Sannolikt är ransomware det som det stora flertalet organisationer oroar sig mest för. Mediebilden här handlar mycket om ifall man ska betala eller inte betala den illvillige för att få nyckeln till sin information. Är det rätt att göda den organiserade brottsligheten för att rätta till sina egna misstag när det också visar sig att den information som nyss krypterats inte heller har någon fungerande säkerhetskopia?
Självklart hamnar den vanlige medarbetaren ånyo i fokus där denne måste lära sig att lagra sin information, oftast den ostrukturerade skogen av dokument som inte har någon självklar hemvist. Filhysterin som jag talade om på vår Säkerhetsdag under rubriken ”Disfilharmoni” för drygt två år sedan gör sig ständigt påmind. Det är inte märkligt att den illvillige använder detta beteende som grund för sin verksamhet.
En annan stående punkt på agendan är lösenordseländet. Vi trummar ut att lösenord ska vara långa, komplexa och slumpmässiga. Vi avrundar med att konstatera att ni inte ska återanvända lösenord. Någon höjer rösten och konstaterar att våra system sätter hinder för detta. Någon annan konstaterar att detta är ogörligt att leva upp till dessa krav när lösenorden ska bytas var 90:e dag. Då känns det bra att tillsammans konstatera att med tillräcklig kvalité på lösenordet är bytet inte lika viktigt. Då höjs ytterligare en röst som konstaterar att det tycker minsann inte vår it-avdelning.
De allra flesta är trots allt överens om att lösenord inte är vägen fram utan vi behöver bättre metoder för att autentisera oss. Något som faktiskt gemene man har allt bättre kunskaper om och allt oftare skyddar sina egna privata informationstillgångar med något bättre än ett lösenord. Detta är lite som att slå in en öppen dörr, men sedan börjar nästa diskussion om vad som egentligen är tillräckligt stark autentisering. Vi har statligt reglerade tillitsnivåer, vad de representeras av och hur de sätts i relation till informationens skyddsvärde. Det förstår faktiskt alla och det är därför förvånande att vi inte har kommit längre med att faktiskt leva som vi lär här.
En tredje punkt som är intressant att tala om är kontinuitetsplaner. Oavsett hur fina avtal vi tecknat och med vem kommer det att vara störningar i försörjningen av it. Det är också en del av vardagen och sakteliga börjar vi vänja oss vid även det och upprättar därför små kontinuitetsplaner såväl privat som i arbetslivet. På frågan hur man skulle klara sig utan sitt verksamhetsstöd i två veckor blir det i det närmaste uppror. Det borde jag ju förstå att man inte kan. På frågan vems huvudvärk det är blir först svaret att det är vår it-avdelning eller kanske vår system- eller molnleverantör. På frågan om de organisationerna är bäst på att upprätta kontinuitetsplaner för din verksamhet blir ansvarsfördelningen tydlig. It-leverantörer är sällan mästaren på att urskilja vad som är prioriterade, eller kanske livsnödvändiga processer för din verksamhet, och hur de bäst upprätthålls vid frånvaro av it.
Den här listan kan göras mycket längre. Det kan kort konstateras att vi sällan är rustade för den nya typen av utmaningar som vi utsätts för vilket kommer att vara den illvilliges inkomstkälla under lång tid. Det som är slående är att den vanlige medarbetaren som utbildas inom ramen för organisationens awereness-program börjar ställa frågor som:
– Hur kommer det sig att vi inte har segmenterat vår it-infrastruktur bättre?
– Varför använder vi inte stark autentisering när alla ser det självklara?
– Varför har vi inte bättre rutiner att uppdatera våra sårbara enheter?
Awereness-programmen träffar inte alltid de som styr och leder verksamheten. Den som har hållit medvetandegörande utbildning för it-organisationer känner säkert också igen bilden av dem som sitter med armarna i kors och inget hellre vill än att lämna lokalen. Det kan ju givetvis bero på den som leder övningen, vilket inte kan uteslutas, trenden är dock tydlig att det finns en frustration över att inte få rätt förutsättningar för att lyfta it-infrastrukturen till något som bättre möter dagens utmaningar.
Det flesta inser att det inte behövs några statsstödda aktörer för att ställa till det rejält i den organisation som fortsatt lever med alla ägg i en korg. Där it-infrastrukturen inte är zon-indelad, där enheter inte regelbundet uppdateras och där förmågan att hantera incidenter i bästa fall är ad-hoc betonad.
Syftet med den medvetandegörande utbildningen är självklar, men det måste också riktas till dem som har makten och medlen att minimera skadeverkningarna från vad som till stor del faktiskt är i nivå med missriktade pojkstreck. Vi behöver bli långt mer robusta för att klara dagens verklighet och inte minst rusta oss för morgondagens utmaningar!
Thomas Nilsson
