ANNONS HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ANNONS Nr.1 / April 2009 INFORMATION SECURITY & RISK MANAGEMENT 5TIPS BENGT ANGERFELT Chef för informationsoch IT-säkerhetssektionen på Säkerhetspolisen. HUR DU FÅR BÄTTRE INFORMATIONS- SÄKERHET FMV/CSEC Säkra dina IT-produkter till lägre kostnad PHOTO: CHRISTIAN VON ESSEN Expertpanelen Hur bör företag prioritera sin säkerhet? Riskhantering Ha beredskap när skadan väl är ett faktum IT-säkerhet Hur säkra är ditt företags inloggningsuppgifter? Säkerhetspolisen Skyddar rikets informations-onssäkerhet FÖRSVARA DITT FÖRETAGS IDENTITET MOT ATTACKER Skydda dig mot intrång: Din information är ditt företags viktigaste resurs.
2 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET UTMANINGAR Riskerna på Internet - ser vi bara toppen av ett isberg? Mycket händer under ytan, men hur stora är mörkertalen egentligen? Det verkar som om även denna vår är ganska tyst på internet. VI REKOMMENDERAR Ulf Löfven vd, Eklöw infosecurity AB Ta farorna på internet med största allvar SIDA 12 ISO 27000 är mer av en faktisk ledstång som visar var man börjar när det handlar om säkerhetsfrågor. Men trots alla säkerhetsproblem finns det positiva bitar i utvecklingen. Vi ser en ökad riskmedvetenhet i samhället. Denna är nödvändig, och här arbetar SIG Security såsom Sveriges största intresseförening inom informationssäkerhet med att bidra till insikter och kunskap. En ökad riskmedvetenhet gör också att många organisationer nu har ett större fokus på kostnadseffektiv riskhantering. Vi ser även att arbetet med IT-styrning (IT Governance) mognar, samtidigt som säkerhetsstandarden för betalkort (PCI DSS) skapar ökad säkerhet. Och på myndighetssidan arbetar bland annat nya MSB, SÄPO och SITIC med säkerhetsfrågorna. Risker kräver övervakning Våra gemensamma utmaningar är stora. Den allt komplexare tekniken i kombination med att allt fler system behöver kopplas samman leder till nya risker. Den snabba utvecklingen inom skadlig kod skapar ständigt nya hot. Bakom dessa hot finns ofta både organiserad brottslighet och underrättelsetjänster, världen över. Internet är en tummelplats för alla som söker information, oavsett syfte och medel informationskriget rasar. Men många aktörer väljer att arbeta dolt, för att undgå upptäckt. I många fall handlar det om att samla information, i andra fall kan vi anta att man försöker plantera dolda trojaner, vilka kan aktiveras i en eventuell konflikt. En del av lösningen ligger i att öka övervakningen i våra IT-system när oönskade händelser inte längre kan stoppas (till exempel skadlig kod) så måste man göra vad man kan för att så fort som möjligt upptäcka dem. Då får man åtminstone möjlighet att snabbt vidta motåtgärder. Sammanfattningsvis är vi i dag i ett läge där mycket få av oss fullt ut kan lita på våra ITsystem, och därmed inte heller på informationen i systemen! Alla måste bidra För att möta problemen behöver vi alla intensifiera våra insatser. Myndigheterna bör ställa krav på säkerhetscertifierade ITprodukter. Amerikanska myndigheter ställer redan idag sådana Martin Bergling Vice ordförande, SIG Security. MARTINS TIPS Uppfinn inte hjulet själv Dra nytta av de standarder som finns! Här är några av de viktigaste, samt länkar till mer information. ISO/IEC 27000 www.sis.se COBIT www.isaca.org NIST csrc.nist.gov ISO/IEC 38500 (IT Governance) www.sis.se Common Criteria www.csec.se krav, vilket driver på en säkrare utveckling. IT-leverantörer måste bidra med ökad säkerhet i sina produkter och tjänster. I dag krävs speciella kunskaper för att bygga säkra IT-produkter. Säkerhetsansvariga måste arbeta med tydliga metoder och våga prioritera för investeringar i hantering av oviktiga risker tar kraft, tid och pengar från hanteringen av verksamhetskritiska risker. Anta utmaningen Till sist, många av oss arbetar i allt plattare organisationer med ökad decentralisering av ansvar och befogenheter, där samma person ofta får ansvar både för långsiktigt riskarbete och kortsiktiga finansiella mål. Att ledorden i dagens kristider är cost reduction gör det än svårare att skapa en integrerad säkerhet i verksamheten. Det är en verklig utmaning att arbeta effektivt med säkerhetsfrågor under dessa förutsättningar! Läs den här säkerhetsbilagan den kommer att ökar din kunskap och insikt om dagens risker och aktörerna bakom dem och skapar därmed bättre förutsättningar för ett framgångsrikt säkerhetsarbete! Företagsspionage s.10 Vanligare än vad många tror. Identitetsstöld s.15 Digitaliserad information ökar nätattackerna. Vi får våra läsare att lyckas INFORMATION SECURITY & RISK MANAGEMENT NR 1, MARS 2009 Försäljningschef: Gustaf Ryding Redaktionschef: Nadine Kissmann Redigerare: Alex Mak Projektledare: Martin Andersson Tel: 08-545 953 00 E-post: martin.andersson@mediaplanet.com Distribution: Svenska Dagbladet, Tryckeri: V-Tab Repro: Ordbild Mediaplanet kontaktinformation: Tel: 08-545 953 00 E-post: synpunkter@mediaplanet.com Vid förfrågningar kontakta: Johan Lilljebjörn Mediaplanets affärsverksamhet är att levera nya kunder till våra annonsörer. Genom intressanta artiklar med hög kvalitet motiverar vi våra läsare att agera. Cybercom Vi kan IT-Säkerhet Med mer än 70 utvecklare, utredare och analytiker och många års erfarenhet är Cybercom Secure Sveriges ledande kompetenscenter för IT-Säkerhet. Vi hjälper dig med alla dina IT-säkerhetsfrågor, från LIS och PCI till IT-forensiska utredningar och utveckling av skräddarsydda Identity & Access Management-lösningar Erbjudandet Införa LIS. Uppfylla PCI-DSS och PA-DSS. Koppla ihop vårdsystemen med HSA, SITHS och SAML. Hantera och förebygga datastöld och dataintrång. Införa säker inloggning och dokumenthantering med BankID och mobilt BankID. Kontaktinformation tomas.rimming@cybercomgroup.com 070 558 22 83 mikael.sundberg@cybercomgroup.com 070 575 39 05 www.cybercomgroup.com
Nationell handlingsplan ska göra informationssamhället säkrare handlingsplan för informationssäkerhet. Den förvaltas av Myndigheten för samhällsskydd och beredskap MSB och syftar till att stärka informationssäkerhet på alla nivåer i samhället; hos medborgare, näringsliv och offentlig sektor. Åtgärdsförslagen i handlingsplanen är en av grunderna för MSB:s arbete med informationssäkerhet i Sverige. För närvarande ligger fokus bland annat på att stödja olika verksamheters arbete med grundläggande informationssäkerhet i enlighet med gällande standarder, säger Per Oscarson, vid MSB:s enhet för informationssäkerhet. Ytterligare prioriterade frågor för MSB under 2009 är bland annat säkerhet i digitala kontrollsystem och utveckling av en nationell strategi för informationssäkerhet. Optimal nivå En viktig komponent för att utveckla handlingsplanen är också den nyligen publicerade lägesbedömningen om samhällets informationssäkerhet. Att löpande ha en aktuell lägesuppfattning är i högsta grad avgörande för att hålla en optimal nivå när det gäller MSB:s generaldirektör Helena Lindberg. insatser för informationssäkerhet, förklarar Wiggo Öberg också vid MSB:s enhet för informationssäkerhet. Kompetenshöjning Ökat säkerhetsmedvetande i verksamheter, kompetenshöjning på olika nivåer samt bättre förmåga att hantera ITrelaterade störningar i samhället är några av handlingsplanens delmål. Den yttersta målsättningen med åtgärdsförslagen är att värna om viktiga värden och ambitioner i samhället, såsom demokrati, MSB OCH INFORMATIONSSÄKERHET - - Läs mer om MSB på www.msbmyndigheten.se personlig integritet, ekonomisk utveckling och säkerhet. Handlar om förtroende Informationssäkerhet handlar om förtroende och är en nödvändighet för ett effektivt utnyttjande av IT i samhället. Alla ska kunna lita på systemen som hanterar informationen, inte minst när det gäller offentliga tjänster över internet, säger Helena Lindberg, generaldirektör för MSB. Handlingsplanen har tagits fram i bred samverkan med bland annat myndigheter, kommuner, landsting och näringsliv. Den har ett sektorsövergripande perspektiv och berör hela samhället från normaltillstånd till kris. Åtgärds- olika aktörer vilket innebär att genomförandet av handlingsplanen förutsätter en gemensam kraftansträngning i hela samhället. Det