Insecure in Security – ”Säkerhet är så mycket mer än teknologier”

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på Intel Security i Sverige.

Veckans sammandrag handlar om teknik och processer

Säkerhet är så mycket mer än teknologier
I mitt yrke träffar jag regelbundet en mängd IT-säkerhetschefer på olika företag, inom olika branscher, och både inom offentlig och privat sektor. Det är alltid intressant och lärorikt att diskutera utmaningar de olika verksamheterna står inför. Gemensamt för de flesta företag jag möter är dock att samtliga känner att de har för knappa resurser att hantera och kontrollera IT-säkerheten. Även om vi även diskuterar AET, Ransomware, Phishing, APT, Botnets, DDoS, Shellshock och så vidare så landar vi ofta till slut i en diskussion om resurser.

Ofta hör jag CIO:er som säger – ”hur ska vi kunna hålla vår verksamhet säker när stora bolag som Home Depot med en stor stab av tekniker och en budget som får vår att se ut som växelpengar inte klarar att säkra sin verksamhet?”.

Jag brukar be dem att ändra den frågeställningen och fråga sig: ”var gick det fel för Home Depot, hur kom det sig att de inte kunde hålla deras kunders data skyddad och hur kom det sig att de inte själva upptäckte läckan?”

För vad är IT-säkerhet egentligen? För mig så är IT-säkerhet en blandning mellan teknologier och processer där båda byggstenarna är minst lika viktiga för att säkerhet ska uppnås. Att bara ha processer utan någon form av teknologi är inte speciellt framgångsrikt, inte heller att bara ha teknologier utan någon form av process.

Det sistnämnda är trist nog vanligare än vad många tror. Svenskar har enligt min erfarenhet som ”outsider” i sin DNA en övertro på just teknologier och investerar ofta mycket pengar på den senaste tekniken i tron att alla problem nu är lösta, för all framtid.

När jag föreläser brukar jag ställa frågan ”hur många här har dokumenterade processer för hur ett upptäckt hot ska hanteras?”. Senast jag föreläste körde jag fyra fullsatta sessioner och det var endast två deltagare som räckte upp handen. Det här är, enligt mig, exakt samma problem som Home Depot hade, en övertro på teknik utan att ha fungerande processer och rutiner. IT-säkerhetschefen på Home Depot sa i ett känt citat ”We sell hammers” och menade att risken att de ska utsättas för en attack är så pass låg, eftersom de bara säljer – ja, hammare. På grund av denna naiva självbild skapades inga tydliga rutiner och det hela slutade med, som vi alla vet, att det var banker som upptäckte att Home Depot blivit hackat, inte Home Depot själva.

Jag vill mena att det största hotet mot verksamheten idag är vi själva, vi som ansvarar för säkerheten. För det är ofta vi som blir den svagaste länken. För det är vi som måste hantera, underhålla och - viktigast av allt – agera när något sker. Utan tydliga och genomarbetade processer så är chanserna att hot och attacker inte hanteras korrekt eller ännu värre, inte upptäcks överhuvudtaget.

Det här kan låta kontraproduktivt med min bakgrund där många tänker att mitt jobb är att just sälja säkerhetsprodukter. Jag ser dock att jag har ett ansvar gentemot kunder att ge den bästa typen av rådgivning jag kan. Så om du känner du igen dig och din verksamhet i att ni inte har tydliga processer så är mitt råd enkelt. Investera i att utbilda din personal och skaffa tydliga säkerhetsprocesser som täcker allt från hur en attack hanteras till hur man genomför säkerhetskontroller i nätverket. Om det sker på bekostnad av någon ny, blänkande tekniklösning så må det vara hänt…

För vad händer om den där enda brandväggsexperten är sjukskriven eller ledig när något sker, finns det någon annan i personalen som kan hans arbete som kan ta vid eller är ni körda?

En begränsad IT-budget är bäst investerad i såväl teknologier som utbildning.