Coronakrisen en intensivkurs i digitalisering. Hur påverkar det it-säkerheten?

2020-05-08
– Rekommendationen är att fortsatt arbeta strukturerat med informations och it-säkerhet. Det är nu vi ser om ledningssystemet verkligen fungerar, säger Thomas Nilsson på Certezza.
Coronakrisen har tvingat många att ta säkerhetsmässiga genvägar för att få organisationen att fungera. Samtidigt går digitaliseringen framåt med stormsteg. Svenska säkerhetsexperter ser både risker och möjligheter.

Att den gångna våren har fört med sig extraordinära omständigheter för svenska företag och organisationer är ingen överdrift. Företagen tvingas att ta till åtgärder utöver rutinen för att se till att organisationen kan fortsätta fungera. Inte minst gäller det när många, inte sällan alla, anställda måste arbeta från sina hem, eller i vart fall utanför den vanliga kontorsmiljön.

Runt om i landet vittnas det om hur företagen måste ställa om sin arbetssituation, införa nya rutiner, använda tidigare obeprövade verktyg och dela ut anslutningsmöjligheter och interna resurser i en aldrig tidigare skådad skala. Ofta har det också skett under stark tidspress, och inte minst ekonomisk stress. Det är som upplagt för att öka organisationens risker.

– Den förändrade arbetssituationen har framförallt medfört två nya risker. Den första risken orsakas av att vi jobbar mer på distans utanför företagets nätverk. Organisationen måste se till att patchning, intrångsdetektering och säkerhetskopiering fortsätter att fungera. Det är även värt att fundera över hur det nya användarbeteendet påverkar säkerheten. Jag tänker framförallt på att företagsdatorn inte börjar användas som en privat dator bara för att den står på soffbordet, säger Karl Emil Nikka, oberoende it-säkerhetsexpert och grundare av Nikka Systems.

– Den andra risken kommer från det faktum att coronakrisen introducerat flera nya arbetsverktyg. Låt oss ta problemet med ”Zoom bombing” som ett konkret exempel. Det problemet orsakades inte av säkerhetsbrister i Zoom utan av konfigurationsfel, vilket i sin tur berodde på att de inte var tillräckligt insatta i möjligheterna och riskerna.

– Ett annat exempel är webbkonferensrelaterade nätfiskeattacker som lurar mottagarna att läcka sina autentiseringsuppgifter eller installera infekterade versioner av mötesprogram. Risken för att medarbetare faller offer för sådana attacker ökar nu i och med att de är ovana vid hur inbjudningsförfarandet går till, säger Karl Emil Nikka.

Samarbetsverktygen i fokus

Under coronakrisen har det blivit oundvikligt att mycket av diskussionen handlar om just olika samarbetsverktyg, deras prestanda- och funktionsmässiga för och nackdelar, och hur de ska hanteras för att möta rådande krav på säkerhet och integritet. Massadoptionen av dessa verktyg verkar till viss del ha tagit it-avdelningarna på sängen, och i många fall har medarbetarna börjat använda verktygen på eget bevåg, vilket inte alltid är bra för säkerheten.

– Det finns tydliga tecken på att flera organisationer inte är tillräckligt säkerhetsmedvetna när de går till att arbeta mer på distans i miljöer som kanske inte är optimala för ändamålen. I sammanhanget finns också verktyg som kanske inte är dimensionerade utifrån informationens skyddsvärde, såsom Zoom, Teams, Skype, Hangout med flera. Detta kan i sin tur driva på att organisationerna i större utsträckning använder molntjänster för den ostrukturerade behandlingen utan större hänsyn tagen till exempelvis regulatoriska krav. Här växer det fram nya risker och inte minst en ny skuld som behöver hanteras, säger Thomas Nilsson, vd på it-säkerhetsleverantören Certezza.

– Flockbeteendet är påtagligt just nu. Jag hör många diskussioner om huruvida Zoom är bättre eller sämre jämfört med exempelvis Skype/Teams. Den som gjort sin hemläxa vet att de är lika dåliga givet att man har något av större värde att utbyta i den kanalen. End-to-end kryptering är eftersträvansvärt även här, säger Thomas Nilsson.

Nödvändiga risker – ”Gör vad som behövs”

Samtidigt pekar flera experter på det nödvändiga i att ta vissa risker för att verksamheten på företagen ska kunna fungera hyggligt normalt. Väl kalkylerade risker behöver inte vara av ondo, utan är helt enkelt nödvändiga under rådande omständigheter.

Leif Nixon, oberoende it-säkerhetsexpert på Nixon Security, är en av dem som även anser att vissa risker får man räkna med.

