetet I dagsläget går en femtedel av arbetstiden på ett vanligt företag åt till att söka efter information som behövs i det löpande arbetet. För varje minut den tiden minskar, ökar effektiviteten och därmed den potentiella vinsten för företaget. Även affärskritiska beslut kräver att rätt information finns tillgänglig snabbt. Dagens företag spelar på en mycket konkurrensutsatt arena. Ett företag som kan snabba på sina beslutprocesser genom att drastiskt minska tiden det tar att sammanställa beslutsunderlag, kommer också att gå framåt snabbare. Det är en stor konkurrensfördel, säger Frederik Søndergaard- Jensen. Öka kundservicen Ett av de viktigaste skälen för ett företag att hålla koll på sin information är servicenivån. Det skarpaste vapnet organisationer har i kampen om kunderna är service. Den som erbjuder bäst service drar till sig och behåller fler kunder än konkurrenterna. Nyckeln är snabbhet och noggrannhet. Rätt system för informationshantering ger då företag stora fördelar, eftersom kundernas information hanteras på en bråkdel av den tid det tar om det görs manuellt, samtidigt som risken att viktiga papper tappas bort minimeras. Följ lagar och regler Det ställs allt högre krav på att företag lever upp till bestämmelser och lagar kring hur information ska hanteras, något som på engelska sorterar under samlingsbegreppet compliance. Mot bakgrund av flera stora skandaler, som till exempel Enron, är USA en föregångare inom området. Mycket tyder på att även svenska företag inom kort kommer att behöva efterfölja olika regelverk av den här typen. Vi har utvecklat våra system för hantering av innehåll så att företag kan efterleva amerikanska marknadsbestämmelser och lagar. Svenska företag som använder IBMs lösningar kommer att vara väl föreberedda för framtiden, säger Frederik Søndergaard-Jensen. IBM marknadsledande För att möta marknadens allt högre krav på system för innehållshantering och för att kunna leverera heltäckande tjänster, förvärvade IBM Software group företaget FileNet i augusti Marknadsanalytiker ger nu IBM över 24 % av marknaden för innehållshantering. Kombinationen av IBMs och FileNets produktportföljer garanterar att våra kunder kan maximera effektiviteten i sitt arbete, öka sin servicenivå mot kunderna samt optimera sin infrastruktur för efterlevnad av marknadsbestämmelser och lagar, säger Frederik Søndergaard-Jensen. Den erfarenhet och expertis IBM nu besitter, borgar för de mest kompletta lösningarna för varje enskilt företags behov av informationshantering. Vi har mer än kunder som ger daglig feedback på våra system. Vi har också utvecklare dedikerade åt att expandera och förfina våra lösningar, avslutar Frederik Søndergaard-Jensen.

8 8 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET SKYDDA INFORMATION Informationssäkerhet är egentligen förmågan att skydda information oberoende av media. Media som t ex dokument, databaser etc. Men du och jag är också media. Det intressanta är att media hanteras av olika tekniker, som i sin tur styrs och påverkas av människor. Vi är följaktligen centrala för att skydda den information som finns i våra organisationer. För att nå informationssäkerhet måste det finnas en helhetssyn där organisationen och dess verksamhet är utgångspunkten. Något som kräver ledningens engagemang. En bra vägledning för att skapa en helhetssyn är ISO standarden för informationssäkerhet, ISO serien. I dagligt tal kallar vi den LIS, ledningssystem för informationssäkerhet. Säkrare affärer med ISO TEXT: JAN BRANZELL Pro-aktivitet Att människan påverkar informationssäkerheten är inget nytt. Men fortfarande ser många företagsledningar informationssäkerhet som en ren IT- fråga. Med hänsyn till att tekniken ständigt förändras och att de största riskerna är kopplade till oss människor, är en sådan syn oerhört farlig. Om man skall komma till rätta med informationssäkerhet vill jag betona fyra saker: 1. Ledningens långsiktiga engagemang 2. Allmän medvetenhet 3. Tydliga ansvarsförhållanden 4. Overdrawing av informationstillgångar ISO serien stödjer dessa punkter och möjliggör ett arbete där tekniken anpassas efter verksamhetens behov snarare än att tekniken styr verksamheten. Förutom ökad effektivitet innebär det också ett proaktivt tänkande när det gäller informationssäkerhet. Foto: Anders Rodrick Jan Branzell, VD Veriscan Security, är co-editor för ISO (Införande) och var även ansvarig för den svenska expertgruppen för LIS standarderna vid det internationella ISOmötet i Ryssland i maj. Affärsnytta Vad är affärsvinsterna med att arbeta med informationssäkerhet i allmänhet och med ISO serien i synnerhet? Förenklat kan jag peka på tre nyttoområden: - Minskade kostnader pga. av incidenter. Kan man till exempel undvika att få sitt varumärke omnämnt på ett negativt sätt i media har så kan man med säkerhet säga att investeringen lönat sig. - Tillit för affärer. Genom att följa standarder och visa att man hanterar information på ett säkert sätt ökar både tilliten och möjligheten att göra affärer. - Ordning och reda ger effektivitet. Ordning gör att investeringsalternativ kan utvärderas så att pengar läggs där det behövs