Vad är cybersäkerhet?

Historien om cyber

I en lång historisk tillbakablick kan vi hitta det grekiska ordet kubernetike, som betyder styrman på ett fartyg. Filosofen Platon använde ordet för att beskriva hur en stat borde styras. I mitten av 1900-talet kom uttrycket cybernetics som en engelsk variant av det grekiska ordet. Cybernetik handlade då om styr- och reglerteknik och kommunikationsteknologi i samband med att de första datorerna utvecklades. 

I dag används ordet cyber för något som är relaterat till datornätverk eller en virtuell verklighet. Sammansättningen cyberrymden kan till exempel översättas till internet och dess sammankopplingar med olika datorsystem. Cybersäkerhet handlar om att skydda datorsystem från de hot som finns i den gigantiska cyberrymden.

Några säkerhetsbegrepp

  • Informationssäkerhet handlar om säkerhet för all information, både fysisk och digital (handskrivna papper eller information i datorsystem).

  • IT-säkerhet handlar om säkerhet för information i datorsystem och dess sammankopplingar.

  • Cybersäkerhet kan i princip likställas med IT-säkerhet eller säkerhet i cyberrymden.

Information måste skyddas

Information är hårdvaluta. Informationssäkerhet och cybersäkerhet handlar om att skydda sin värdefulla information så att den inte förstörs, försvinner eller kommer i orätta händer. Det finns i sammanhanget tre grundläggande begrepp som ska tillgodoses:

  • Konfidentialitet: Att förhindra att information röjs för obehöriga.

  • Riktighet: Att vi kan lita på att den information vi använder är korrekt och fullständig och inte manipulerad.

  • Tillgänglighet: Att säkerställa att informationen är åtkomlig och användbar när vi behöver den.

Hotbilder

De externa hoten mot datorinformationen kommer från cyberbrottslingar som försöker komma åt hemlig information för att gynna sina egna syften. Det kan handla om att stjäla information eller förstöra eller förändra informationen i datorerna så att den blir obrukbar. 

Hoten mot informationen kan komma från enskilda individer, men också från organiserad brottslighet, statsmakter eller terrorister. Det råder en ständig kamp mellan hoten från angripare och skyddet av data.

Hur tar de sig in?

Att ta sig in i andras oskyddade datorer via internet är ingen konst för de som har grundläggande datorkunskaper. För att skydda sig mot intrång måste man arbeta med skyddsåtgärder på olika nivåer. Den första säkerhetsåtgärden är att försöka se till att endast behöriga personer kan ta sig in i datasystemet.

Autentisering

Kontroll och bekräftelse av identitet vid inloggning i datasystem kallas autentisering. Ett vanligt sätt är att systemet avkräver användarnamn och lösenord. För att öka säkerheten kan man tillföra en ytterligare autentiseringsfaktor som till exempel bankkort eller fingeravtryck. Det kallas tvåfaktorsautentisering eller om ännu fler faktorer tillförs, flerfaktorsautentisering.

Behörighetskontroll

Man måste också styra så att endast behöriga användare kommer åt viss information. Åtkomsträttigheterna måste fördelas och regleras.

Vilken information ska vara tillgänglig för var och en och vad ska användaren tillåtas göra med informationen?

Några av de vanligaste typerna av malware:

  • Virus: En kod som lägger sig i ett program och sedan sprider sig när programmet körs. Koden infekterar andra program.

  • Maskar (worms): Fristående malwareprogram som kan sprida sig okontrollerat över både lokala datornätverk och internet.

  • Spionprogram (spyware): Ett program som har som syfte att samla information och skicka vidare utan den angripnes vetskap.

  • Ransomware (gisslanprogram, utpressningsprogram): Ett program som krypterar och blockerar filer i den angripna datorn. Syftet är att begära en lösensumma för att återställa systemet. 

  • Trojanska hästar (trojans): Program som utger sig för att vara något annat. Kan ha funktioner som spyware eller ransomware.

Några andra enkla skyddsåtgärder

  • Brandväggar

  • Antivirusprogram

  • Regelbundna säkerhetskopieringar

  • Uppdatering till nya och säkrare versioner av programvaror

  • Krypteringsskydd

Olika typer av hot

Om en angripare lyckas ta sig förbi säkerhetsportar mellan internet och ett datorsystem kan den stjäla, förstöra eller radera viktig information Den kan också sprida skadliga programvaror i systemet, så kallade malware (Malicious software.)

DDoS - överbelastningsattacker

DDoS står för Distributed Denial of Service och betyder en samlad överbelastningsattack av ett datorsystem. Attacken görs genom att ett stort antal meddelanden skickas från ett stort antal datorer i en samtidig attack mot systemet. Syftet är att datorsystemet ska gå ner på grund av att servern inte klarar av att hantera alla meddelanden. Det blir en trafikstockning i informationen och inga fler meddelanden kommer fram. Systemet kraschar och det kan ta tid att återställa det.