är allas vårt ansvar att bygga upp en god informationssäkerhetskultur. Genom att värna om en god informationssäkerhet stödjer vi en positiv samhällsutveckling i stort, poängterar Helena Lindberg. Det förebyggande arbetet kräver en helhetssyn sektorer i samhället visar en lägesbedömning som MSB nyligen publicerat. Behovet av samarbete på både nationell och internationell nivå är stort. En aktuell lägesuppfattning är i högsta grad avgörande för att hålla en optimal nivå när det gäller insatser för informationssäkerhet, anser Wiggo Öberg på MSB:s enhet för informationssäkerhet. Spelreglerna för informationssäkerhetsarbetet har ändrats under senare tid i och med ny teknik, ny reglering och nya användarbeteenden. Nya tjänster som cloud computing och mobila lösningar ger företag och individer fördelar, men ställer också nya krav på säkerhetstänkandet. Säkerhet är ännu inte ett starkt beställarkrav framhåller MSB i sin lägesbedömning av samhällets informationssäkerhet. Lägesbedömningen pekar ska lösningar. Den svagaste länken är dock fortfarande den mänskliga faktorn. Behovet av en helhetssyn inom området blir allt viktigare. Konsekvenser och kopplingar måste uppmärksammas och analyseras ur ett samhällsperspektiv, säger Wiggo Öberg vid MSB:s enhet för informationssäkerhet. Samhället blir mer beroende av olika informationssystem som i sin tur skapar beroenden sinsemellan. Detta gör att hotbilden blir mer komplex. Särskilt IT-relaterad brottslighet är ett betydande nationellt och internationellt problem. IT-relaterade hot riktas mot samhällsviktiga funktioner som ster, medieföretag och hälsooch sjukvården. Sammantaget pekar iakttagelserna i lägesbedömningen på nödvändigheten av ett systematiskt informationssäkerhetsarbete. Gemensam utmaning MSB har i uppgift att samordna arbetet med samhällets informationssäkerhet vilket medför ett stort behov av samarbete med såväl myndigheter som privata aktörer. Informationssäkerhetsfrågorna skär igenom sam- är det privatoffentliga samarbetet en viktig komponent i det förebyggande arbetet. Aktivt deltagande Ett exempel på sådan samverkan är de informationsdelningsforum som MSB driver inom digitala styr- och sektorn. Ett annat centralt arbete är aktivt deltagande i standardiseringsarbetet inom området. Vår samordningsroll ger oss möjlighet att bevaka att nödvändiga funktioner för ett nationellt heltäckande informations- att de fungerar väl och att de utvecklas med hänsyn till en ständigt förändrad behovsbild, sammanfattar Wiggo Öberg.
4 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET ET NYHETER SKYDDA DITT 1TIPS UPPMÄRKSAM- PMÄR MA FARORNA FÖRETAG MOT INTRÅNG 1 2 Fråga: Varför har informationssäkerhet blivit viktigare hos myndigheter och företag? Svar: Ny teknik gör oss mobila och fl exibla, men ur en säkerhetsaspekt blir vi också mer sårbara. John Lindström är forskare inom Data- och Systemvetenskap vid Luleå Tekniska Universitet. Han har efter 15 år inom säkerhetsbranschen fortsatt på den akademiska banan och doktorerar för tillfället inom projektet Nordic Safety and Security samtidigt som han undervisar på mastersprogrammet i informationssäkerhet. Han menar att säkerhetsfrågorna ofta inte får tillräcklig uppmärksamhet i företagens ledningsgrupper. Ofta är det så enkelt som att vi som arbetar med säkerhet uttrycker oss så att de inte riktigt förstår vad vi säger, berättar John Lindström, som bland annat skrivit en artikel med den talande titeln A model for explaining John Lindström Forskare, Data och Systemvetenskap, Luleå Tekniska Universitet. strategic IT- and information security to senior management. Ny teknik innebär nya risker Utvecklingen inom informationssäkerhet har följt utvecklingen inom IT och mobila applikationer. Idag har de flesta arbetstagare både mobiltelefon och bärbar dator som används för att hantera mer eller mindre känslig företagsinformation. Kryptering kan innebära att en kvarglömd laptop i en taxi inte behöver innebära katastrof. När alla har tillgång till teknisk utrustning och är ute mycket och reser, innebär det naturligtvis en ökad risk, säger John Lindström. Företagen förstår baskraven mycket bättre idag, men det är helhetsperspektivet på säkerhetsfrågor som jag ofta tycker saknas. Information till personal Jan-Olof Andersson är informationsansvarig på Läkemedelsverket, som sedan 2008 använder sig av ISO27001 och ISO27002 för att föra in informationssäkerhet i verksamheten. Han Jan-Olof Andersson Informationsansvarig på Läkemedelsverket. tycker att information till medarbetarna är en viktig del i att minimera riskerna för informationsläckage. Vi arbetar efter en modell på fyra ben: planera, genomföra, följa upp och förbättra, säger Jan-Olof Andersson. Vi kör utbildningar i säkerhet för alla våra medarbetare, och följer därefter upp. De flesta företag och myndigheter med koppling till internet är per defintion sårbara för intrång, även om det finns bra skydd för de flesta angrepp i dagsläget. Men undersökningar har visat att hälften av angreppen kommer internt. Nästan alla har skydd mot virus och trojaner idag, men det är inte många som pratar om de interna hoten, säger Jan-Olof Andersson. USB-minnen och mp3-spelare kan lagra en stor mängd filer, och information färdas över internet när vi kommunicerar med varandra. Vilka konsekvenser kan informationsläckage få för en verksamhet? För vår del är det trovärdigheten som är viktigast. Dessutom kostar alla säkerhetsincidenter oerhört mycket i administrativa resurser och åtgärder. Det får man inte glömma bort. FOTO: MARTIN VALLMARK FOTO: JOHN ANDERSSON CHRISTIAN VON ESSEN 4 Vilket skydd har ditt företag om viktig information i datasystem hamnar i fel händer eller förstörs, är ni rätt försäkrade? Utredningar av den här typen skador tar ofta lång tid och är förenade med kostnader och skadestånd. Esurance TM är en komplett IT-försäkring för företag. Försäkringen ger ett bra skydd mot skador som kan uppstå på grund av dataintrång och virus. För mer information
HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET APRIL 2009 5 Så rekryterar du riskfritt NYHETER I KORTHET 3 SE UPP FÖR RISKERNA 1. Ett USB-stick är smidigt men kan också vara en stor säkerhetsrisk då det enkelt kan slarvas bort. 2. Den mobila tekniken ökar risken för dataintrång då du ständigt är uppkopplad. 3. Din mp3-spelare kan lätt bli infekterad genom inplanterade virus i musikfilerna. 4. Din laptop blir allt viktigare både privat och i arbetslivet, tänk på att skydda den väl. FOTO: ISTOCKPHOTO I en organisation är det ytterst viktigt att man kan lita på sin personal. Genom tester, samtal och avtal men framförallt genom respekt och lojalitet minimerar man risken vid en rekryteringsprocess. Tomas Djurling är konsult inom informationssäkerhet med mångårig bakgrund från bland annat underrättelsetjänsten och FRA. Rekrytering handlar i hans värld om hela processen från annons tills långt efter att personen slutat på företaget. Anställningsintervjun är förstås central, dels för att se när en lögn dyker upp, men främst för att säkerställa att kompetensen motsvarar kravspecifikationen. Att personen är kompetent för sitt arbete är oerhört viktigt, inte minst av säkerhetsskäl, säger Tomas Djurling. Med bristande kompetens ökar risken för fel eller misstag. Dessutom är den personen mer benägen att vara illojal mot sin arbetsgivare. Testa kunskap direkt Ett enkelt sätt att undersöka kompetens är att använda kunskapstester på anställningsintervjuerna. Står det programmeringskunskaper på ditt CV bör du också kunna analysera en kodsekvens. Har du sagt att du är flytande i engelska, finns det texter att granska. Tycker du det här ser okej ut? frågar Tomas Djurling Konsult, informationssäkerhet. FOTO: LARS DJURLING Tomas, och ögonen börjar leta. Efter en stund är de språkliga misstagen ganska många. Många kommer till intervjun och säger sig vara flytande i engelska, men ser inte ett enda fel i de här texterna. Om man ska arbeta med avancerad teknisk information blir detta ett problem och ett riskmoment. Lojalitet reducerar risk Många tjänster innebär arbetsuppgifter som ställer krav på tystnadsplikt livet ut. Men om personal slutar eller avskedas