bäst. Man slutar släcka bränder och fokuserar istället på varför det brinner Överblick och terminologi Prel Översiktsstandard som beskriver hur serien hänger samman och gemensam terminologi Guide för IS (tidigare 17799) Publicerad Guidestandarden som beskriver hur man kan skapa bra informationssäkerhet (IS) Mätning Prel Guidestandard som beskriver mätningar som stöd till ledningens kontroll. ISO serien När man pratar ISO-standarder för informationssäkerhet refererar man ofta till (numera 27002) och Men ISO serien kommer att omfatta fler standarder. Den ökade omfattningen gör att det kommer att finnas mer stöd för de organisationer som vill jobba enligt standarden. Ytterst syftar standarderna till en certifiering, precis som ISO 9000 och ISO 14000, certifiering är dock inget krav. Arbeta enligt ISO Risker med information är något som ledningen för en organisation måste hantera. Samtidigt som frågan är viktig för ledningen är det inte hela sanningen. Information finns överallt och berör alla. Centralt för LIS standarden med krav Publicerad Krav standarden som beskriver processen och ligger till grund för certifiering Införande Prel Guidestandard som beskriver hur man kan införa IS enligt och Risk Prel Guidestandard som beskriver risk hantering kopplat till informationssäkerhet (IS). Bilden visar huvudstandarderna i den kommande ISO serien. Ytterligare standarder är planerade, till exempel sektorspecifika standarder. att lyckas och kunna jobba enligt standarden är att ledningen synliggör vikten av att aktivt arbeta med informationssäkerhet (därav ledningssystem för informationssäkerhet, LIS). Om medarbetaren vet att ledningen tycker säkerhet är viktigt blir det enklare att nå god informationssäkerhet och leva upp till intentionerna i ISO 2700-serien. Genom att arbeta utifrån standarden kan ledningen till exempel utse ansvariga och på så sätt lägga grunden för informationssäkerhetsarbetet i verksamheten. Var stoppar du helst din skräppost? a) I en särskild mapp i datorn, så att jag vet var jag har den. b) Stoppa den? Jag älskar förmånliga erbjudanden! c) Innan den når datorn. DwOSattacker kriminaliseras Nya hot dolda och tysta Spam svärtar ner företagsrykte SpamDrain stoppar skräpet innan skräpet stoppar dig Letar du efter ett webbaserat skräppostfilter som verkligen stoppar spam och virus innan de når dig och ditt nätverk? Fråga inte någon av våra kunder de har troligen redan glömt vad skräppost är. Prova SpamDrain gratis redan idag. Det är det säkraste sättet att stoppa spam och virus. Kärt (?) barn har många namn: dos-, överbelastnings- eller tjänstenekningsattacker är några av dem. Dos står för Denial of Services och inträffar när en server utsätts för en samlad samtidig överbelastning. Riksdagen har nu fattat beslut om att dos-attacker från och med den första juni kriminaliseras. Dos-attacker kommer därmed att falla under brottet dataintrång. Beslutet är i linje med liknande diskussioner i övriga EU. Gartner spår att år 2008 kommer hela 40 procent av alla organisationer att vara måltavla för cyberbrott som har pengar som drivkraft. De nya hoten är dessutom dolda och tysta där olika slags blandade hot gömmer sig i datorer och nätverkssystem utan att märkas. Exempel är alt från zombies som hjälper cyberbrottslingar att kontrollera datorer för olagliga aktiviteter till bots som är program med vilka inkräktaren får full kontroll över angripna datorer och simulerar mänsklig aktivitet på nätet. Enligt Doug Bowers på Symantec används spam allt mer för att förtala företag. Redan tidigare snurrade en rad kedjebrev på Internet med dom mest fantastiska påhittade historierna om stora ofta multinationella företag. Enligt Symantec har e-post tidigare dock inte använts för förtalskampanjer i så organiserad form som nu. Idag är det ofta en betalande avsändare som vill skada något specifikt företags varumärke. lugn och ro i inkorgen Källa: Säkerhetscentret.se Källa: CSO Sweden Källa: Eweek

9 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET HOTBILDEN Kurs i säkerhet för offentlig sektor Den juni arrangerar Dataföreningen Kompetens en kurs i informationssäkerhet särskilt framtagen för offentlig sektor. Behovet är stort, enligt en säkerhetsexpert från underrättelsetjänsten. TEXT: CHRISTER S. BERG H Informationssäkerhet för offentlig sektor juni i Stockholm. Program och anmälan på se/infosak-offentlig. otbilden mot organisationer har radikalt förvärrats de tre senaste åren. Det handlar inte längre enbart om dataintrång i systemen via servrar. Nu används även social engineering systematiska tekniker för att manipulera människor för att stjäla eller komma åt och manipulera information. Syftena bakom dataintrången är också allvarligare än tidigare, hävdar säkerhetsexperten Tomas Djurling som har över 17 års erfarenhet från den svenska underrättelsetjänsten. Detta gäller inte minst den offentliga sektorn, som blivit allt mer utsatt i takt med IT-baserad effektivisering och förbättrad service. Organiserad brottslighet, aktivister, industrispioner och ut- ländska säkerhetstjänster behärskar sofistikerade metoder som kan komma åt och sabotera samhällskritisk