Hur skyddar man sig mot DDoS?

Det är svårt att skydda sig mot DDoS-attacker, men man kan göra vissa förebyggande åtgärder:

  • Organisationens internetleverantör kanske kan erbjuda ett visst skydd, till exempel begränsa åtkomsten till kritiska system från IP-adresser som man inte är intresserade av att ha kontakt med.

  • Se till att kritiska system har en bandbredd i internetuppkopplingen som med god marginal överskrider normal belastning.

  • Effektiva brandväggsloggar kan ge information som kan begränsa effekten av attacker.

Phishing och social manipulation 

Phishing brukar översättas med nätfiske på svenska. Det är en bedrägerimetod som går ut på att skicka falska e-mail eller sms för att lura mottagaren att lämna ifrån sig känsliga uppgifter som angriparen kan använda i syfte att begå brott.

Social manipulation. Phishing är en form av social manipulation, på engelska ”social engineering”. Angripare utnyttjar mänskliga egenskaper som nyfikenhet, godtrogenhet och impulsivitet. Man kan locka med vinster eller skrämmas med att något hemskt kan hända om man inte agerar tillräckligt snabbt. Vanliga metoder vid phishing är att angriparen utger sig för att vara någon form av känd institution med legitimt ärende.

Några olika typer av phishing 

  • Nätfiske (phishing)

    Man skickar ut ett stort antal mail som kan utge sig från att komma från någon känd institution. Angriparna kan locka eller hota med något för att få några av mottagarna att snabbt klicka på en länk och uppge personliga uppgifter som angriparen sedan kan utnyttja.

  • Harpunfiske (spear phishing)

Angrepp som riktar sig mot utvalda nyckelpersoner i organisationer, som chefer och ansvariga på finansavdelningar, personer som har åtkomst till känslig information inom organisationen. Angriparna har ofta gjort ett gediget förarbete för att få meddelandet att se så trovärdigt ut som möjligt.

  • Valfiske (Whale phishing)

Denna typ av phishing riktar sig mot höga befattningshavare som VD och andra höga chefer med tillgång till organisationens viktigaste resurser. Kan man på ett skickligt sätt manövrera en sådan nyckelperson till att lämna ifrån sig organisationens viktigaste data kan det ställa till stor skada.

  • VD-bedrägerier

Angriparen utger sig för att vara en hög chef och skickar mail som ser ut att komma från dennes riktiga mailadress. Genom att skicka falska meddelanden därifrån kan man få anställda att utföra åtgärder som kan orsaka stor skada för organisationen.

Den vanligaste cyberattacken

Phishing är det allra vanligaste sättet att göra cyberattacker och metoderna blir alltmer sofistikerade. Det kan vara lätt att tro att man inte själv skulle gå på ett bedrägligt meddelande på datorn, men eftersom så många phishing-attacker lyckas så kan förmodligen vem som helst brista i uppmärksamhet och plötsligt åka dit på en smart attack.

Hur kan man skydda sig mot nätfiske?

Bästa skyddet är ökad vaksamhet. Var försiktig med e-postmeddelanden från okända avsändare. Klicka aldrig på okända länkar. Om man är osäker på om en länk är farlig, kan man kopiera den till urklipp och klistra in den i en länkgranskare som finns tillgänglig på nätet. Om länken inte klarar kontrollen, radera e-postmeddelandet omedelbart.

Man kan bli ombedd i ett mail att uppdatera sina betalningsuppgifter för en tjänst. Gör inte detta genom att svara på mailet. Logga i stället in på den aktuella tjänstens webbplats. Om det är problem ser du antagligen det här och då kan du uppdatera dina uppgifter på tjänstens webbplats.

Alla inom en organisation måste vara medvetna om riskerna och förstå det individuella ansvaret. Satsa på rätt typ av utbildning och inför regler som alla kan förstå och följa.

Tänk dig för om du uppmanas att klicka på något i ett mail som verkar mystiskt! Det är så de flesta blir lurade.

Sannolikheten för en händelse kan till exempel graderas i hur ofta den kan tänkas ske:

  • Mycket sällan

  • Sällan

  • Regelbundet

  • Ofta

Konsekvens

Att bedöma konsekvenser är inte heller enkelt. Det kan vara svårt att bedöma skador och kostnader för en incident som redan inträffat. Ännu svårare är det förstås att bedöma konsekvenserna av en tänkbar incident, vilket man måste försöka göra i en riskanalys.