är det svårt att kontrollera att den livslånga tystnadsplikten efterlevs, avtal eller inte. Mitt tips är att fortsätta bjuda in honom eller henne till sociala arrangemang. Det är nämligen så enkelt som att det är svårare att förråda sina vänner. Även personal som går i pension kan man fortsätta hålla kontakten med på ett bra sätt. Det sista samtalet Den oväntade uppvaktningen föregås dock förslagsvis av ett samtal sista dagen på arbetsplatsen. Den anställde ska känna stöd att komma tillbaka och prata av sig istället för att spilla dyrbar information till andra. Men ibland kan det gå snett, och nyckelpersoner kan hamna i missbruk, spelberoende eller depressioner. Det är alltid närmaste chefens ansvar att känna sin personal, säger Tomas Djurling. Han eller hon ska kunna se direkt när personen ändrar beteende. Mår man dåligt fattar man också dåliga beslut, och då behöver man extra mycket hjälp och stöd. CHRISTIAN VON ESSEN FOTO: ISTOCKPHOTO SÄKERHET När du tar jobbet med dig hem Gränserna mellan jobb och privatliv håller på att luckras upp. Vi är ständigt tillgänliga och alltid uppkopplade, men har vi egentligen koll på var informationen finns? Det fanns en tid då många arbetsgivare per automatik blockerade chattjänster och sociala nätverk som Facebook från arbetsplatserna. Uttalat av säkerhetsskäl, men förmodligen mest för att undvika slöseri med tiden. Idag är det endast ett fåtal som tror att sådana åtgärder är produktiva. Sociala nätverk är vår främsta kontaktyta, och inkluderar såväl arbetskamrater som befintliga och potentiella kunder och samarbetspartners. Men den initiala risken finns kvar. Genom att potentiellt känslig företagsinformation florerar på mailkonton, USB-minnen och på föreläsningssalens projektoranslutna laptop ökar också risken för intrång och spionage. Virusskyddet må vara rigoröst på kontoret, men så länge laptopen följer med hem till det trådlösa nätverket i fredagssoffan eller hotellobbyn finns ständigt risker för virussmitta, nätverksintrång eller trojaner. MASTER PROGRAMMES Master i informationssäkerhet Internationellt mastersprogram (2 år) med både organisatoriska och tekniska aspekter på informationssäkerhet och värdering av information. Utbildningen är på engelska och ges både på campus och distans för maximal frihet i studietakt och studieplats. Kurserna spelas även in, man kan delta när man själv har tid. Kurserna är nära kopplade till företag. Spännande? Kontakta: Lars Furberg, programkoordinator lars.furberg@ltu.se 0920-49 17 30 www.ltu.se/inst/ies/systemvetenskap
6 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET NYHETER Bättre säkerhet med färre lösenord Fråga: Vilken är den vanligaste missuppfattningen kring informations- och IT-säkerhet? Svar: Att man är säker med bara brandvägg och virusskydd. Det krävs betydligt mer än så. Till exempel regelbundna riskanalyser, genomtänkta backupsystem, redundanta och dedikerade servrar, uppdaterade program och smarta inloggningssystem. Ett av de största IT-säkerhetsproblemen är all lösenordshantering. Vi skulle få betydligt säkrare IT-miljöer med färre lösenordsbaserade inloggningssystem. Det är för enkelt att manipulera dem, framhåller Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på.se. Det låter paradoxalt att säkerheten skulle bli bättre med färre lösenord. Men de system Anne-Marie Eklund Löwinder syftar på är alla inloggningssystem till tjänster, applikationer och databaser som endast baseras på användarnamn och lösenord. Med andra ord majoriteten av alla inloggningssystem. Alla lösenord kan knäckas och framförallt kan de stjälas. Det är ofta målet för så kallade trojaner som sprids och lurar i nätverken i väntan på det rätta tillfället att vakna till liv och snappa upp användbar information. Det är relativt enkelt att avlyssna nätverkskommunikation och möjligheterna att hacka sig in i nätverk och databaser är många. Därför händer det emellanåt att databaser med inloggningsuppgifter till känslig information, kreditkortsnummer och annat hamnar i orätta händer, poängterar Anne-Marie Eklund Löwinder Kvalitets- och säkerhetschef på.se. FOTO: STIFTELSEN FÖR INTERNETINFRASTRUKTUR Anne-Marie Eklund Löwinder. Det finns så många andra bra identifieringssystem, enligt Anne- Marie Eklund Löwinder, att det inte borde finnas så svaga lösningar som det gör idag. Till exempel kan inloggning göras mycket säkrare med smarta kort, certifikat, fingertrycksavläsning med mera. Slarva inte Nätkriminaliteten blir alltmer sofistikerad och så fort man lyckas TIPS Nätattacker handlar mest 1 om pengar. Idag har de flesta säkerhetshoten ett ekonomiskt incitament. Att identifiera och värdera sina informationstillgångar är därför grundläggande för att kunna skapa rätt skydd. IT-säkerhet handlar inte 2 bara om information. Stabilitet och tillgänglighet i nätet är minst lika viktigt som informationsskydd. För vad händer när du bytt till IP-telefoni och nätkapaciteten sviktar? För att säkra driften måste man bland annat upprätta Per Hellqvist Säkerhetsexpert på Symantec. FOTO: SYMANTEC stänga en dörr hittar brottslingarna snart en ny. Därför måste man regelbundet se över IT-infrastrukturen för att analysera systemens sårbarhet, organisationens informationstillgångar, befintliga och potentiella risker, behörigheter och befogenheter, med mera. Många företag och organisationer slarvar med att göra riskanalyser. Det bästa är att bygga så dumma IT-miljöer som möjligt där servrarna är dedikerade handlingsplaner, skapa redundans i nätet och säkerställa snabb nätservice. 3 Utnyttja befintlig diskkapacitet optimalt. Alltför mycket av företags och organisationers diskyta upptas av skräp och filkopior i tusental. För att optimera lagringskapacitet, öka prestandan och minska lagringskostnaden kan man använda program som rensar upp och strukturerar informationen så att skräp försvinner och identisk data länkas till en gemensam källa istället för att dupliceras. 2TIPS RISKANALYS ALYS OCH BACKUP att bara göra en sak, men bra. Och att i största möjliga mån begränsa användarrättigheter, aktiva funktioner och öppna portar i nätverket, rekommenderar Anne-Marie Eklund Löwinder. Men informations- och IT-säkerhet handlar inte bara om att försöka hindra intrång. Det är minst lika viktigt, eller kanske viktigare, att ha beredskap när skadan väl är ett faktum. För att få igång verksamheten snabbt efter ett avbrott, eller ett inbrott där datorer och servrar stulits, gäller det att ha bra handlingsplaner och backupsystem. Och för att veta vilken information som kommit på villovägar och som kanske dyker upp i media dagarna efter ett inbrott är det helt avgörande att backuper finns och fungerar, poängterar Per Hellqvist, säkerhetsexpert på Symantec. Per Hellqvist berättar att de flesta har någon form av backupsystem, men att många är dåliga på att underhålla och kontrollera att backuperna verkligen fungerar. Många tänker inte heller på att lagra backuperna på olika fysiska platser. Annars hjälper de inte mycket vid till exempel en brand eller ett inbrott. Det gäller också att utbilda organisationen i att strukturera informationen så att rätt information lagras och på rätt sätt. Alldeles för mycket skräp och duplicerad information tar idag upp plats i företags och organisationers lagringsmedier, framhåller Per Hellqvist. PATRIK LONES NYHETER I KORTHET IT-säkerhetskonsulting har ett trovärdighetsproblem Det finns tusentals självutnämda expterer som erbjuder sina tjänster. Men expert är inte ett skyddat begrepp, se bara på all självutnämda lifestyle-experter som uppträder i olika talk-shows. Även certifieringar så som CISSP och CISA hjälper inte nödvändigtvis för att hitta rätt partner för att identifiera och lösa era specifika säkerhetsproblem. Vad man skall leta efter är en säkerhetskonsult med praktisk erfarenhet, någon som faktiskt har tillämpat de olika säkerhetsstandarderna. Så varför inte fråga konsulten ni vill anlita nästa gång för till exempel ISO 27001 om han i den egna organisationen någonsin har implementerat en dokumenterat riskhanteringen och certifierat sig för ISO 27001. Det märkliga är att ytterst få verkligen har gjort det! Skulle ni äta i en resturang där kocken inte äter sin egen soppa? GERALD KRUMMECK, ATSEC LAB MANAGE Attacker mot nyckelpersoner ökar På senare tid har riktade attacker mot människor i nyckelpositioner blivit allt vanligare. Spoofade e-postmeddelanden, som ser ut som de skickats internt, försöker lura mottagare att klicka på ett objekt som bär på en trojan. När offret sedan loggar in i företagets rapporteringssystem lyssnar trojanen i bakgrunden, varnar Anne-Marie Eklund Löwinder på.se. Visibilitet Webbsäkerhet WAN-acceleration Se hur era applikationer presterar på nätverket Stoppa olämpligt och skadligt innehåll Accelerera företagets affärskritiska data Boka dig på vårens kostnadsfria kunskapsevent på www.bluecoat.se/event CONTROL IS YOURS TM
