Stockholm, 26 September 2017

Kan man köpa ett program som gör att datorn blir säker? Kan man känna sig trygg bakom världens mest avancerade brandvägg? Kanske lite tryggare, men säkerhet måste byggas in i allt vi gör. Säkerhet kan aldrig vara ett komplement eller tillbehör – den måste byggas in i allt vi gör, säger Stanley Sims, SVP Cyber Security på CGI.

Stanley Sims (TV), Thomas Dahlbeck (TH)
Stanley Sims (TV), Thomas Dahlbeck (TH)

Vid en snabbvisit i Sverige passade Stanley Sims på att träffa kunder och anställda på CGI i Kista. Sims är globalt ansvarig för CGI:s arbete inom IT-säkerhet och är känd både inom och utanför företaget som en kompromisslös och respekterad säkerhetsexpert. Med en bakgrund som överste i den amerikanska armen och som director på US Defence Security Service ser han med oro på de snabbt växande och allt mer avancerade cyberhoten som företag och myndigheter utsätts för idag.

Ett genomgående tema i många attacker är att brottslingarna utnyttjar säkerhetshål som borde ha åtgärdats, till exempel att man inte laddat ner de senaste säkerhetspatcharna eller åtgärdat redan identifierade säkerhetsluckor. Det kan bero på tidsbrist, brister i rutiner eller andra skäl och kan sätta käppar i hjulen för en i grunden mycket säker och genomtänkt miljö.

”Säkerhet ska vara inbyggd; inte bara i systemen och infrastrukturen utan i rutiner, processer och organisationen. Genom att utgå från ett säkerhetstänkande när man lägger upp även administrativa processer, utformat lokaler, ser över informationspolicies och annat bygger man in ett skydd som genomsyrar hela verksamheten – en verksamhet som blir motståndskraftig mot olika typer av externa och interna säkerhetshot", säger Stanley Sims.

 

Inbyggd säkerhet är naturligt

Thomas Dahlbeck, säkerhetschef på CGI i Sverige stämmer in i Stan Sims resonemang. Han menar att säkerhet ofta upplevs som krångligt, något som gör det dagliga arbetet svårare. Men när säkerhet byggs in från början blir det en naturlig del av arbetet. Att ny personal säkerhetsutbildas, att datorer och mobiler sätts upp på ett korrekt sätt. Att man utnyttjar single sign-on och så kallade password managers, som tillsammans gör att man kan vara säker och slipper hålla så många lösenord i minnet.

”Säkerhet kanske inte kan bli helt osynligt och omärkligt, men om man gör det rätt hjälper man verksamheten att bli säker utan att lägga in krångliga hinder. När man inte kommer åt information man behöver för att göra sitt arbete är det mänskligt att försöka hitta genvägar. Och då kan hela säkerheten sättas ur spel. Till exempel; att tvinga fram mycket långa och krångliga lösenord som dessutom måste bytas ofta leder inte till säkrare lösenord, utan att användarna skriver upp lösenorden i datorn (copy/paste) och sedan gör små förändringar vid bytena”, säger Thomas Dahlbeck.

Det handlar också om att vara säkerhetsmedveten i sitt dagliga arbete, och om att hitta en rimlig nivå som både är så säker som möjligt, men ändå låter människor göra sitt arbete utan onödiga hinder. Minsta motståndets lag gäller.

 

Sociala medier en risk

Stanley Sims är också bekymrad över hur sociala medier används. Att kartlägga nyckelpersoners liv, vänskapskretsar och rutiner har gått från att vara något som krävde spioner på plats men som nu finns tillgängligt för vem som helst – anonymt. Han skulle helst se att människor i ledande position undvek sociala medier helt. Thomas Dahlbeck håller med om att det finns risker med den öppna informationsdelningen i sociala medier men anser samtidigt att det återigen handlar om att vara medveten om risker och att använda sunt förnuft.

”Idag finns nog de flesta, även inom företags- och myndighetsledningar, på sociala medier i någon form, till exempel LinkedIn och Facebook. Att underhålla sitt kontaktnät och dela med sig av intressanta lästips och idéer med sina kontakter behöver inte vara ett osäkert beteende men självklart behöver man tänka efter vad man delar med sig av. En företagsledare eller en person i en utsatt position måste alltid vara beredd på att illvilliga personer skulle kunna använda information från sociala medier för att misskreditera eller i värsta fall utpressa en person som lagt upp något olämpligt”, säger Thomas Dahlbeck.