Cybersäkerhet kan kännas något överväldigande om vi ser till alla ramverk, lagar och krav, för att inte nämna åsikter och uppfattningar om vad som behöver göras. Och eftersom vi redan har en uppsjö av förslag på vad som bör prioriteras tänkte jag bidra med min alldeles egna lista av prioriterade åtgärder (eller förmågor som jag väljer att kalla dom) för dig som försöker få ordning på verksamhetens cybersäkerhetsarbete.
Jag beskriver i den här artikeln fyra förmågor, och samtliga av dessa förmågor bör du undvika att försöka bygga själv. Det kostar alldeles för mycket avseende tid, människor och pengar. Min starka rekommendation är att du (ni) lyfter blicken från dessa grundläggande förmågor och istället fokuserar på att öva verksamhetens förmågor, och säkerställa fokusera på mer verksamhetsnära frågor som t.ex. återställning av kritiska system, fungerande backuper.
Men nog om det. Här kommer min lista om fyra förmågor du VERKLIGEN bör ha om du vill kunna hantera den moderna tidens cyberangrepp.
- Förmåga att upptäcka intrång.
- Förmåga att hantera intrång.
- Förmåga att hantera inloggningsuppgifter.
- Förmåga att hantera sårbarheter i DMZ.
Förmåga att upptäcka intrång
Den mörka sanningen är att du högst troligen kommer att utsättas för inte bara ett, utan flera, försök till intrång. Och när det väl sker kommer det gå jäkligt snabbt och helt plötsligt blir varje minut på dygnets alla timmar viktiga att ha på din sida. Du behöver ha förmåga att upptäcka intrånget vilket också förhoppningsvis endast är ett försök till intrång. Men kanske befinner du dig redan på den sida av intrånget när det påbörjats.
Denna förmåga bör du inte försöka bygga själv, det är både dyrt och svårt att göra rätt. Framförallt kräver det enormt mycket… av allt; tid, människor och pengar. Och det är sällan vi har överflöd av dessa tre resurser, kanske en… och med magi två, men definitivt inte alla tre.
Köp detta som tjänst och fokusera din energi på annat istället.
Förmåga att hantera intrång
Detta är en av de där förmågorna som har en tendens att hanteras av helt fel personer som råkade vara på plats istället för att rätt personer åtgärdar. Låt mig förklara genom analogi.
Huset står i full brand. Du är ju på plats. Och du har en brandsläckare. Du börjar släcka.
Nej, FEL!
Okej, förlåt. Vi ringer fastighetsskötaren som vanligtvis tar hand om allt.
Nej, FEL!
Detta är inte ett jobb för dig, eller din IT-leverantör att utföra. Du ska ringa brandkåren. De som faktiskt är utbildade och specialiserade på JUST ATT SLÄCKA BRÄNDER.
Precis samma sak gäller vid ett intrång. Låt inte någon leka “idag-är-jag-brandman” med din verksamhets framtid. Ett enda snedsteg kan räcka för att hela verksamheten ska brinna upp, och istället förlorar du möjligheten att någorlunda tillfredsställande återställa den brinnande verksamheten.
Köp detta som tjänst. Låt inte din IT-leverantör “erbjuda” detta utan att kunna påvisa direkt och relevant erfarenhet från att släcka bränder. Verifiera alla påståenden om sådan erfarenhet.
Förmåga att hålla koll på inloggningsuppgifter
Tills dess att du kan införa t.ex. Passkeys behöver du ha förmåga att hantera inloggningsuppgifter. Det innebär i korthet att du först och främst ska ha flerfaktors-autentisering (MFA), och korta giltighetstider på aktiva sessioner.
Utöver detta bör du veta om inloggningsuppgifter till verksamheten flyter runt på Internet eller dess mörkare delar, Darkweb. Enligt statistiken från Truesec årsrapport 2023 startar var fjärde intrång, som resulterar i att du behöver aktivera förmåga att HANTERA INTRÅNG, med att hotaktören använder giltiga inloggningsuppgifter.
Du behöver alltså ha funktioner för att upptäcka om inloggningsuppgifter finns läckta någonstans ute på Internet. Och du behöver framförallt få reda på om det finns aktiva sessionskakor till salu, eftersom dessa gör MFA verkningslöst.
Du bör: Köpa som tjänst.
Förmåga att hantera sårbarheter i DMZ
Slutligen, och min sista rekommendation avser förmåga att hantera sårbarheter i ditt publika och digitala fotavtryck. De tjänster och applikationer som finns tillgängliga via Internet utsätts varje dag för hundratals försök till intrång. Inget skämt. Det är helt GALET där ute på Internet.
Har du en någorlunda vanlig programvara exponerad mot Internet kommer den att indexeras, och attackeras så fort det finns kända sårbarheter i den. Garanterat! Och vad du behöver göra är att:
- Säkerställa att du känner till EXAKT vad du exponerar utåt.
- Säkerställa att du har funktioner för att omedelbart uppdatera de publika applikationerna och systemen när det finns uppdateringar.
- Misslyckas du med (2), och i förlängningen (1) behöver du se till så att du har ett incident-nummer att ringa när aktören väl är inne och du genom din första förmåga upptäckt intrånget.
Summering
Detta är troligen tre, eller nja kanske fyra egentligen, tjänster du SKA ha, och alla bör du köpa. Dessa fyra förmågor bör idag mer eller mindre betraktas som cyberhygien. Detta är inte längre något du som verksamhetsrepresentant ska lägga tid på att försöka bygga eller fixa själv, det kostar för mycket och konsekvenserna är alldeles för kostsamma för att göra fel.
- Förmåga att upptäcka intrång.
- Förmåga att hantera intrång.
- Förmåga att hantera inloggningsuppgifter.
- Förmåga att hantera sårbarheter i DMZ.
There you have it. Nästa steg blir väl hur du avgör när någon, eller några, är tillräckligt bra för att kunna leverera de här förmågorna. Och hur vet du det? Det får nog tyvärr bli en framtida artikel, om det är av intresse vill säga!