IT säkerhet från skyttegraven- Del 1

Hej kära säkerhetsintresserade läsare. Mitt namn är Peter Swedin, jag har förmånen att arbeta tillsammans med några av Sveriges vassaste nätverks- och infrastruktursäkerhetsexperter på Omegapoint. Eftersom det är hjärtefrågan tänkte jag skriva några rader om detta område och de utmaningar som vårt team ofta möter. Hur hanterar vi säkerhetsrisker och hur skulle vi vilja hantera dem?

I del 1 belyser jag säkerhet ur ett affärsperspektiv, vad är tillräckligt god säkerhet ur organisationens synvinkel? Del 2 blir en godispåse av olika säkerhetstekniker ur ett IT-infrastrukturperspektiv.

”Klientsäkerhet? Jajamensan! Vi har en svindyr brandvägg!”

Ovanstående är en kommentar vi säkerhetsexperter alltför ofta har hört och nu vill jag punktera den känsla av falsk trygghet som ofta finns på företag och organisationer. Nämligen känslan att allt är bra eftersom inget har hänt (vad man vet). Problemet är att vi IT-proffs ofta underblåser den känslan. Hur då? Vi kan raskt konstatera att IT området är stort, brett och djupt, komplicerat och fascinerande. När tekniker försöker förmedla den känslan för icke-tekniker uppstår snabbt språkförbistringar och ämnesglidningar. Säg den ledningsgrupp som förstår begrepp som nätverkssegmentering, PKI, stark autentisering, patch management, SSL VPN och andra häftiga tekniska lösningar och jag kan sätta en vacker slant på att det har skett många möten mellan ledningen och duktiga tekniska kommunikatörer som kan förklara vad teknik XYZ har för bäring på organisationens affärsrisker.

Vad vill ledningen höra?
Smaka på detta: Det här är denna fråga ledningen vill ha svar på: Vilka affärsrisker hanteras genom införandet av systemet, tekniken eller processen?

Problem ur verkligheten/skyttegraven
Vi tar ett exempel: En kund hade identifierat ett problem i informationshanteringen, användarna sparade mängder av affärshemligheter på sina laptops. Detta hade flera säkerhetsimplikationer och risken att en laptop med känslig information skulle tappas bort och informationen hamna på villovägar bedömdes som stor.

Säkerhetsexperternas reaktion
Knäreflexen från oss säkerhetsfolk är att lösa problemet på bästa tekniska sätt, men är det verkligen rätt? Diskussioner fördes kring informationsklassning, DLP (data loss prevention), inlåsning av informationen i säkra digitala valv, starkare autentisering och andra tekniker som, i ärlighetens namn, kostade mer än de smakade för just den organisationen. Även om datat hade ett skyddsvärde fanns det som alltid en budget att hålla sig till, begränsade resurser och för få tekniker (kängor i leran) som kunde drifta den fantastiska tekniska lösningen som skulle förinta dataförlustrisken.

Resultatet
Vad hände? Jo, det blev en lösning som fick anses som ”good enough”: Full hårddiskkryptering med central hantering. Eftersom kunden redan hade rullat ut en version av Windows där licensen för BitLocker ingick (Windows Vista Ultimate i det här fallet, men funktionen ingår även i Windows 7 Enterprise och Ultimate). De privata nycklarna gömdes i TPM chippet användarna fick autentisera sig med en lagom komplex PIN kod när de startade datorn eller väckte den från viloläget. BitLocker är inte en perfekt lösning men det bedömdes som tillräckligt för att hantera risken.

Framtida satsningar
I förlängningen förs det fortfarande diskussioner att bygga en säkrare miljö med smartkortsautentisering av användarna men även här är det affärsverksamheten som måste vara drivande. Därför ses smarta kort inte som en säkerhetsåtgärd utan som ett sätt att förenkla för både användarna och IT-organisationen. Man planerar att knyta ihop inloggningssystemet med passersystemet. Effekten skulle bli att man utnyttjar den befintliga rutinen för kontaktlösa passerkort och lägger till ett smartkortschip på korten för inloggning mot Active DirectorySSL VPN). Användarna skulle i.s.f. uppleva att de får kortare ”lösenord” (PIN koden till smartkortet) och snabbare inloggning mot VPNet. IT-avdelningen skulle spara stora pengar genom att slippa hantera många fall där användarna glömt bort sina lösenord, kortutfärdarna (receptionen i detta fall) skulle märka av ett par extra moment för att registrera smartkorten (certifikatsutfärdningen).

Slutsatsen
Om den satsningen blir av eller inte kommer att avgöras på det krassa ekonomiska budgetbordet. Är detta en åtgärd som hanterar en affärsrisk? Är detta en åtgärd som höjer produktiviteten hos användarna? Vilka problem kan inträffa, särskilt med avseende på tillgänglighet? Och så vidare. Slutsatsen blir som alltid:
Bygg systemen rätt!Bygg rätt system!

Samma tid samma kanal
I del 2 av denna bloggpost kommer jag att fokusera på vad man kan bygga inte vad man borde bygga. Motsägelsen är uppenbar, först säger jag att man skall bygga det affärsverksamheten behöver, i nästa andetag springer jag iväg och vill bygga det tekniker med fuktiga ögon (och tro det eller ej, helt utan ironi) kallar Det Perfekta Systemet. Meningen är att ge läsaren en godispåse att välja ur. Vad behöver vi? Vad vill vi ha? Vad har vi råd med? Prioriteringen lämnas som hemarbete åt den intresserade läsaren eller varför inte i samråd med undertecknad?

Välkommen åter!

Peter Swedin
domänen (Windowsinloggning) upplåsning av krypterade USB minnen och autentisering mot distansarbetsplatsen (

0 kommentarer :: IT säkerhet från skyttegraven- Del 1

Skicka en kommentar