Konsekvensen av en händelse kan graderas i:

  • Försumbar

  • Måttlig

  • Allvarlig

  • Katastrofal

Riskhantering

Sammanvägningen av en händelses sannolikhet och konsekvens ger ett värde som vi kallar riskfaktor för respektive information. Riskfaktorn kan vara grunden för hur man ska hantera risken. En riskfaktor kan till exempel vara att det kan hända ofta och har katastrofal konsekvens. Den risken måste omedelbart åtgärdas. En risk med som händer sällan och har försumbar konsekvens kan man kanske lämna därhän.

Riskfaktorn och riskhanteringen kan graderas på följande sätt:

  • Försumbar risk – acceptera

  • Låg risk – bevaka

  • Medel risk – planera en riskreducerande åtgärd

  • Hög risk – omedelbar åtgärd

Systematiskt säkerhetsarbete

Säkerhetsarbetet bör bedrivas systematiskt. Första steget är att analysera nuläget. Med detta som grund utformar man ett informationssäkerhetssystem. Nästa steg är att genomföra och använda säkerhetssystemet. Med jämna mellanrum följer man upp och utvärderar informationssäkerhetssystemet och inför nödvändiga förbättringar och uppdateringar. Myndigheten för samhällsskydd och beredskap (MSB) har utarbetat ett användbart metodstöd för systematiskt informationssäkerhetsarbete som kan laddas ned från deras webbsida.

Riskanalys och riskhantering

Riskanalys

För att en organisation ska kunna skydda sig mot eventuella framtida informationsskador, måste man börja med att göra en riskanalys. En riskanalys är ett systematiskt sätt att identifiera hot som sedan värderas utifrån deras sannolikheter och konsekvenser.

Sannolikhet

Att bedöma sannolikheter kan vara svårt. Det räcker inte att bara utgå från kända sannolikheter. Man måste försöka tolka utvecklingar och trender inom samhället och den egna branschen och göra en så verklighetstrogen bedömning som möjligt av framtida sannolikheter. 

Risker som inte kan accepteras måste elimineras eller reduceras till en acceptabel nivå med hjälp av säkerhetsåtgärder. Säkerhetsskydd kan vara förebyggande eller återställande.

Förebyggande skydd är inriktade på att minska sannolikheten för en skada.

Återställande skydd är inriktade på att minska konsekvensen av skadan.

Mer om metoder för riskanalys och riskhantering finns på:

www.informationssäkerhet.se

Organisationens säkerhetskultur

Informationssäkerhet grundar sig på flera olika faktorer. Några av de viktigaste är:

  • Tekniska skydd (hård- eller mjukvarubaserade)

  • Administrativa säkerhetsåtgärder (regler och rutiner)

  • Säkerhetsmedvetandet hos organisationens medarbetare

Mänskliga faktorn

Det sägs att omkring hälften av alla säkerhetsincidenter hos företag och organisationer orsakas av egna medarbetare. Huvudsakligen omedvetet felaktiga handgrepp förstås. Sådana felaktigheter beror på både mänsklig svaghet och otillräckliga kunskaper kring säkerhetsfrågor. Våra svagheter kan göra oss till lätta offer för social manipulation och nätfiske.

Men den mänskliga faktorn kan vändas till en styrka och en stor del av dessa felgrepp kan undvikas genom utbildning av medarbetare med syftena att öka kunskap och säkerhetsmedvetande. Då kan säkerhetsmedvetandet bli den viktiga hörnsten den ska vara i säkerhetsarbetet, tillsammans med den tekniska och administrativa säkerheten.

Säkerhetskultur och säkerhetsmedvetande

Utbildning skall ge upphov till ökade kunskaper, men det räcker inte med att veta vad och hur man ska göra, utan också varför. Sammantaget ska hela organisationen genomsyras av ett sådant säkerhetstänk. På organisationsnivå kallar man det för säkerhetskultur. Den kan man dela upp i tre beståndsdelar:

  • Riskstyrning: som handlar om vilka rutiner och regler organisationen tillämpar. Bestäms av ledningen eller extern lagstiftning eller kravställning.

  • Förståelse: som handlar om hur medarbetare ser på säkerheten, deras inställningar och attityder.

  • Beteende: som handlar om hur organisationens medarbetare agerar i olika situationer.

Säkerhetskultur på individnivå kallar man säkerhetsmedvetande. Detta begrepp kan man också kort dela upp i tre delar:

  • Kunskap: vad man vet

  • Attityder: vad man tror

  • Beteende: vad man gör

Rätt kunskaper ger rätt attityder och rätt beteenden.