information. Det kan vara för psykologiska operationer eller spionage. Aktuellt just nu är cyberkriget mellan Estland och Ryssland, vilket drabbat estniska myndigheter och företag hårt. Även om fler blivit mer medvetna om behovet av informationssäkerhet, är det tyvärr fortfarande få som inser hur allvarliga hoten är, enligt Tomas Djurling. Kunskaperna är också dåligt spridda i organisationerna. Därför arrangerar Dataföreningen Kompetens en tvådagars grundutbildning i informationssäkerhet den juni, riktad till säkerhetsansvariga samt verksamhetsoch IT-ansvariga inom offentlig sektor. Syftet är att ge de grundläggande kunskaper i informationssäkerhet med fokus på hotbilder och hur dessa ska bemötas i praktiken. Behovet är stort, nya lagförslag Säkerhetsexperten Tomas Djurling som har över 17 års erfarenhet från den svenska underrättelsetjänsten. skärper kraven på kompetens och engagemang i säkerhetsfrågor hos ledningar för större myndigheter och företag. MicroSaver Introducerar en ny nivå av säkerhet! Botnets allt smartare 94% av alla små och medel stora företag har fått upp leva stöld* hur mycket värdesätter ni informationen på er arbetsplats? *IDC Research 2005 Kensington är världsledande på vajerlås till datorer och skapare av Kensington låshålet. För att underlätta administrationen på ert företag går MicroSaver att beställa i skräddarsydda lås system, t.ex. kan IT chefen ha en huvudnyckel som låser upp alla anställdas lås. Ledande i Norden inom informationssäkerhet Våra mer än 100 kvalificerade säkerhetsuppdrag bl. a. för Försvarsmakten, FMV, Polisen, kommuner och landssting visar detta. För mer information, besök vår hemsida För mer information besök; Kensington finns hos välsorterade återförsäljare av datortillbehör, t ex: annons1.indd 1 Det går att komma långt med enkla medel, bara att göra organisationen mer medveten betyder mycket, säger Tomas Djurling, som är huvudlärare för kursen. Bland övriga lärare återfinns Martin Gustafsson, säkerhetskonsult hos Secode, Kent Larsson, informationssäkerhetschef i Stockholm Stad, säkerhetskonsulten Lennart Sandell och Pege Gustafsson, expert på incidenthantering. Program och anmälan finns på Dataföreningen Kompetens har ett heltäckande utbud av utbildningar inom säkerhet, med bland annat kurser i strategisk-, tekniskoch operativ informationssäkerhet samt en certifiering av rollen informationssäkerhetsarkitekt :54:47 Botnets är stora nätverk av utnyttjade datorer som bland annat används för spamutskick och överbelastningsattacker. Nu verkar näten bli smartare genom användning av kryptering och en övergång till peer-to-peer-arkitektur (P2P-nät). Tidigare har botnets varit hierarkiskt organiserade och det har då gått att slå till mot toppen. P2P-nät är däremot svåra att ta ned av samma skäl som medieföretag har problem med sådana nät. Källa: Eweek

10 10 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET NÄTATTACKER Kan man lita på sin nätbank? I dessa dagar ställer sig många den frågan. Oron skapas mycket av braskande rubriker i pressen. För vem har inte läst om nätattackerna mot Nordea och den nya korthärvan med tusentals stulna kontokortsnummer? Egentligen är banksäkerheten fullt tillräcklig och kunder behöver inte känna sig bekymrade. Av vad som hittills är känt har ingen kund blivit ekonomiskt drabbad. Så länge man har följt bankens instruktioner brukar banker stå för skadan vid intrång, säger Mårten Trolin, Risk & Business Advisory Services, Ernst & Young. Banker vana att bedöma risk Mårten Trolin om någon borde veta. Han har tidigare doktorerat på kryptografi, bland annat rörande anonyma nätbetalningar. Han har även arbetat med olika projekt på kortbetalningsföretag. Mårten Trolin understryker att banker har en månghundraårig tradition av att affärsmässigt bedöma risker mot kostnader. Banker är vana att hitta den rätta risknivån. Sedan länge gör banker kreditförluster på bolån och kreditkort. Nätbanker är därför bara ytterligare ett område för riskanalys, säger Mårten Trolin. Oproportionerlig säkerhet All bankverksamhet är ju förknippad med risker för kreditförluster. Bankerna väljer därför en för dem affärsmässigt acceptabel risknivå där de balanserar risk för kreditförluster mot kostnad för säkerhet. Nätbankernas säkerhet är därför egentligen fullt tillräcklig. Det är snarare stora rubriker i media som i förlängningen kan tvinga banker att skaffa sig oproportionerligt stor säkerhet i just nätbankerna. Det är ju plötsligt kundförtroende och varumärke som står på spel, understryker Mårten Trolin. Enligt Mårten Trolin borde därför marknadschefer på bankerna bidra med en del pengar från sina budgetar, nu när säkerheten blir en viktig del av marknadsföringen. Han tror att alla stora rubriker kring nätbanker nog beror på att Mårten Trolin Ernst & Young. Foto: Ernst & Young det rör sig om ny teknik. Mårten Trolin vill gärna lyfta fram att nätbankernas säkerhet dessutom är så mycket mer än bara kunders inloggning. Ingen kommer långt Banksäkerheten bygger på system med en rad länkar i långa kedjor, allt från kunders inloggningar till bankernas innersta kärnsystem. Ju mer kritiskt ett system är desto