Helpdesk (1a linje) 220:- Helpdesk (2a linje) 289:- PC-tekniker 330:- Nätverkstekniker 435:- Summa 1274:- Vissa konsulter tar fortfarande 1 275:- per timme. Av oss får du en hel IT-avdelning för den summan*. * KONSULTERNA KAN GIVETVIS ÄVEN KÖPAS VAR FÖR SIG. Stockholm 08-501 221 00 Malmö 040-636 71 00 www.peak-it.se
8 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET INSPIRATION Fråga: Vad innebär det att FMV förra året öppnade dörrarna till nya CSEC för IT-säkerhet? Svar: Certifiering av IT-säkerhetsprodukter behöver inte längre gå omvägen via utlandet. Utvecklare kan spara både tid och pengar. Nu kan du certifi era IT-säkerhet på svensk mark LEDARE TILL LEDARE CERTIFIERING CSEC (Sveriges Certifieringsorganisation) bildades vid FMV (Försvarets Materielverk) som följd av en utredning och proposition i Riksdagen, maj 2002. Tanken var att Sverige skulle vidta åtgärder för att öka säkerheten i samhället, och i detta låg även satsningen på IT-säkerhet. CSEC skulle fungera som ett certifieringsorgan som kunde evaluera och certifiera IT-säkerhet i produkter enligt standarden Common Criteria (ISO 15408). Man påbörjade arbetet 2003, och blev godkända under 2008. Syftet är att möjliggöra för användaren av IT-system att specifiera vilken ITsäkerhet man behöver. Det är många aspekter som ska tas i beaktning när man tillverkar IT-säkerhetsprodukter, säger verksamhetschef Dag Ströman. Man granskar inte bara produkten i sig, utan även utvecklingen och tillverkningsprocessen. Hela livscykeln ska godkännas. Vilka funktioner behövs? Det kan vara exempelvis kryptering, loggning eller behörighetskontroll, och det ska specificeras enligt Common Criteria och kontrolleras att produkten lever upp till kraven. Ett säljande företag kan även gå in som sponsor, det vill säga stå för kostnaden för att få en leverantörs produkt certifierad. Olika säkerhetsnivåer Det finns olika nivåer inom certifieringen. Dessa skiljer sig åt beroende på om produkten ska motstå mindre avancerade angripare eller mer kvalificerade angrepp. EAL1 är den lägsta nivån, och innebär att produkten kan klara av angrepp från en nyfiken användare, men inte mycket mer. Man testar helt enkelt produkten och läser manualen. För EAL2 läser man även designdokumentet och gör tuffare tester. På nivå EAL4 kontrollerar man också källkoden och får ett bra mått på motståndskraften. Det är användaren eller utvecklaren som bestämmer målsättningen. Säkerhetsmålsättning (eller på engelska Security Target ) kallas det dokument som uttrycker vilka hot produkten ska kunna möta och hur. Utifrån det ser man på vilka tester som bör genomföras, och stämmer av mot krav och målsättning. Men det är inte CSEC som utför de faktiska testerna, utan det sköts av evalueringsföretag. Även dessa måste givetvis godkännas, och FMV övervakar noggrant evalueringsföretagens processer och utvärderar deras arbete. Om dessa företag uppfyller FMV/ FOTO: HANS IVANSSON Dag Ströman Titel: Verksamhetschef, Sveriges Certifieringsorgan för IT-säkerhet, FMV/ CSEC Född: 15 april 1962 Födelseort: Göteborg Utbildning: Civilingenjör, Linköpings Tekniska Högskola Bakgrund: Preseco AB, Dynasoft AB, RSA Security. Senast chefsingenjör på TFS Technology CSEC:s krav får de godkännande att genomföra granskning av IT-säkerhet. När ganskningen är klar och om den visar att produkten motsvarar kraven, utfärdar FMV/CSEC ett certifikat. Certifieringen i sig garanterar alltså inte ett maximalt motstånd mot angrepp, utan där måste man kunna EAL-koderna. Dessa finns helt enkelt för att man inte ska ödlsa tid med rigorösa tester på en produkt som inte behöver det, säger Dag Ströman. Användaren måste läsa i produktens Security Target för att se om certifieringen motsvarar det egna behovet. Standarden gör det möjligt att få den säkerhet man behöver, men man måste själv veta vilken säkerhet det är. Granskning för att bli granskare Common Criteria finns i 26 länder, men bara tolv har etablerat den här typen av granskningsverksamhet som Sverige nu har i CSEC. För FM- Vs del innebar det att få besök av sju oberoende experter från USA, Frankrike, Italien och Sydkorea, som var i Stockholm i en vecka för att granska verksamheten innan den godkändes. Det är en betydelsefull verksamhet, säger Dag Ströman. I USA gäller till exempel att alla IT-säkerhetsprodukter som ska skydda kritisk information inom myndigheter måste vara certifierade, så det är ett stort antal produkter som kontinuerligt genomgår granskning. För svenska utvecklare har detta tidigare inneburit att man måste gå omvägen utomlands för att få sina produkter godkända om man exempelvis vill sälja till USA. Nu blir den processen mycket smidigare. Man slipper till exempel kostnader för resor och översättningar av manualer. Vanligt med misuse Evalueringsprocessen innebär att granska manualer, källkod, designdokument och göra funktionalitetstester, penetrationstester och sårbarhetsanalys. Ofta kontrollerar man även att utvecklarens egen utvecklingsmiljö är god, och att källkoden är bra från början. Men vilka krav ställs på användarvänlighet? Inga krav ställs på det rent estetiska, men det finns en säkerhetsrisk som kallas misuse, det vill säga att man använder produkten på ett felaktigt sätt. Man testar därför att kunden verkligen kan avgöra hur produkten ska användas. Missuppfattningar är en vanlig källa till sårbarhet. CHRISTIAN VON ESSEN Lüning Consulting tillhandahåller kvalificerade konsulttjänster inom informationssäkerhetsområdet. Dessutom erbjuder vi Secure LogEye - en säkerhetslösning för central logghantering, larm, logg- och nätverksanalys. Vill du vara med? Lüning Consulting AB Husbyborgsvägen 1 752 28 Uppsala Tel. 018-590 110 info@luning-consulting.se www.luning-consulting.se www.logeye.se
HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET APRIL 2009 9 FRÅGA & SVAR Andreas Halvarsson Chef för IT Risk & Compliance, Ernst & Young FOTO: ERNST & YOUNG Leder lågkonjunkturen till ökad säkerhetsrisk? Ja, till exempel drar företag och organisationer ned! på investeringar vilket drabbar underhåll och utveckling av IToch informationssäkerhet. Vågen av uppsägningar ökar säkerhetsrisken. Uppsagda medarbetare tar avsiktligt eller oavsiktligt med sig affärskritisk information från arbetsplatsen. Risken är att informationen hamnar hos konkurrenter eller kriminella. De som slutar kan också sabotera information eller radera filer av misstag. Dessutom saknar många organisationer rutiner för att stänga av inloggningskonton, passerkort med mera för dem som slutat. Som en följd av sjunkande nyförsäljning har de större programvaruföretagen börjat kräva av sina kunder att få inventera deras IT-miljöer. Syftet är kontrollera programanvändningen för att se om rätt licensavgift betalas. Detta innebär ofta att programvaruföretaget gör en fysisk inventering i kundens känsliga datahallar, vilket innebär en allvarlig säkerhetsrisk, varnar Andreas Halvarsson på Ernst & Young. COMMON CRITERIA Finns i 26 länder, men bara tolv har etablerat den här typen av granskningsverksamhet som Sverige nu har i CSEC. FOTO: ISTOCKPHOTO FOTO: ISTOCKPHOTO Informationssäkerhet ett måste! Succén med Försvarshögskolans kurser i informationssäkerhet fortsätter. Missa inte chansen att ta del av våra unika kurser som vi ger i samarbete med bland andra MSB, FRA, Sitic och CSEC. Anmäl dig till höstens kurser nu! Läs allt om INTERNATIONELL SPORT OCH STJÄRNOR på sportal.se! Nyheterna, analyserna och tipsen! Vi ger dig alla förutsättningar inför helgens matcher. Skadorna, avstängningarna och formkurvorna. På www.sportal.se får du alltid de senaste uppdateringarna. För mer information se: www.fhs.se/utbildning/militarteknik
