Sikre data

På vej til at gå over fra analoge til digitale rutiner og løsninger? Sørg for at tænke dig om inden, ellers risikerer dine digitale løsninger at stå vidtåbne for alt fra overbelastningsangreb og kundemisbrug til aggressive angreb.

Moln_Stralfors_875x580.jpg

Folk vil forsøge at hente dit system ned fra internettet, og de vil misbruge dine servicer. Det kan du være sikker på, siger Jörgen Mellberg, IT Security Manager hos PostNord Strålfors.

Samtidig er der mange virksomheder, som ikke er tilstrækkelig beskyttet mod den slags trusler.

– Den mest almindelige sikkerhedsfejl, som virksomheder begår, er, at de først sikrer deres produkter og servicer bagefter, siger Jörgen Mellberg.

Ud over at man indledningsvis er ubeskyttet, er der flere ulemper forbundet med at vente med sikkerheden.

– Det kan være svært at implementere sikkerhed bagefter. Det kan i visse tilfælde være umuligt uden at skulle nyudvikle store dele af løsningen. En sådan fremgangsmåde løser som regel en specifik sikkerhedstrussel, men ikke alle. Desuden er det altid dyrere end at integrere sikkerhed fra start.

Løsningen er at få sikkerhedstænkningen ind, allerede mens servicen eller produktet er på designstadiet.

En anden almindelig fejl er at forsøge at skabe sin egen sikkerhedsløsning. Den slags systemer er ofte komplekse, hvilket gør det svært at få det hele rigtigt.

– Man er nødt til at være inde i alle dele af sikkerheden, så man ikke overser noget – en kæde er aldrig stærkere end det svageste led. Samtidigt er det svært at opretholde sikkerheden gennem hele produktets eller servicens livscyklus uden en skrap kontrol, siger Jörgen Mellberg.

– Det er utrolig sjældent, du har behov for noget, som ikke allerede er lavet. Og så er det bedre at købe modne løsninger med gennemprøvet sikkerhed og implementere det i sit eget system.

Jörgen Mellberg, IT Security Manager hos PostNord Strålfors.Analysere risici

Virksomheder, som vil undgå at komme i uføre, har brug for på forhånd at dække alle mulige eventualiteter ved at tænke som en, der vil udnytte alle muligheder til egen fordel. Det er det, Jörgen Mellberg arbejder med – han prøver at forudsige alle mulige sikkerhedstrusler, med det mål, at der ikke kan ske noget.

Truslen behøver ikke nødvendigvis at være en ondsindet hacker, som vil have fat i dine data, eller som udfører et overbelastningsangreb for at få lagt din hjemmeside ned. Det kan være noget så simpelt som en bruger, der udnytter din service på en måde, som du ikke har tænkt dig – som for eksempel de robotter, der automatisk publicerer tweets på Twitter.

– Der er folk, som vil forsøge at bruge din service til deres egne behov, uanset om du har forestillet dig det eller ej. At have den indstilling allerede fra start gør udviklingsarbejdet meget nemmere, siger Jörgen Mellberg.

Når man opbygger sit system, gælder det derfor om at spærre for ikke-tilsigtede muligheder.

– Nøglen er at finde risiciene i systemet. Så gælder det om at have indsigt i, hvordan man vil benytte systemet, og hvordan det er opbygget. Jo mere vi forstår om, hvad der kan ske, jo bedre sikkerhed kan vi skabe.

Sikkerhed på det rette niveau

Der findes mange typer trusler. Spørgsmålet er, om man behøver at beskytte sig mod alle eksisterende trusler eller blot mod dem, man identificerer som alvorlige.

– Det hele handler om balancen mellem risiko og omkostning. Det gælder om at finde det rette niveau for sikkerhedskontrollerne. Et for høj sikkerhedsniveau koster unødvendigt mange penge, siger Jörgen Mellberg.

Desuden kan et for højt sikkerhedsniveau jage kunderne over til en anden leverandør.

– Vi er vant til at bruge kortlæsere eller nøglekort, når vi logger på banken; det accepterer kunderne. Men hvis en mindre tjeneste ville have samme sikkerhedsløsning, er der risiko for, at kunden bliver træt af din tjeneste.

Tilpasse sikkerheden efter aktiviteten

Virksomhedens aktivitet er det, der styrer, hvordan sikkerhedsløsningen behøver at se ud. Hvis man har en e-tjeneste, så gælder det for eksempel om at have redundans på tjenestens internetopkobling. Det gælder også om at vide, hvornår kunderne kobler sig på tjenesten. Er belastningen konstant eller med en spidsbelastning en kort periode om året? I det sidste tilfælde skal sikkerhedssystemet have en kapacitet, som kan klare en midlertidig høj belastning.

– Det løser man med såkaldt lastbalancering og en arkitektur, som kan klare at håndtere et stormløb. For hvis din tjeneste går ned, så går kunden videre til næste leverandør i stedet, siger Jörgen Mellberg.

Er det muligt at indbygge sikring mod menneskelige sjuskefejl?

– Man kan aldrig sikre sig 100 procent – det er menneskeligt at lave fejl. Men risikoen kan minimeres ved, at der for eksempel skal to til for at foretage en ændring. Så kan man sikre, at den anden ikke laver en fejl.

– Ved at automatisere så meget som muligt nedsætter du også risikoen for menneskelige fejl og får samme resultat hver gang.

Sådan kommer du i gang med sikkerhedsarbejdet

1. Sørg for at have nogen, der kan rådgive. Få hjælp fra en ekstern leverandør, hvis der ikke er viden om sikkerhedsspørgsmål internt i virksomheden.

→ 2. Start med at udarbejde en sikkerhedspolitik for, hvordan virksomheden vil håndtere sikkerhed, så det er klart og tydeligt for alle, både internt og eksternt.

→ 3. Se på de strukturer og sikkerhedsstandarder, der findes, for eksempel ISO 27000. Her finder du de forskellige nødvendige elementer. Brug det, der passer ind i din virksomhed.

→ 4. Overvej, hvilket trusselsbillede virksomheden står over for – hvilke sikkerheds-løsninger er der brug for?

→ 5. Prioriter truslerne. Hvis datakapaciteten er den største risiko, er det det første, du skal tage dig af. Gå derefter videre, og fokuser på næste trussel, for eksempel beskyttelse mod hackere.

→ 6. Køb et veletableret sikkerhedssystem, som har været brugt i mange år, og som beviselig fungerer. At bygge sit helt eget sikkerhedssystem er kompliceret og ikke noget, som de fleste firmaer bør kaste sig ud i.