fler säkerhetssystem finns desto fler steg krävs. Det räcker inte att komma förbi det yttre skyddet. En inkräktare måste även ta sig förbi ett antal andra barriärer för att nå dom kritiska systemen. Även om en inkräktare lyckas med ett steg, så kommer han inte vidare. Kärnsystemen har en omfattande säkerhet med en rad kontroller och tekniska skydd. Kryptoskyddet är också omfattande. Om man försöker knäcka den delen av systemet krävs det för vissa krypton flera gånger universums ålder för att knäcka kryptonycklarna med dagens mest effektiva metoder, berättar Mårten Trolin. Han betonar att banker av tradition är mycket duktiga på att upptäcka onormala beteenden och transaktionsflöden, som till exempel att ett sedan länge orört konto plötsligt har mycket pengar. Den interna säkerheten är också hög i bankerna, bland annat med en tydlig rolluppdelning vad personer får göra. En och samma person får inte hantera och till kund skicka både pinkod och kort- och kontonummer. En ensam person kan inte flytta kryptonycklar det kan bara göras av många tillsammans. Ingen ensam person får heller kunna göra uppdateringar av känslig information. Hur ser framtiden ut? Det kommer nya inloggningsmetoder. Kunders krav på ökad säkerhet kommer att leda till minskad användarvänlighet när inloggningar blir krångligare. Mårten Trolin berättar vidare att smarta kort nu kommer på bred front. Här är det viktigt med PCI-kraven, certifieringskraven för kortutgivare och handlare. Hur och var får kortinformation lagras? Vilka kommunikationsförbindelser ska vara säkra och krypterade? Vilka handlare kan certifieras? Idag är det billigt att ge ut smarta kort och infrastrukturen börjar finnas på plats. Betalkort baserade på smarta kort har ju funnits i mer än tio år, men av affärsmässiga skäl har banker tidigare hållit kvar vid billigare kort med magnetremsa. Det är åter den klassiska riskananalysen. Kostnaden för kortbedrägerier har varit lägre än kostnaden för att gå över till smarta kort. För en övergång till smarta kort innebär ju, förutom själva korten, även byte av kortterminaler och bankomater samt utveckling av ny programvara och genomförande av tester, avslutar Mårten Trolin. Foto: IBM Med Enterprise Content Management kan företag blir mer kundorienterade, säger Lars Åkerstrand, Försäljningschef på IBM Software Group. Content Management ger konkurrensfördelar Organisationer producerar allt mer information för varje dag som går. Utmaningen att snabbt hitta relevant information kan ibland liknas vid att finna nålen i höstacken. Lösningen heter Enterprise Content Management. Vi har talat med Lars Åkerstrand, som är försäljningschef på IBM Software group. Fakta 85 % av all information på ett företag eller i en organisation är ostrukturerad. Den ostrukturerade informationen växer med mer än 80 % varje år Vad är Enterprise Content Management? Enterprise Content Management (ECM) är en lösning för att skaffa sig en överblick och ta kontroll över informationsflödet i en organisation. Inom Content Management hanteras ostrukturerad information, såsom mejl, bilder, scannade dokument och ljudfiler. Det är information som kan lagras i ett gemensamt centralt arkiv och därmed bli tillgängligt och sökbart för den person som har behörighet att komma åt den. Exempelvis kan fakturor arkiveras automatiskt i ECM-lösningen och du kan gå in i arkivet, söka på fakturanummer eller kundnummer och snabbt få upp relevant information för din sökning. ECM-lösningen gör all information tillgänglig från ett och samma ställe genom den Källa: IBM lagrade metadatan. Rent konkret kan informationen vara på ett centralt arkiv eller i en distribuerad arkivlösning. Vem tjänar på att implementera ECM i verksamheten? Alla organisationer oavsett storlek som hanterar affärskritisk information har stor nytta av en ECM-lösning. Dokumenten kan användas i ett arbetsflöde i ECM för att automatisera arbetsprocesser. Då finns det stora möjligheter för effektivisering och pengar kan sparas, säger Lars Åkerstrand. Hur kan ECM ge konkurrensfördelar? Idag är konkurrensen om kunderna knivskarp. För att vara långsiktigt framgångsrik måste företag ha ett kundorienterat synsätt och fokusera kundens behov. Produkter och tjänster kan endast ge kortsiktiga konkurrensfördelar, då de över tiden kommer att kopieras av konkurrenterna. Idag tenderar företag att vara organiserade kring produkter istället för kunder och systemstödet följer ofta den strukturen. När du ringer till en kundtjänst är det viktigt att de har en samlad bild av kunden så att de kan ge snabb och bra service. Istället för att utgå från kundens behov utgår man oftast från företagets struktur, vilket kan innebära att kunden slussas mellan olika avdelningar. Med en ECM-lösning skapas istället en logisk bild av kunden. Med en snabb sökning på till exempel ett kundnummer, öppnas en mapp där all information om kunden finns samlad. Kundens ärende går snabbare att hantera vilket både ger nöjda kunder och spar tid, det vill säga pengar för företaget. Ett klagomål kan till och med vändas till något positivt om kunden upplever bra service utan dröjsmål, säger Lars Åkerstrand.