10 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET NYHETER 3TIPS ISO 27000 Så används ISO 27000 i praktiken Fråga: Det kan vara svårt att förstå den faktiska implementeringen av ISO-standarder. Hur fungerar nya ISO 27000 i praktiken? Svar: Som en tydlig och handfast ledstång i arbetet med informationssäkerhet. För att på ett så tydligt sätt som möjligt exemplifiera användningen av ISO 27000 och dess implementering, har vi använt oss av det fiktiva företaget X. Varför började man arbeta med strukturerad informationssäkerhet? Företaget befann sig i en stark expansionsfas. Man köpte upp andra mindre bolag runt i världen och fann snabbt att hanteringen av information var väldigt olika på olika Vad innebär ISO 27000? FRÅGA & SVAR Ulf Löfven vd, Eklöw infosecurity AB Vad innebär ISO 27000? Den som tidigare har använt sig av ISO 9000 eller ISO 14000 har nog märkt att det handlar mer om dokumentation kring det man gör än om vad man faktiskt gör oavsett om det man gör är rätt eller fel. ISO 27000 är mer av en faktisk ledstång som visar var man börjar när det handlar om säkerhetsfrågor. Det ställen. Både intern och extern information färdades över landgränser och mellan de olika avdelningarna, och det fanns helt olika synsätt på hur säkerhetsarbetet skulle bedrivas. Ledningen såg risker med att kundernas information kunde hamna i fel händer alternativt inte komma fram alls. Hur gjorde man? Inledningsvis definierade företaget olika informationsty- 1 per- och klasser som man hade i sina system. Man utsåg informationsägare, det vill säga de som kan avgöra vilka krav på informationshantering som ska gälla för just deras information. Därefter definierades de risknivåer man ville ha. Informa- 2 tion hanteras utifrån krav på skydd (vilken grad av sekretess behövs?), leder en från början på ett strukturerat sätt, med regelverk och ledningssystem. Frågor som hur man till exempel leder en säkerhetspolicy från start till mål blir klarare med ISO 27000. Det är praktiskt och verklighetsförankrat, vilket gör det både lättare och viktigare att följa. tillgänglighet (ett inflygningssystem till en flygplats måste normalt ha högre tillgänglighet än ett kontorssystem) och datakvalitet (att informationen verkligen är korrekt). 3 En öppen dialog fördes med alla kunder där deras krav på informationssäkerhet diskuterades. Därmed kunde företagets kunder känna sig mer säkra på att deras information hade rätt klassificering och hanterades därefter. 4 Man inrättade en gemensam policy för informationshanteringen. Detta innebar att man skapade en gemensam teoretisk plattform för säkerhetsarbetet i koncernen. Samtliga inblandade visste på vilket sätt och med vilka prioriteringar säkerhetsarbetet skulle bedrivas. Praktiska frågor som får man läsa privat email på arbetsdatorerna? och hur ska Vad betyder de olika slutsiffrorna? Det finns ISO 27001 till och med ISO 27005, och de indikerar de olika stadier som man befinner sig i när det gäller säkerhetsfrågor. ISO 27001 handlar om vilka krav som ställs på ett ledningssystem för informationssäkerhet. ISO 27002 innehåller mer fördjupade råd kring hur man skapar en säker informationshantering på ett företag. Riskhantering hamnar under ISO 27005, och det hela utgår från ett väldigt strukturellt tänkande. ISO 9000 innebar mycket verksamhetsdokumentation, medan ISO 27000 möjliggör att du kan införa säkerhetsprocesser på ett strukturerat sätt i organisationen på en gång naturligtvis anpassat efter verksamhetens egna förväntningar och förutsättningar. Hur går det hela till när en ny standard utvecklas? Alla standardiseringar utvecklas av International Standard Organisation enligt de områden UTBILDA PERSONAL Genom att utbilda personal för hantering av informationssäkerhet får dem ett ökat medvetande och större förståelse för företaget. FOTO: ISTOCKPHOTO riskhantering gå till? beskrivs i policyn. Man konfigurerade system 5 och justerade supportorganisationen för att möta det nya arbetssättet. Detta innebar att supportpersonal i jour och beredskap kunde minskas med 15 personer, och avtal med outsourcingpartners omförhandlades till ibland högre nivåer, ibland lägre. Personalen fick genomgå en 6 utbildning för att hantera informationssäkerhet på rätt sätt. Därigenom ökade medvetandet och förståelsen för detta i företaget. Informationsägare började ställa krav på IT-avdelningar kring hur just deras information ska hanteras. CHRISTIAN VON ESSEN som tycks relevanta att standardisera för tillfället. Uppslagen kommer från olika håll, och det kan vara näringsliv eller politiker som initierar och kommer med idéer. Man tar upp frågan i kommittéer och sätter igång standardiseringsprocessen. Det hela tar ganska lång tid, men det innebär också att man kan få en bred förankring. Man börjar nämligen nationellt att arbeta fram förslag till den internationella kommittén. Så det blir ganska sammanhållande för branschen, att man får samlas kring en fråga och diskutera vad som fungerar och inte. CHRISTIAN VON ESSEN UTBILDNING Utbilda dig i informationssäkerhet Vill du förkovra dig i ämnet informationssäkerhet? Det finns flera möjligheter, både för intresserade privatpersoner och oroliga föret ag. Informationssäkerhet blir allt viktigare, både i privat och offentlig sektor. Detta har många utbildningsinstitutioner tagit fasta vid, och erbjuder utbildningar med allt från enstaka kurser till masternivå. När informationen i allt högre utsträckning flyttar till internetbaserade tjänster ökar sårbarheten för intrång. Många arbetsplatser har bristfälliga rutiner för att upptäcka eller avvärja intrång, och kompetent it-säkerhetspersonal är både dyr och en bristvara. Informationssäkerhet ses av många som en bransch i utveckling och en bra utbildning för framtiden. KTH och Stockholms Universitet har ett gemensamt program i informationssäkerhet som dock inte ges hösten 2009. Luleå Tekniska Universitet (LTU) ger också en masterutbildning i informationssäkerhet på två år. Programmet kan även genomföras på distans med hjälp av videokonferenser. Privata aktören Logica bedriver en högre säkerhetsutbildning (HAS) som är en praktisk kurs komprimerad till en termin. NFI Utbildning ger en tvådagarskurs i informationssäkerhet internt för företag i Stockholmsområdet. Malmö högskola ger en distanskurs på halvfart. Kursen heter Informationssäkerhet 1 och innefattar 7,5 högskolepoäng Blekinge Tekniska Högskola har flera kurser och program i ämnet. IT-säkerhet på 180 hp, Säkerhetsteknik på 120 hp samt ett magisterprogram i IT-säkerhet och fristående kurer i Informationssäkerhet och Hot och svek. CHRISTIAN VON ESSEN name.surname@mediaplanet.com
NYHETER NYHETER I KORTHET KORT Säkrare korthantering med PCI DSS Stulen kortinformation och kortbedrägerier har under en längre tid varit ett stort problem för kortindustrin. För att komma till bukt med problemen har säkerhetsstandarden PCI DSS tagits fram. PCI DSS (Payment Card Industry Data Security Standard) är en världsomspännande säkerhetsstandard framtagen av bland annat MasterCard, Visa och American Express. I grunden är säkerhetsstandarderna tekniska och operationella krav som beskriver hur organisationer som hanterar kortbetalningar måste arbeta för att förebygga kortbedrägerier, hackning av kort, och flertalet andra risker och hot. Genom att följa PCI DSS-standarden skyddas i sin tur säljande organisationer mot risken för att drabbas av stora finansiella förluster och är ett krav för att få hantera kortbetalningar. HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET Den största faran är brist på riskhantering Fråga: Är IT-avdelningen bäst lämpad att ansvara för och utforma säkerheten kring informationstillgångarna? Svar: Nej, informationssäkerheten kan bara axlas av de informationsansvariga. Endast de vet vilka krav som bör ställas på IT-säkerheten. Den enskilt största risken gällande företags och organisationers informations- och IT-säkerhet är bristen på handlingsplaner och rutiner