– Gör vad som behövs. Det är helt okej att fuska ett tag. I bästa fall visar det sig att ramarna var onödigt begränsande. Men var också beredd att stänga ner de tillfälliga lösningarna när de inte längre behövs.

– Den attityd jag ser är att det här är en krissituation, och då kan man behöva använda improviserade lösningar som man annars inte skulle acceptera. Men eftersom det rör sig om en begränsad tidsperiod så kan den totala riskexponeringen vara helt rimlig. Särskilt om alternativet är att stänga ner verksamheten. Jag tycker att man i allmänhet varit pragmatisk.

– Det är fullt rimligt att godta en högre risknivå under en begränsad period, och jag tycker att jag ser folk göra acceptabla avvägningar. Det gäller såklart att sedan lyckas rulla tillbaka de temporära lösningarna, om de inte är tillräckligt säkra för långvarigt bruk, men framtiden får utröna huruvida man lyckas med det, säger Leif Nixon.

Jonas Lejon, it-säkerhetsexpert på det egna företaget Triops håller med:

– Jag tror att när fler arbetar på ett nytt sätt med videokonferenser et cetera så tar det ett tag att lära sig hur man hanterar detta. De risker jag ser är avsiktliga och genomtänkta.

Positiva effekter på digitaliseringen

Säkerhetsexperterna är rörande överens om att krisen också för med sig positiva effekter. Företag och organisationer inför till exempel nya system som tidigare legat och väntat på sig, man inför nya rutiner, verktyg och säkerhetsåtgärder för distansarbete och många av de företag som tidigare inte hade en krisgrupp eller it-incidentgrupp lär snabbt ha infört dessa organisatoriska funktioner under krisen.

– Jag gillar digitaliseringen och dess möjligheter. Krisen har påskyndat många digitaliseringsprojekt som annars skulle ha tagit flera år. Låt mig ta ett exempel: Många avtal skickas än i dag via papper men det finns många digitala alternativ, krisen har gjort att det nu blir mer accepterat att använda sig av digitala signaturer, säger Jonas Lejon.

– Ja, herregud, säger Leif Nixon. Det här är en intensivkurs i hur man jobbar på distans; vad som funkar och inte funkar att göra över videolänk. Det gäller att ta tillvara nya utmärkta lösningar som man hittar längs vägen. Kanske kan det hjälpa till att luckra upp den osunda stockholmscentrering som Sverige lider av.

Karl Emil Nikka tycker att det är bra om användandet av e-post minskar.

– Den största fördelen som jag ser är att användningen av samarbetslösningar har ökat. Det borde i sin tur leda till att e-postandet minskar. E-posten är ett notoriskt osäkert kommunikationssätt som aldrig bör användas när alternativ står till buds. Nu efter att organisationens medarbetare har tvingats in i moderna samarbetslösningar har de förhoppningsvis sett fördelarna som samarbetslösningarna erbjuder.

Tillsätt en it-krisgrupp

Mycket pekar på att krisen är över oss ett bra tag till. Nu när de första akuta problemen förhoppningsvis löst sig behöver företagen jobba vidare med hur de hanterar situationen. Kanske är många av de åtgärder och arbetsmetoder som nu införts här för att stanna, andra behöver rullas tillbaka eller ersättas av bättre metoder så snart som möjligt. Många organisationer har tagits på sängen och behöver se över sina rutiner och sin krishantering, eller till och med införa en krishantering om de inte hade en sådan innan.

– Rekommendationen är att fortsatt arbeta strukturerat med informations och it-säkerhet. Det är nu vi ser om ledningssystemet verkligen fungerar, säger Thomas Nilsson på Certezza.

Karl Emil Nikka anser att nu är bästa tiden att införa en it-krisgrupp om organisationen saknar en sådan. En grupp som medarbetarna vänder sig till när de har frågor som uppstått på grund av den förändrade arbetssituationen. Det kan vara allt från en fråga kring ett misstänkt mejl till en fråga om huruvida ett mötesverktyg är okej att använda. It-krisgruppen kan inte svara på alla frågor själva, men de kan i sin tur delegera vidare frågorna eller ta in extern hjälp. Det viktiga är att medarbetarna vet vart de ska vända sig så att de inte ”chansar och hoppas på det bästa”.

– Utöver detta vill jag påminna om vikten av god kommunikation. Se till att hålla medarbetarna informerade om vad som händer och när förändringar är planerade att ske. Det minimerar både risken för misstag och risken för att medarbetarna faller offer för sociala manipulationsattacker som nätfiskemejl, säger Karl Emil Nikka.

 

Källa: https://computersweden.idg.se/2.2683/1.734068/corona-intensivkurs-digitalisering