Ledning och medarbetare

En engagerad ledning är en av de viktigaste nycklarna till att skapa en säkerhetskultur i en organisation. Ledningen måste frigöra de resurser som krävs för att skapa säkerhetsmedvetande hos sina medarbetare. Ledningen måste vara goda förebilder och se till att alla medarbetare förstår varför informationssäkerhet är så viktigt för organisationens fortlevnad.

Kontinuerlig process

Att upprätthålla säkerhetsmedvetandet i en verksamhet är en kontinuerlig process. Både organisationen och omvärlden är i ständig förändring när det gäller hot mot informationssäkerhet och ökade behov av skyddsåtgärder. På samma sätt som de tekniska och administrativa säkerhetsåtgärderna måste anpassas till förändringar, måste också medarbetarnas kunskap och medvetenhet inom informationssäkerhet uppdateras kontinuerligt.

Säkerhetsutbildning

Utbildning är ett sätt att stärka säkerhetskulturen. Det kan vara både generella säkerhetskurser som riktar sig till alla medarbetare, och speciella kurser som är riktade till utvalda grupper. Utbildningarna bör anpassas efter de olika roller som finns inom organisationen och efter vilka ansvar och behörigheter som inkluderas i de olika rollerna.

Ingen organisation är säkrare än sina medarbetare

Hantering av IT-incidenter

När en IT-incident sker är det viktigt att ha processer för att minimera skadeverkningarna och att så snabbt som möjligt återgå till normalläge.

Några snabba åtgärder när en IT-incident inträffat:

  • Ta reda på vad som hänt.

  • Hur och när upptäcktes problemet?

  • Vilka åtgärder har genomförts?

  • Pågår incidenten fortfarande?

  • Finns det risk att fler påverkas?

  • Vad behöver verksamheten hjälp med?

  • Vilka har organisationen kontaktat?

  • Har händelsen polisanmälts?

Det är viktigt att komma i drift igen så snart som möjligt och att förhindra fler incidenter. Identifiera vilka brister som orsakade incidenten och vidta åtgärder för att åtgärda dem.

Säkra bevis och utred incidenten

IT-incidenter rapporteras enligt MSB:s riktlinjer eller till CERT-SE som är Sveriges nationella kontaktpunkt i arbetet med att hantera och förebygga IT-incidenter. De riktar sig till både offentlig och privat sektor. www.cert.se

Dokumentering av IT-incidenter

Det är mycket viktigt att dokumentera hela incidentförloppet och hur det hanterades och hur säkerheten återställdes. Alla incidenter måste dokumenteras för att spara och sprida informationen.

Viktiga punkter som dokumentationen bör innehålla:

  • Tidpunkt och plats för incidenten

  • Vem som hittade och rapporterade incidenten

  • System, material, processer och information som påverkats

  • Omfattande beskrivning av incidenten

  • Åtgärder som satts in för att hantera incidenten

  • Intressenter som involverats

  • Parter som har informerats om incidenten

Övergripande och utförliga råd när det gäller incidenthantering finns i standarderna SS-EN ISO/IEC 27002 respektive SS-ISO/IEC 27035.

För statliga myndigheter och vissa andra samhällsviktiga funktioner finns föreskriften: Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av IT-incidenter för statliga myndigheter. (MSBFS 2020:8)

Anlita externa cybersäkerhetsexperter

Många företag och organisationer har inte tillräckligt med egna resurser för att kunna bygga upp en gedigen cybersäkerhet. Då kan det klokt att vända sig till externa seriösa cybersäkerhetsexperter med stor efarenhet.

Kontakta gärna oss på Secure State Cyber så berättar vi hur vi kan hjälpa er.

Incidenthantering

En it-incident är en händelse som orsakar störningar i ett datasystem. Det kan vara allt från små störningar orsakade av egna medarbetares felgrepp till stora katastrofala händelser orsakade av attacker från cyberkriminella.

En incident rubbar den normala IT-driften och kan i värsta fall orsaka stora skador på organisationens information.  

Incidentplanering

Att skaffa sig så mycket kunskap som möjligt om hotbilden mot en organisation är viktigt för att lyckas med incidenthanteringen. Planering och förberedelser kan vara helt avgörandeför att förhindra alltför stora skador om en incident inträffar. 

Incidenthanteringsplanen ska vara ett stöd för organisationen inför förberedelserna för en eventuell it-incident. Den bör vara kortfattad, konkret och praktiskt användbar. En sådan plan bör innehålla bland annat rollfördelning, ansvarsområden, utarbetning av styrdokument, förberedelse av processteg och verktygshantering samt utbildning av personal.

Planen bör också innehålla förberedelser för att minimera skador och minska tiden för återhämtning. Den bör också innehålla ett utarbetat stöd för att upptäcka och rapportera incidenter.

Har du behov av hjälp med IT- eller informationssäkerhet?