för riskhantering. Många har bra tekniskt skydd, men saknar åtgärdsprogram och insikt om sina informationstillgångar, konstaterar Finn Frisch, Director Security & Privacy inom Enterprise Risk Services på Deloitte. Finn Frisch får medhåll av Andreas Halvarsson, chef för IT Risk & Compliance på Ernst & Young, som berättar att transparensen ofta saknas mellan system, processer och informationstillgångar. vwwcvcc Finn Frisch Director Security & Privacy inom Enterprise Risk Services på Deloitte. FOTO: DELOITTE Andreas Halvarsson berättar att alla affärskritiska informationstillgångar ska vara identifierade, värderade och riskbedömda. Först då kan ledningen besluta om acceptabla risknivåer och säkerhetsskydd. Ofta överlåter man ansvaret för informationssäkerhet till IT-enheten, vilket är helt galet. IT-specialisterna kan omöjligt veta vilken funktion eller information som är viktig eller oviktig för en viss affärsenhet eller linjefunktion. Endast de informations- och funktionsansvariga kan ta ansvar för informationssäkerheten och ställa rätt krav på IT-skyddet, understryker Andreas Halvarsson. Andreas Halvarsson Chef för IT Risk & Compliance, Ernst & Young FOTO: ERNST & YOUNG 4TIPS HANTERA RISKEN RÄTT APRIL 2009 11 Få har riskhanteringsprogram Andreas Halvarsson påpekar också att företag och organisationer ofta saknar kontinuitetsplaner vid störningar och katastrofer. Vad händer till exempel när hela den operationella IT-miljön havererar under en längre tid? För att överleva måste verksamheten snabbt komma på fötter igen. För detta krävs inte bara redundanta IT- och backupsystem, utan även krishandlingsplaner för varje enhet och informationstillgång. Hur påverkas till exempel företagets marknadsföring vid en omfattande systemkrasch orsakad av brand?, undrar Andreas Halvarsson. Sedan den 1 januari 2008 är statliga myndigheter ålagda att implementera ett ledningssystem för informationssäkerhet (LIS) i enlighet med ISO/IEC 27001. Och för många aktiebolag innebär bolagsstyrningskoden samt anpassning av lagstiftning i enlighet med det åttonde EU-direktivet och övergången till IFRS också hårdare krav på ökad informationssäkerhet. Många organisationer saknar ett fungerande ledningssystem för informationssäkerhet med motsvarande riskhanteringsprogram, även om de i likhet med myndigheter har explicita krav att leva upp till. Och hos dem som har ett bra program når det sällan ut i hela organisationen. Samtidigt finns det goda exempel som visar att ett strukturerat arbete med informationssäkerhet kan ge vinster både i pengar och arbetsglädje, anser Finn Frisch. PATRIK LONES SIS Informationssäkerhetsakademi Utbildningsserie för dig som ansvarar för, påverkar eller medverkar till verksamhetens informationssäkerhet. SIS Informationssäkerhetsakademi är indelad i tre nivåer: bas, fördjupning och expert. Mer information om Informationssäkerhetsakademins olika block, kurstider och anmälan hittar du på www.sis.se/isa Standarder får världen att fungera SIS Forum, Telefon 08-555 522 50, Fax 08-555 522 01, E-post forum@sis.se, www.sis.se/utbildning
12 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET PROFESSIONELL INSIKT IT-brott är ett allt vanligare hot, både mot företagshemligheter och rikets säkerhet. Säkerhetspolisen hjälper svenska myndigheter att skapa tillräcklig motståndskraft. Men samtidigt är tekniken snabbare än lagstiftningen på området. Emil Nordström Ansvarig för IT Forensics på Cybercom Group. FOTO: MICHAEL ALM Säpo skyddar rikets informationssäkerhet Vi befinner oss i ett obskyrt mötesrum på Polishuset i Stockholm, närmare bestämt på Säkerhetspolisens domäner. Säkerhetspolisen arbetar med kontraspionage, kontraterrorism, författningsskydd, säkerhetsskydd och personskydd. Allt utgår från att det finns en antagonist bakom hoten, men medan man inom övriga verksamhetsområden till stor del utgår från antagonisten, koncentrerar sig säkerhetsskyddet på det skyddsvärda. Säkerhetspolisens säkerhetsskyddsenhet arbetar främst med tillsyns- och rådgivningsverksamhet. De utövar tillsyn över och ger råd till svenska myndigheter. Som experter inom områdena informationssäkerhet, säkerhetsprövning, tillträdesbegränsning och upphandling med säkerhetsskyddsavtal ger de myndigheterna stöd i deras säkerhetsskyddsarbete. Grunden i arbetet är myndigheternas egna säkerhetsanalyser i vilka de har identifierat det mest skyddsvärda och vårt arbete sker i samverkan med respektive myndighet, säger Bengt Angerfelt, chef för säkerhetsskyddsenhetens informations- och IT-säkerhetssektion. Säkerhetspolisens styrka är vårt helhetsgrepp på säkerhet och våra kunskaper om vissa aktörers angreppsmetoder. Hot mot rikets säkerhet Säkerhetspolisen gör sin tillsyn utifrån myndighetens analys och bedömning av vad som är mest skyddsvärt. Man ser över de ovan angivna områdena och Bengts sektion arbetar då med informationssäkerheten, som avser såväl styrande dokument och rättsliga regler som IT-säkerhet. IT-säkerhet är ett brett område och avser bland annat nätarkitektur och tekniska skyddsåtgärder som brandväggar, intrångsdetekteringssystem och behörigheter. Innan man startar en tillsyn har även säkerhetsskyddsenhetens analyssektion undersökt om det finns några aktuella hot mot den verksamhet som ska kontrolleras. Hot är färskvara och kan förändras mycket snabbt varför man utgår från någon form av dimensionerande hotbild som man ska kunna möta. Säkerhetspolisens uppgift är i första hand hot mot rikets säkerhet och skyddet mot terrorism men i sitt uppdrag att delta i arbetet mot organiserad brottslighet arbetar man även med att utreda hot mot förtroendevalda, myndighetsföreträdare och journalister. I andra fall lämnas ärendet över till andra polismyndigheter för utredning. Privatisering och kommersialisering är två viktiga ingredienser i den nya typen av hot mot nationella intressen, och när allt kan styras via nätet blir sårbarheten påtaglig. Tidigare ägdes kritisk infrastruktur nästan alltid av staten, och systemen var unika enheter separerade från varandra. Idag ägs de flesta infrastrukturer av ekonomiska intressen, och styr- och reglersystemen är datoriserade och kopplas allt oftare ihop med omvärlden. Det gäller både telekommunikation, energiförsörjning, transportsystem och andra infrastrukturer. r. Allt ska vara tillgängligt, billigt och effektivt. Men hur är egentligen n säkerheten? Det kan finnas många olika skäl för en aktör att göra intrång i dessa sektorer. Nya länder och nya aktörer Antalet aktörer på internet ökar ständigt vilket även inneburit att IT-brottsligheten har ökat de senaste åren. Om det tidigare handlade om att tillfredsställa sitt hacker-ego för att skapa rubriker har brottsligheten idag en betydligt mer kommersialiserad karaktär. Dessutom krävde dåtidens dataintrång oftare djupa kunskaper. I dag finns det mesta tillgängligt på internet för att till exempel kunna utföra ett dataintrång eller skapa ett virus. Det är också nya länder som seglar upp inom IT-brott, säger Bengt Angerfelt. Djupare polisiär samverkan saknas ibland med vissa av dessa och vi har inte jurisdiktion att gå efter förövare i andra länder. Visst finns samverkan inom Interpols cirka 180 medlemsländer, men anonymiteten som finns på nätet är fortfarande ett INSIKT Privatisering och kommersialisering är två viktiga ingredienser i den nya typen av hot mot nationella intressen, och när allt kan styras via nätet blir sårbarheten påtaglig. Bengt Angerfelt Chef för informations- och IT-säkerhetssektionen på Säkerhetspolisen. FOTO: CHRISTIAN VON ESSEN problem för oss. Bengt Angerfelt menar att den kanske största sårbarheten mot informationssäkerheten idag ligger i vad han kallar för mono-kultur i kombination med internets anonymisering och brister i lagstiftningen. Eftersom så många använder Microsoft eller Linux som operativsystem så innebär en upptäckt sårbarhet i dessa att väldigt många användare har en sårbarhet som kan användas av en angripare. Det kan få allvarliga konsekvenser, säger Bengt Angerfelt. Det vi har sett är exempelvis bankomater som utnyttjade Microsofts programvara drabbats av blåskärm eller visat Windowsloggan. Lätt att rekrytera Att hitta personer