Experten: Behövs ett paradigmskifte i synen på säkerhet
Säkerhet
Informations- och cybersäkerhetsrådgivaren Tommy Carlsson Rasmuson vill se ett paradigmskifte i synen på informationssäkerhet i både offentlig och privat sektor. Telekom idag har pratat med honom om nya innovationer inom säkerhetsområdet, vad datasuveränitet egentligen innebär och varför kravställningen mot leverantörerna behöver bli hårdare.
På grund av det osäkra omvärldsläget och flera uppmärksammade hackerattacker de senaste åren, har it-säkerhet blivit högprioritererat för företag och organisationer. Men det är mycket, i framförallt informationssäkerhetsarbetet på teknisk nivå, som släpar efter enligt den oberoende säkerhetsrådgivaren Tommy Carlsson Rasmuson.
Exempelvis tycker han att diskussionen om datasuveränitet, som blossade upp efter Schrems-domarna, haft ett för ensidigt fokus på var datacentren ligger rent geografiskt.
– Jag tycker många har snöat in på saker som egentligen är ganska marginellt gällande nivån på information- och cybersäkerhet. Det är så klart relevant var data lagras utifrån cloud act, men det är bara en ytterst liten komponent. Bara för att din data lagras i ett svenskt datacenter har du inte fullständig datasuveränitet eftersom de inom infrastrukturen med privilegierade rättigheter har access till kundens unika information som lagras, säger han och fortsätter:
– Fullständig datasuveränitet måste ju innebära att bara den som skapat och lagrat informationen och personer som man delat denna information med kan komma åt den känsliga informationen.
Enligt Tommy Carlsson Rasmuson stavas lösningen nya tekniska innovationer, så som svenskutvecklade microsharding-tekniken. Den går ut på att data delas upp i väldigt små delar, så kallade mikrofragment (ner till fyra tecken), falsk data tillsätts för att sedan blandas och distribueras till olika valda lagringsmiljöer.
I princip omöjligt att sätta samman filerna
Enligt honom innebär denna teknik, att om någon vid till exempel ett hackerangrepp med krav på ransomware kommer åt organisationens unika data, är det i princip omöjligt att kunna sätta samman de distribuerade filerna trots att man har all nödvändig information.
– När du jobbar med it-säkerhet måste du börja inifrån och jobba dig ut. Problemet är att vi fortfarande gör precis tvärtom. Trots att alla vet att den som vill ta sig in kommer att ta sig in, fortsätter man i samma gamla hjulspår med att bygga lager på lager.
– En klar majoritet av alla attacker sker inifrån. Hackarna riktar in sig på personer med privilegierade behörigheter och kan på det sättet få tillgång till känslig data. Ändå verkar företag och myndigheter tro att lager på lager kommer hjälpa.
Hur ska man göra i stället?
– Om du i stället skyddar din organisations unika data ner på filnivå, så säkerställs att till exempel patientdata och känslig finansiell information vid en ransomwareattack inte kommer i felaktiga händer. Om ett angrepp ändå händer, så begränsas skadan till själva applikationen och att återställa denna.
– De flesta hackerattacker har ett ekonomiskt motiv. Därför behöver ett informationssäkerhetsarbete utgå från att minska attackytan och att verkligen skydda känsliga data. Microsharding-teknik har sin bästa tillämpning för ostrukturerad data, som står för cirka 80-90 procent av all data.
Säkerhetsrådgivaren har diskuterat microshardingtekniken med höga företrädare på en av de större it-återförsäljarna med en stor konsultorganisation på den nordiska marknaden.
– De sa att tekniken är väldigt intressant för dem, men först när de inte längre kan sälja konsulttimmar. Där har du det stora problemet. De stora spelarna vill inte lösa grundproblemet utan att detta negativt påverkar deras försäljning av konsulttimmar.
– Det är också väldigt många som tjänar stora pengar på incident-respons-recovery och på att lära ut om vikten av förändrade beteendemönster.
Inte kunnat hänga med i utvecklingen
Det är enligt säkerhetsexperten en kombination av resurs- och kompetensbrist, som gör att myndigheter, kommuner och regioner inte kunnat hänga med i teknikutvecklingen.
– Det tar enorm tid att göra upphandlingar av nya säkerhetslöningar i offentlig sektor. För att undvika detta använder man sig av samma konsultbolag man redan upphandlat för att hålla sig ajour med teknikutvecklingen.
– Eftersom dessa företag som också agerar som trusted advisor till många organisationer och, som i sin tur gör vad de kan för att säkra sina konsultintäkter så händer det ingenting som hjälper organisationen att säkert skydda sin känsliga information, men också att kunna minska kostnaderna för cybersäkerhet och ransomwareattacker.
Svenska myndigheter och andra offentliga organisationer behöver bli betydligt bättre på att kravställa i upphandlingar gällande tekniskt skydd avseende informationssäkerhet i bland annat drift- och lagringstjänster, men även hur man i den egna miljön ska kunna uppfylla kraven enligt NIS 2 med en förhöjd säkerhetsnivå.
– Det behöver ställas tydliga krav från kundernas sida på att deras kundunika information verkligen skyddas tekniskt ner på filnivå. Istället pratar man bara om att datan måste kunna återställas efter en attack enligt överenskomna SLA:er.
Hur ska vi bli bättre på att upphandla de här lösningarna?
– Jag tycker beredskapsmyndigheter som MSB behöver ta ett stort ansvar här och se till att informera om nya tekniska innovationer på området och att hjälpa till med kravställan mot leverantörerna.
Tror du att attacken mot Tietoevry blir ett uppvaknande?
– Jag vet ärligt talat inte, men jag hoppas det. Jag tror nog en kursändring behöver komma från personer inom verksamheten såsom en cfo eller med ansvar för riskhantering. Det skulle också behövas en evangelist som Jonas Birgersson tidigare var för Bredbandsbolaget, med stor förståelse för it-säkerhet för att kunna driva på utvecklingen.
– Men jag är övertygad om att utvecklingen kommer. Som jag ser det finns det inga alternativ.