11 Nya hot kräver nya strategier På senaste tiden har det dykt upp fler och fler nyheter om dataintrång och hackerattacker i media. Vi läser om allt ifrån intrång hos banker, där listor med nummer till bank- och kreditkort stjäls, till spionaffären i valrörelsen Att svenska företag och myndigheter försöker skydda sina tillgångar genom försäkringar, lås, inbrottslarm och brandlarm är ingen hemlighet. Men hur står det till med informationssäkerheten? Vi har talat informationssäkerhet med Andreas Wiman, vd för Swedish Security & Training Centre AB som erbjuder helhetslösningar inom säkerhet på den internationella arenan. Hotet mot företags informationssäkerhet kommer idag främst från kriminella grupperingar, industrier och utländska nationella underrättelseorganisationer För att vara verksamt bör informationssäkerhetsarbete ses som en långsiktig, kontinuerlig process som genomsyrar en organisations hela verksamhet, säger Andreas Wiman, vd för Swedish Security & Training Centre AB Hur stor är skillnaderna mellan hotbilden mot företagens informationssäkerhet nu jämfört med för fem år sedan? Som natt och dag. Hackers som förut varit relativt harmlösa har de senaste två åren blivit en ny typ av yrkesbrottslingar. I denna oroväckande trend ser vi bland annat att de: först slå ut dataverksamheten på myn- garantin att det inte ska hända igen på internet I takt med att IT-brottsligheten ökar blir brottslingarna också allt mer sofistikerade. Ofta använder de privatpersoners och vem som egentligen ligger bakom en attack. Dessa verktyg kallas botnets och är uppbyggda av tusentals kapade datorer som kan användas i överbelastningsattacker, som kombinerat med utpressning, organisationer. Angreppen har också gått från att vara ganska ogenomtänkta till att bli skräddarsydda, riktade direkt mot enskilda företag. Idag kan man få en specialskriven vilket även inkluderar uppdateringar och fri support! Rent konkret, varför är den ökade ITbrottligheten ett problem för företag och organisationer? händer om ett konkurrerande företag kommer över ditt företags kunddatabas, delar av er finansiella information och konkurrensfördelar? Den totala ekonomiska skadan av dylika incidenter är svåra att uppskatta. Många företag tror felaktigt att IT-brottslighet bara skadar dem rent ekonomiskt. Det är därför en del banker och kreditkortsbolag tycker att det är billigare att ersätta kunder som blivit bestulna direkt, istället för att investera i en säkrare infrastruktur och gå till botten med problemet. vad det förlorade anseendet kostar, som en sådan typ av incident för med sig. Om du inte kan lita på den bank du anförtror dina pengar till så kanske det är dags att byta bank? Grunden till problemen är egentligen att många företag anser att informationssäkerhet är en stor kostnad som är svår att motivera. Den klassiska det-händerinte-mig-principen är vida utbredd. Att styra upp tillfredställande informationssäkerhet i en organisation är ett tidskrävande och kontinuerligt arbete som givetvis innebär en kostnad. Men för en IT-säkerhetsincident brukar bli är den försvinnanden liten. Tillgång till expertis och erfarenhet. Genom att anlita experter utifrån kan du ställa höga krav på att de alltid har toppkompetens inom sitt område. Dessutom kan du dra nytta av erfarenheten som dedikerade experter har av säkerhetsarbete med andra kunder. Hur väljer jag rätt partner inom informationssäkerhet? Genom att noggrant utvärdera av branschen smittats av aktörer som tänker mer på snabba pengar än på att rekrytera och leverera noggrant kontrollerade konsulter. Därför är det ytterst som kan garantera konsulternas höga säkerhetsmedvetande. På SSTC har vi rigorösa kvalitetssäkringar av anställda såväl som underlever- och det slår vi vakt om. Samtliga av våra konsulter är professionella experter inom sitt arbetsområde och har lång erfarenhet av informationssäkerhetsarbete både i Sverige och internationellt. bland annat från militär underrättelse- polisen, utrikesdepartementet och den privata säkerhetssektorn. Hur arbetar SSTC med informationssäkerhet? Snabba lösningar är ingenting för att slänga upp en brandvägg och installera ett antivirusprogram och sedan tro att man är säker. För att vara verksamt bör informationssäkerhetsarbete ses som en långsiktig, kontinuerlig process som genomsyrar en organisations hela medarbetare och slutprodukt. väl integrerade ledningssystem för informationssäkerhet. På så sätt får vi till stånd en väl genomtänkt och därmed av dataintrång och attacker minimeras. gediget proaktivt säkerhetsarbete till att virus- och överbelastningsattacker till insiderbrott och social engineeringoperationer. Vilka ligger bakom hotet? Hotet kommer idag främst från kriminella grupperingar, industrier och utländska nationella underrättelseorganisationer. delar av alla IT-brott som begås sker med vad händer med brandväggar, intrångsdetektionssystem och antivirusprogram när en medarbetare en dag blir varslad om uppsägning och bestämmer sig för att han eller hon inte längre har någonting att till konkurrenter? Hur kan mitt företag bäst bemöta den rådande hotbilden? Det finns egentligen två vägar att gå. Antingen anställer ni personal som aktivt arbetar med informationssäkerhet eller så outsourcar ni hela eller delar av arbetet till experter. Det finns framförallt två stora fördelar med att outsourca informationssäkerheten: Lägre kostnader. Kostnaden är mycket större för att anställa samma kompetens som ni får tillgång till genom att anlita ett seriöst informationssäkerhetsföretag.