som man kan ha intresse av att försöka värva för olovlig underrättelseverksamhet eller vilseleda i någon brottslig handling underlättas av den stora exponering av personliga uppgifter som görs på olika typer av forum och communities. Brottslighet på nätet kan ibland ske tämligen riskfritt eftersom gärningsmannen inte exponerar sig på samma sätt som då traditionella brottsmetoder används och det finns en mängd metoder att göra sig anonym. Det står idag tydligt att lagstiftningen inte är anpassad för detta internet är gränslöst medan lagarna i huvudsak är nationella. Det vanligaste felet vi ser hos myndigheter är att deras säkerhetsanalyser inte håller tillräckligt hög kvalitet, säger Bengt Angerfelt. Dessutom finns det ofta ett glapp mellan teori och praktik när det gäller säkerhet, och vi har informationssäkerhetsspecialister som tillsammans med IT-säkerhetsspecialister utreder detta glapp och föreslår lämpliga åtgärder för att rätta till detta. Sen är det ofta slarv med uppdateringarna av programvaror. IT-brottslingarna går alltid på den svagaste länken, så både operativsystem, virusprogram, webbläsare och andra tjänster bör ha de senaste uppdateringarna. CHRISTIAN VON ESSEN SÄKERHET Digitalisering ökar risken för spionage Företagsspionage är vanligare än man tror närmare 50 procent av landets större företag kan ha blivit utsatta. Med digitalisering följer lätta byten för kriminella nätverk som blir allt mer avancerade. Vad som egentligen klassas som företagsspionage är en definitionsfråga. Det beror helt enkelt på syftet med informationen. Ska en anställd börja hos en konkurrent, eller tar han med sig känslig information för att bygga upp en helt ny verksamhet? Företagsspionage är i alla fall något som kan hända vem som helst. Men framförallt är det antingen aktörer som ligger i forskningens framkant, eller de som helt enkelt är väldigt stora som råkar ut för det. Värde som väger lätt Emil Nordström är ansvarig för IT Forensics på Cybercom Group. Han arbetar med internationella Task Force Teams för att motverka spionage på företag. Med tusentals forskningstimmar som kanske resulterar i en upptäckt på några kilobyte blir det ett lätt byte för den som är kunnig på sitt område. Oftast är det internt som säkerheten brister, men Emil Nordström ser även ett hot i tungt kriminella strömningar. Vi ser en trend att maffiaorganisationer och kriminella syndikat knyter till sig folk från hackercommunities, som i princip agerar svarta IT-konsulter. Det finns oerhört mycket pengar att hämta i den digitala världen. Kombinerat med låga risker och eftersläntrande lagstiftning blir det förstås en guldgruva. Blåögda svenska företag De flesta delar av världen tar hotet om företagsspionage på allvar och agerat proaktivt med sitt säkerhetsarbete. Historiskt sett har vi haft mindre problem med tung kriminallitet och industrispionage i Sverige men den trenden är på väg att vända. Emil Nordström tycker svenska företag är för blåögda. Jag skulle vilja påstå att åtminstone 50 procent av större företag varit utsatta för någon form av företagsspionage de senaste fem åren. I Sverige ligger vi helt klart efter med beredskapen.
www.eurosecure.com
14 APRIL 2009 HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET EXPERTPANELEN Jerker Löf Affärsområdeschef informationssäkerhet Combitech AB Staffan Persson vd och grundare till Atsec Wiggo Öberg Expert informationssäkerhet, MSB FOTO: COMBITECH AB FOTO: MSB Fråga 1: I dessa kristider med cost reduction som ledord, vilka områden inom säkerhet är viktigast? Och vilka är mindre viktiga? Ledning och styrningsfrågan är viktigast. Hur är vårt säkerhetsläge? Genom att integrera säkerhetsarbetet i ledningsrummet går det att effektivisera sina verksamhetsprocesser och därmed spara stora kostnader. Genom att integrera säkerhetsarbete i affärsprocessen går det att öka sin konkurrenskraft och vinna fler affärer. God riskhantering. Det vill säga försäkra sig om att investeringarna reducerar de faktiska riskerna. Det innebär inte nödvändigtvis dyra utan välriktade satsningar. Det kan även innebära att minska exponeringen hos verksamheten. Genom att inte förstå vilka risker som är mest kritiska har man tidigare kunnat slösat. Den lyxen kan man idag inte kosta på sig. Det går knappast att uttrycka generellt vilka områden som är viktigast - det varierar rimligen från verksamhet till verksamhet. Man kan möjligen anslå en mera kortsiktig inriktning på åtgärder, d v s att inrikta sig på sådant som kan innebära en ökad risk med hänsyn till rådande finansiella kris. De flesta verksamheter känner av den och är därmed mera sårbara när det gäller många typer av störningar, inte minst störningar i sin informationsbehandling, det vill säga informationssäkerhets- och IT-säkerhetsrisker. Fråga 2: Hur högt på agendan bör informationssäkerhet vara för företag? Ansvaret för dessa frågor ligger på företagsledningen och ska finnas med på agendan. Ledningen ska jobba proaktivt genom att ha kontroll på sina risker, göra dem till kändisar och fatta beslut utifrån koll på läget. Dålig kontroll leder till reaktiva kostsamma åtgärder och långa ledtider. Risker som inte är kändisar kan få förödande konsekvenser. Informationssäkerhet bör inte vara en separat punkt på agendan som man kan prioritera upp eller ner utan en del av av verksamheten. På samma sätt som att ingen ifrågasätter trafikförsäkring då det är en del av bilkostnaden. Hanteras den separat leder det ofta till åtgärder som varken är effektiva eller är anpassade till verksamhetens behov. Arbetet med informationssäkerhet måste ha ett tydligt inslag av försäkringstänkande. Att informationssäkerheten är tillräcklig kan vara avgörande för ett företags fortlevnad och därför är det i högsta grad en ledningsfråga. I kristider är det än viktigare att med hjälp av bra riskhantering säkerställa att man vidtar åtgärder för att minska sin sårbarhet det vill säga minskar risken för störningar som kan ge allvarliga konsekvenser. Fråga 3: Var ser ni det största hoten mot informationssäkerhet idag? Det största hotet är att informationssäkerhet hanteras isolerat av specialister. Då blir informationssäkerhet ett hinder för samverkan och fortsatt utveckling. Investeringarna blir olönsamma. Nya målgrupper ska attraheras och informationssäkerhet ska skapa möjligheter i stället för begräsningar. Säkerhetschefen ska vara en strategisk resurs för företaget, inte en specialist. Komplexiteten i dagens IT-system och den ökade angreppsytan det innebär. Vi kan inte förvänta oss att till exempel komplexa web-applikationer motstår normalbegåvade angripare helt enkelt för att det finns för mycket angreppsyta och komplexitet i systemen. Därutöver finns en bristande förståelsen för säkerhet som innebär säkerhetsstandarder mer tillämpas som en intellektuell övning. Vissa standarder uppmuntar tyvärr till ett beteende som leder till formalism och en stor mängd dokumentation. Beror på verksamhet men i stort går utvecklingen mot en allt högre affärsmässighet inom IT-relaterad brottslighet och bedrägerierna blir mer sofistikerade. Användning av nya tjänster medför ökade risker då säkerhetsfrågan ännu inte är ett starkt användarkrav. Funktion och användarvänlighet går före säkerhet och det finns på många håll ett otillräckligt säkerhetsmedvetande. Viktigt att ha kontroll över informationshanteringen och att förstå hotbilden. SKJORTOR I TRE ÄRMLÄNGDER DET TOTALA SKJORTKONCEPTET ARM STRONG-skjortan finns i reguljär, extra lång och lite kortare ärmlängd. Dubbel och enkel manschett. ARM STRONG-skjortan finns även i en slimmad modell i reguljär och extralång ärm. TILLBEHÖREN ARM STRONG-slipsarna är av finaste italienska helsidenet. Matchande sidennäsdukar. Manschettknappar. BONUSKLUBBEN Unik och enkel bonusklubb. Det kostar inget att vara med i den. Det behövs inget plastkort. Man handlar i sin egen takt och vi för statistiken. Välkommen! Humlegårdsgatan 4, vid Östermalmstorg, Stockholm. Öppet: Vardag 10.30 18.30 Lördag 10.30 16.30 Shop online: www.armstrong.nu Premiärerbjudande på vår nya shop online. Fyll i koden MP2204 i kassan så får Du som Mediaplanet-läsare 10% rabatt. Erbjudandet gäller t.o.m 22/4 2009.
NYHETER HELA DENNA TEMATIDNING ÄR EN ANNONS FRÅN MEDIAPLANET 5TIPS APRIL 2009 15 TIPS Hantera sajter försiktig Idag har många människor konton på en eller flera så kallade sociala sajter som Facebook, MySpace med flera. Vårt sociala nätverkande ger tjuvarna fantastiska möjligheter att stjäla identiteter. Allt de behöver göra är att knäcka ditt användarnamn och lösenord, sedan kan de låtsas vara du och mejla alla dina kontakter för att sprida skadlig kod, budskap eller nästla sig in på något specifikt företag. Skaffa ett lösenord Förutom att vara uppmärksam på om någon annan än du själv använt något av dina nätkonton, på exempelvis Facebook, bör du skaffa ett lösenord per konto för att minska risken. De flesta använder samma användarnamn och lösenord för alla sina konton vilket gör det enkelt att logga in, men också lätt för kriminella att hacka sig vidare in i personens privata sfär. Det finns olika program som kan hjälpa till att hålla reda på uppgifterna, exempelvis Password Safe. 190 miljoner blir av med sin identitet 2009 Fråga: Om jag inte är en nyckelperson på ett företag eller en organisation, eller en makthavare, så kan väl inte min digitala identitet vara värd att stjäla? Svar: Fel, allas identiteter är intressanta eftersom de kan användas som bräckjärn in till både digitala och sociala nätverk som kan användas i kriminella syften. Under 2009 tror vi att runt 190 miljoner människor i världen kommer att bli av med integritetskänslig digital information. Sedan 2005, då vi började att följa upp omfattningen av problemet, har omkring 350 miljoner människor i världen drabbats, upplyser Fredrik Ohlsson, Affärsområdesansvarig för informationssäkerhet inom KPMG IT Advisory. Nätattackerna blir alltmer professionella och utförs i allt större utsträckning av organiserade internationella ligor. Den typiska Fredrik Ohlsson Affärsområdesansvarig för informationssäkerhet, KPMG IT Advisory. FOTO: KPMG hackern som bara bryter sig in i nätverk och servrar för skojs skull och för att vinna högre status i hacker-nätverken står för en liten del av nätbrotten. Dramatisk brottsutveckling De kriminella ligorna är bland annat ute efter människors elektroniska identitet, inloggningsuppgifter till finansiella system och kreditkortsuppgifter. Din identitet kan till exempel användas för inköp, industrispionage eller för att sprida skadlig kod eller vilseledande information vidare till olika målgrupper. I lågkonjunktur är det tyvärr Sebastian Zabala Teknisk produktchef, Panda Security FOTO: DANIEL NYSTRÖM, PCM INTERNATIONAL AB. många företag som felprioriterar när det gäller informationssäkerheten och det är det som kriminella hackers kapitaliserar på, menar Fredrik Ohlsson. Banktrojaner största hotet Den vanligaste typen av identitetsstöld via skadlig kod sker med så kallade banktrojaner. Dessa ligger dolda i datorn och tjuvlyssnar på användarens nätkommunikation och transaktioner med banken. I värsta fall kan de manipulera kontonumren i webbläsaren så att du för över pengar till förövarnas konton, utan att du märker något, upplyser Sebastian Zabala, Teknisk SKYDDA DA DIN IDENTITET Produktchef på Panda Security. Sebastian Zabala berättar att en banktrojan kan injicera html-kod i din webbläsare, så kallad man-inthe-browser-attack, och därmed styra kommunikationen med din internetbank. Än så länge har den här typen av attacker inte varit särskilt vanliga eller framgångsrika i Sverige, men tendensen finns. I många länder där man bara använder enkla inloggningar med användarnamn och lösenord är banktrojaner ett jätteproblem. Svenska banker har hittills klarat sig bra vid dessa attacker, tack vare deras moderna inloggnings- och krypteringstekniker som exempelvis digipass. Men det betyder inte att den här typen av attacker inte kan lyckas i Sverige. Det är bara betydligt svårare för brottslingarna, varnar Sebastian Zabala. PATRIK LONES Är ni oroliga för informationsstöld? 66 % av Sveriges företag är oroliga för stöld av information* Behöver ni skydda tillgångar och kunskap från intrång och stöld? Behöver ni vidareutveckla ert säkerhetsarbete? Söker ni enkel, kompetent och kostnadseffektiv expertis i säkerhetsfrågor? *Källa KPMG rapport mars 2009 Om du svarar ja på någon av ovanstående frågor kan det vara en bra idé att hyra in en erfaren säkerhetschef på deltid. Vi har mer än 20 års erfarenhet av skydda såväl civila som militära tillgångar. er att utveckla ert säkerhetsarbete utifrån era förutsättningar! Ring eller skicka ett mail så kontakter vi dig för en kostnadsfri konsultation! Tel: 08/760 08 80 info@djurling.se DSI är säkerhetskonsulter inriktade på skydd av immateriella tillgångar: kunskap, kompetens och strukturkapital. Besök www.djurling.se för mer information
Personlig e-legitimation - E-tjänstelegitimation Serverlegitimation VAD TYCKER DU? Finns det verkligen situationer där man bör använda sitt personnummer i tjänsten? Fredrik Börjesson, Konsultchef, Steria säkerhetslösningar Finns det någon fara med att använda sitt personnummer i tjänsten? Idag använder vi personnummer nästan överallt i vårt digitala samhälle. Under det senaste året har jag varit i diskussioner med en rad kunder och e-tjänsteägare om hur man använder personnummer på sina arbetsplatser. Det är många som känner en stark olust och frågar sig varför man skall behöva använda sitt personnummer i tjänsten. POLISEN. När poliser står uppställda i sin kravallmundering har de ett nummer på den enskilda polismannen eller poliskvinnan, men det är inte deras personnummer. Det är ju ganska självklart för de inte kan skylta med sitt personnummer på hjälmen, även om på samma sätt, inget personnummer utan ett speciellt nummer dedicerat för poliser och en del andra personalgrupper. LÄKARE. Nästa grupp är alla läkare som jobbar på våra sjukhus, där de har ett id-kort som de visar upp på läkarrocken. De har en speciellt utformad korthållare som gör att man döljer själva personnumret, detta för att det inte anses lämpligt att visa upp det för patienter. Samma sak gäller för det elektroniska id-kortet enligt SITHS konceptet, där man använder ett anställningsnummer istället för ett personnummer. SOCIALTJÄNSTEN. De förstnämnda grupperna har redan gjort en bedömning att personnummer inte bör användas i tjänsten på grund av risk för hot eller annan typ av otill- socialtjänsten där de inte heller vill använda personnummer i tjänsten. Länsstyrelsen eller andra myndigheter inom den publika sfären. KRONOFOGDEN. kronofogdemyndigheten, där det är självklart att man inte skall använda personnummer i sin tjänsteutövning. tjänstemän har råkat ut för någon otillbörlig påverkan, enligt Brottsförebyggande Rådet.*) Det sker en accelererande förändring av tjänster där man vill slippa användningen av inloggningskonton och lösenord utan i större utsträckning övergå till användning av en personlig e- legitimation eller kanske en e-tjänstelegitimation. Säker e-post endast sporadisk användning av dessa. Jag tycker att det är självklart att man ska separera sin tjänsteidentitet från sin personliga identitet, eller personnummer. Vad tycker du? Eposta gärna dina tankar om personnummer i tjänsten till mig på fredrik.borjesson@steria.se Läs mer på www.steria.se