12 12 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET INVESTERA I SÄKERHET 45 miljoner kortnummer på vift Över 45 miljoner stulna kontokortsnummer är kanske världsrekord? Klädkedjan TJX med 2500 butiker i USA, Storbritannien och Irland har drabbats av ett gigantiskt dataintrång som upptäcktes i början av TJX säger själva att 45.6 miljoner kontokortsnummer stals år 2005 och ytterligare år Experter menar att TJX antingen misslyckats med att kryptera kortnummer eller inte säkert förvarade kryptonycklarna som översätter krypterad kortinformation. Enligt TJX egna uppgifter kan tjuvarna ha stulit informationen innan den krypterades. Källa: Network World Slutskrapat på Nordea Glöm skraplotter. Alla Nordeas nätbankskunder får snart en ny säkerhetslösning. Kunder kommer att använda en kombinerad kortläsare och kodgenerator för inloggning till nätbank, säkra kortbetalningar på nätet och som e-legitimation. Lösningen är baserad på säkerhetsstandarden CAP, som är utvecklad av Visa och Mastercard. Nordeas nätbankschef, Ingmar Borelius säger till Computer Sweden att säkerhetsnivån är mycket högre i det nya systemet och att man kommer att få se en dramatisk minskning av antalet försök till intrång. Källa: Computer Sweden Fysisk IT-säkerhet Det som borde hålla it-chefer med höga krav på uppetid vakna om natten är inte bristande säkerhet i den egna verksamheten. Skador på egen it-drift orsakas oftare av faktorer som man inte själv kan påverka, exempelvis läckage eller brand hos grannen. Rootkits tros öka kraftigt Trenden att dölja skadlig kod i rootkits blir starkare. På fem år har antalet rootkitkomponenter ökat från 27 till McAfee spår att man under år 2007 upptäcker ytterligare 2000 komponenter. Precis som för spionprogram och trojaner är trenden att allt fler upptäckter gäller varianter av samma program. Genom att variera ett känt program blir det svårare att upptäcka i viruskontroller. Tidigare i år har även F-Secure varnat för en särskild typ av rootkits som angriper operativsystemets kärna, något som kan ställa till det för antivirusprogram och brandväggar. Många företag har investerat stort i egen säkerhet, med redundant strömförsörjning, ups:er och nödströmsaggregat, kylanläggningar, backupsystem, automatiska detektions- och släckningssystem för brand i eget datarum samt sofistikerade alarm och åtkomstsystem. I den miljön ska det mycket till innan självförvållade skador kan medföra problem för den dagliga driften av it-systemet. Problemen kommer istället när kritiska situationer, som till exempel brand, uppstår utanför den egna säkerhetszonen. Många datarum byggdes ursprungligen som arkivrum med betongväggar och god standard för att skydda papper. Men papper har helt andra egenskaper än modern elektronik och magnetiska lagringsmedia. Till exempel självantänder papper vid cirka 180 grader celsius, medan databand och diskar inte tål temperaturer över 55 grader. Elektroniken i moderna servrar riskerar att förstöras redan vid temperaturer över 75 grader. Och vid brand utanför ett datarum byggt efter branschens standard för att skydda papper kan den invändiga temperaturen på en utsatt väggs yta redan efter 14 minuter ha passerat 55 grader, efter 18 minuter ha passerat 75 grader och på mindre än 30 minuter ha passerat 105 grader Celsius. Förångat kristalliserat vatten från gammal betong (omkring 140 liter vatten per kubikmeter) kan också utgöra ett hot mot serverrummet, då detta vatten är starkt korrosivt och i form av ånga kan tränga in under stort It-ansvariga måste ta ställning till de ekonomiska konsekvenserna vid ett driftstopp. tryck under en utvändig brand. Enligt aktuell byggforskning sker detta redan vid en temperatur på 105 grader celsius. Även läckage i högre belägna våningsplan, inflöde av vatten från brandsläckning, eller i värsta fall vattenrör i eget d a t a r u m som springer läck, utgör ett mycket a l l v a r l i g t hot mot varje verksamhets dataanläggning. Serverrum med gipsväggar och mineralullsisolering kan också bjuda på överraskningar med tiden. Isoleringen kan ta upp fukt och redistribuera denna, vilket i värsta fall kan innebära att en vägg i praktiken blir helt eller delvis utan isolering. It-ansvariga måste ta ställning till de ekonomiska konsekvenserna vid ett driftstopp, uttrycka krav på fysiskt skydd för datamiljön och slå fast klara och mätbara kriterier. Hur länge har vi råd att vara utan aktiva it-system eller helt utan it-system? Vilka åtgärder säkrar snabbast möjligt uppstart av systemen igen? Bara de verksamheter som har ett medvetet förhållningssätt till val av goda lösningar när det gäller fysisk it-säkerhet är tillräckligt bra rustade för att möta utmaningarna från en komplex hotbild utan att behöva vara rädda. Nils H Sopp Adm. Dir. Scure IT Enviroment AS, Norge. Översättning: Merete Grut.

13 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET 13 FÖRBEREDELSER Många företag köper IT-säkerhet först när det smäller Trots att IT-säkerhetsfrågor blir allt mer affärskritiska är det få företag som skyddar sin verksamhet ordentligt. Många väntar tills efter katastrofen innan de gör något åt saken. TEXT: OLOF ESTERS Hans Danielsson, vd för ITsäkerhetsföretaget Sentor, anser att företag skulle spara både tid och pengar på att implementera IT-säkerhetslösningar innan de blir drabbade av dataintrång och hackerangrepp. Anledningen till att många företag inte skyddar sin verksamhet är att IT-säkerhetsfrågor oftast ligger på IT-avdelningen bord och därför endast ses som en kostnad. Men vad kostar det om verksamheten står still under två dagar för att företagets nätverk angripits av hackers? Om företagsledningen såg riskerna som ett dataintrång innebär jämfört med kostnaderna för IT-säkerhet så tror Danielsson att man skulle se IT-säkerhetsfrågor i ett annat ljus. Inte vana vid IT-brott De flesta företag har idag brandlarm och inbrottslarm på sina lokaler. Om någon försöker bryta sig in för att stjäla företagets tillgångar så går ett larm och ett bevakningsföretag rycker ut för att stoppa inbrottet. Vad det gäller de digitala tillgångarna så är skyddet i många fall skrämmande dåligt, säger Hans Danielsson. Det är konstigt eftersom affärskritisk information som forskning, finansiell information eller kundregister ofta är mer värt än de fysiska tillgångarna. En anledning till att företag försummar IT-säkerheten är att den ryms inom hela IT-avdelningens budget och därför är begränsad. Hans gissar att det beror på att man inte har hunnit vänja sig vid att ett dataintrång kan få långt mycket allvarligare konsekvenser än ett vanligt inbrott. Hans Danielsson, vd på Sentor MSS AB. Inga pojkstreck längre För tio år sedan associerade man hackers med datanördar som utsatte företags webbsidor för harmlösa skämt. Ett exempel är när Telias hemsida blev hackad 1996 och namnet i logotypen byttes ut till Felia. Idag ser hoten helt annorlunda ut. Det är ofta organiserade brottslingar som begår dataintrång och sprider specialdesignade virus och trojaner i syfte att stjäla information och ta sig in i företags nätverk. De utför också överbelastningsattacker (så kallade ddos-attacker) mot företag, vilket ofta sker i kombination med utpressning, säger Hans Danielsson. Vanligaste bristen En vanlig orsak till att ett dataintrång kan begås är ett företags datorer är dåligt patchade. En patch är en uppgradering som åtgärdar en säkerhetsbrist, ofta i operativsystemet. FOTO: ERIKA GERDEMARK Förutom att många inte inser vikten av att ha en hög patchnivå så förekommer det ofta äldre datorer på ett företag som det inte längre görs några patchar till. Ibland är dessa maskiner affärskritiska för verksamheten och kan inte bytas ut. Då måste man istället kunna upptäcka och hindra en angripare som försöker ta sig in, säger Hans Danielsson. Dataintrången ökar Enligt brottsförebyggande rådets (BRÅ) statistik för 2006 begicks 849 dataintrång i Sverige. I endast 96 av fallen hittade man en misstänkt person bakom brottet. Mörkertalet är stort. Johan Mårtensson på Sitic, gjorde 2005 en stor mörkertalsundersökning bland svenska företag och organisationer. Han anser att det är svårt att fastställa något definitivt mörkertal för dataintrång. Ytterst lite rapporteras, så det är bara en delmängd vi ser här, säger Johan Mårtensson till idg. se. Undersökningen visade också att bara fyra procent av dem som drabbades av en IT-säkerhetsincident polisanmälde den. En av tre organisationer uppgav också att orsaken till att man inte anmäler är att resultatet kan bli negativ uppmärksamhet. Dataintrång enligt brottsbalken I brottsbalken 4 kap står: 9 c Den som i annat fall än som sägs i 8 och 9 olovligen bereder sig tillgång till upptagning för automatisk databehandling eller olovligen ändrar eller utplånar eller i register för in sådan upp tagning döms för dataintrång till böter eller fängelse i högst två år. Med upptagning avses härvid även uppgifter som är under befordran via elektroniskt eller annat liknande hjälpmedel för att användas för automatisk databehandling. Anmälda dataintrång under 2006: 849 Uppklarade fall med misstänkt förövare: 49

14 14 HELA DENNA TEMATIDNING ÄR EN FRÅN MEDIAPLANET VANLIGA HOT Några säkerhetstips Installera antivirus- och filtreringsprogram. Kombinera med säkerhetskopiering, brandvägg och policy styrning av personal. Var försiktig med e-post från osäkra källor och hämtning av filer från Internet. Kontrollera alltid. Risk finns med nätverk av typ peer-to-peer (P2P) och olika slags instant messaging-system. Uppdatera kontinuerligt opera tivsystem och program. Var restriktiv med att låta användare vara administratörer på sina datorer. Var försiktig vid systemunderhåll och planerade samt oplanerade återstarter. Tillåt endast att egenkonfigurerade och kontrollerade datorer ansluts till nätverket. Ha rutiner för att begränsa skador vid incident. Bank använder bara biometri Den schweiziska banken Pictet kommer enbart att använda biometri när anställda ska autentiseras. Det uppges att Pictet är den första banken som helt förlitar sig på den tekniken. De 2100 anställda vid huvudkontoret kommer att identifieras genom skanning av ansiktet där mätpunkter analyseras. Leverantör är företaget Bioscrypt som hoppas att fler banker ska följa Pictets exempel. Källa: Säkerhetscentret.se Är kaos granne med it? Avlyssnar någon din Bluetooth-mobil eller trådlösa laptop? Finns en dold trojan i din dator? Vi hör om fjärrstyrda datorer, falska webbplatser och intrång i företags interna nätverk. Visst har it revolutionerat våra liv, men är vi nu på väg mot kaos? Nej, inte alls, även om hoten blir allt fler. It-säkerhet får heller inte ses som ett tekniskt problem, utan som en möjliggörare för affärsverksamheten, säger Per Hellqvist, en av landets tyngsta experter på it-säkerhet och Senior Security Specialist på Symantec Nordic AB. Kan företag lita på sin itmiljö? Ja, om de lyckas hitta en balans i samspelet mellan människor, teknik och processer. För bra it-säkerhet är en kombination av rätt teknik, sunt förnuft, tydliga riktlinjer och en välutbildad personal. Chefen måste dock ha det yttersta ansvaret för företagets it-säkerhet och för alla markera dess betydelse för att företaget ska nå sina affärsmål. Alla måste ha ett säkerhetsmedvetande och hjälpas åt att skydda företagets information. Allt för många företag har ett äggskalsskydd där det yttre skyddet mot omvärlden är starkt, medan där det innanför skalet ofta bara finns mjuka skydd. Säkerheten blir mycket större om man bygger it-säkerheten på lökanalogin. Det är en lösning som bygger på lager på lager av olika skyddsteknologier. Då kan man även gardera sig mot hot och sårbarheter som man ännu inte vet om eller som kan uppstå i framtiden. Per Hellqvist, Senior Security Specialist på Symantec Nordic AB. Vår senaste svit med säkerhetsprodukter för hemanvändare, Norton 360, har antivirus, personlig brandvägg, intrångsdetektering, backup online, kontroll av datorns säkerhetskonfiguration och en plugin som tittar efter misstänkta saker på webbplatser. Dessutom finns ett program, Sonar, som bevakar och ser vad pågående processer och program gör för något. Våra skyddsprogram för företagsmiljöer har i princip samma uppsättning skydd. Symantec lägger 15 procent på forskning och utveckling. Vi har dessutom en hel avdelning som forskar om framtida hot. Hur ser hoten ut idag? Virus är inte längre lika intressant. Idag är det pengar som är drivkraften. Därför har vi nu nya hot i form av phishing, trojaner och rootkits, där elakingar tar över webbläsare och datorer för att komma åt lösenord, användarnamn och annan känslig information som kan ge pengar. Dessutom öppnar de bakdörrar in i systemen för att underlätta för hackare att komma in. Sedan ska vi inte glömma bort att alla gamla bekanta hot också finns kvar därute i den elaka kodens universum. Idag sker 93 procent av alla attacker mot hemanvändarna. Genom phishingattacker lockas användare till webbplatser där de avluras känslig information. Webbplatserna kan också vara preparerade med skadlig kod så att illasinnade kan plantera trojaner på användarnas datorer. Allvarligt är också trenden att skicka mejl till anställda på företag för att locka dem att klicka på länkar eller besöka preparerade webbplatser. När en trojan finns inne i företagsnätet kan den spela in tangenttryckningar, stjäla användarnamn och lösenord och själv ladda ner saker från nätet så- Foto: Symantec Nordic AB väl som uppdatera sig. All trådlös uppkoppling är också ett växande problem. Här krävs kryptering för både kommunikation och lagring av filer. Idag handlar det om pengar? Javisst är det pengar som är drivkraften. Det rör sig allt mer om ekonomisk brottslighet där man hackar sig in i system och gömmer sina verktyg på servrar och anställdas datorer. För kriminella kretsar är det lockande, eftersom exponeringen är mycket liten jämfört med den som finns i deras traditionella sysselsättningar. Insatsen är också väldigt låg samtidigt som den potentiella vinsten kan bli enorm. På Internet kan folk med olika specialkompetens samarbeta, ofta utan att känna varandra. På nätet finns en marknad för alla slags verktyg och kod som de kan använda för intrång. Det går att köpa specialskrivna trojaner och man kan hämta särskilda program, exploits, som utnyttjar kända och okända sårbarheter i server- och klientdatorprogram. Ett företag kan kartläggas för att se vilka it-system som används och vilka leverantörer det anlitar. Man kan också spana på personer i företaget. Vilka intressen har anställda? Finns det personliga bloggar där man kan skriva in elak kod i kommentarsfältet? Hur kan ni synliggöra er informationssäkerhet? Vi mäter åt er Veriscan erbjuder en unik helhetslösning när det gäller mätning av informationssäkerhet. Mätningen ger en nulägesbild som direkt kommunicerar ert säkerhetsläge. Resultatet kan brytas ner i ansvarsområden och kopplas till konkreta förbättrande aktiviteter. Givetvis kan en mätning följas upp så Ni kan se om Ni nått era mål. Låt oss träffas så kan vi visa mer. info@veriscan.se, Bilden visar summeringen av en mätning med Veriscan Rating Annons.indd :57:00

15 informationssäkerhet_eurosecure_ :56:28

16