It-säkerhet med användaren i fokus

Den digitala transformationen för med sig fantastiska utvecklingsmöjligheter. Vi kan arbeta var och när vi vill, förverkliga tjänster och produkter som vi tidigare bara kunnat drömma om och bredda våra affärsområden och verksamheter. Möjligheterna kan tyckas oändliga – men ofta sker digitaliseringen på bekostnad av säkerheten.

Under de senaste åren har vår arbetsmiljö kommit allt närmare våra privatliv, och med ökad mobilitet ökar ockå kraven på våra it-säkerhetslösningar. Som medarbetare vill vi kunna använda de program och verktyg vi är vana vid, och det ska dessutom gå enkelt och snabbt att logga in och få åtkomst till det vi behöver.

För många it-avdelningar är det en utmaning att balansera mellan hög säkerhet, användarvänlighet och rimliga kostnader. Som företagare är du en attraktiv måltavla för cyberattacker, inte minst om du har många anställda, eftersom många attacker riktas direkt mot företagets anställda.

— Som företagare kan du ställa krav på att dina medarbetare ska ha en viss nivå av prestanda för att kunna jobba obehindrat hemifrån. Däremot kan du inte ställa krav på dina medarbetares privata säkerhetslösningar. Det betyder att ett stort ansvar läggs på användaren själv att se till att de håller rätt nivå av säkerhet även när de jobbar på distans, förklarar Torbjörn Zars. Han arbetar med Business Development inom enheten Special Sales på Tele2 Företag och har en lång och gedigen bakgrund inom telekom och teknik, med it-säkerhet som expertisområde.

— Man måste eftersträva att försvåra för angriparen, inte för användaren. Alltför många företag bygger säkerhetslösningar som är för svåra för användaren. Det resulterar i att användaren i stället skapar sina egna lösningar, och så uppstår skugg-it, konstaterarar Torbjörn Zars.

Skugg-it skapas ofta omedvetet

Skugg-it kallas även Shadow IT eller Shadow Cloud och beskrivs enkelt som icke auktoriserade molntjänster som ligger utanför it-avdelningens kontroll eller vetskap. Skugg-it skapas vanligen inte medvetet eller med uppsåt att skada organisationen, utan uppkommer av att företagets befintliga säkerhetssystem är för svårt eller innehåller för många steg för användarna.

— Skugg-it förekommer ofta inom vården, till exempel om en medarbetare sparar journalanteckningar i mobilen, berättar Torbjörn Zars.

Fenomenet skugg-it uppstod i samband med att smarta telefoner lanserades. Med den nya tekniken blev det enklare att ta anteckningarna direkt i telefonen i stället för att ta med datorn hela tiden.

— Men var sparas informationen om det inte finns koppling till sjukhusets nätverk? Då kanske medarbetaren öppnar ett privat dropbox-konto och laddar ner anteckningarna där. Väl tillbaka på jobbet loggar personen in i det privata molnet och för över uppgifterna till rätt journal. Då skapas skugg-it, där känslig data lagras på ett osäkert ställe, förklarar Torbjörn Zars.

Även i skolvärlden är skugg-it vanligt. I skolan bör elever och personal ha åtkomst till olika nätverk, där skolnätet separeras från kommunens nätverk. Men det händer ändå att elever kopplar upp sina enheter mot fel nätverk, och på så sätt kan de både komma åt känsliga uppgifter och smitta ner kommunens nät med skadlig kod.

Det bästa sättet att minska uppkomsten av skugg-it är att se till att behovet inte uppstår, genom att välja lättanvända säkerhetssystem och godkända molntjänster som är nåbara utanför arbetsplatsen. När användaren smidigt kan lagra information oavsett var han eller hon befinner sig försvinner behovet av att hitta egna lösningar.

— Företaget bör bygga lösningar med många lager av skydd, där varje lager i sin tur fungerar ihop med de andra lagren. Men som användare ska du inte märka det här. Om du som användare bara möts av en inloggning och allt annat sker i bakgrunden, då funderar du inte på att ändra något. Det gäller därför för företaget att skapa säkerhetslösningar som sätter användaren i fokus och som inte innehåller alltför många steg, förklarar Torbjörn Zars.

Låt policyn styra åtkomsten

Idag väljer många organisationer så kallad policybaserad access. Det innebär att du som användare helt enkelt inte har åtkomst till vissa funktionaliteter eller har möjlighet att utföra vissa arbetsuppgifter om du inte befinner dig inom företagets nätverk. Tekniken fungerar sömlöst och stoppar användaren från att göra mer än vad som är tillåtet enligt organisationens villkor.

Ett exempel där policybaserad access kan tillämpas är inom vården. Vårdpersonal har vanligen certifierade jobbdatorer med krav på att logga in med kort och pinkod, men hur fungerar det om personen loggar in utanför arbetsplatsen? Ett annat exempel kan vara driftteknikern som tar med sig sin privata dator till jobbet och försöker koppla upp sig mot arbetsplatsens system. I båda fall stoppas personen från att logga in eller från att komma åt vissa typer av uppgifter, eftersom det strider mot organisationens policy.

— Det handlar inte om att komma med pekpinnar utan bara om att besluta om vad som är godkänt att använda till vad och att tillämpa systemen på rätt sätt. Medarbetaren kanske får upp en pop-up-ruta som förklarar att åtkomst saknas eftersom personen befinner sig utanför företagets nätverk. Det är ett enkelt sätt att lösa problemet, förklarar Torbjörn Zars.

För misstag kan vara ödesdigra och få stora konsekvenser, både för organisationen och för den enskilde medarbetaren. För personal som hanterar konfidentiella uppgifter kan det innebära rena lagbrott som leder till att personen förlorar sitt arbete. För organisationen kan cyberattacker som ransomware spridas och drabba en hel organisation.

Men attacker kan också leda till att kunder väljer att avsluta samarbetet med organisationen, om de inte upplever att organisationen är tillräckligt pålitlig eller försiktig när det gäller att hantera information och kunddata.

För it-avdelningen gäller det därför att hela tiden ligga steget före, ha koll och vara uppdaterad om nya hot och se till att säkerheten ständigt ligger på en hög nivå.

— It-säkerhet kräver sitt hela tiden, konstaterar Torbjörn Zars. Säkerheten måste konstant vara uppdaterad och för it-avdelningen är det här ett kontinuerligt arbete, men som användare ska du knappt märka av det.

Vanligt med sämre skydd för mobilen

Men det är inte bara datorer som behöver skyddas. Medarbetarnas jobbmobiler är högintressanta för hackare, som ett verktyg att ta sig in i företagets system.

— De flesta människor är sämre på att tänka på säkerhet för mobilen än för datorn, konstaterar Torbjörn Zars. Dessutom använder vi generellt våra mobiler på ett helt annat sätt än en dator. Mobilen är med hela tiden och vi tenderar att använda våra jobbmobiler mer även för privat bruk än till exempel en jobbdator.

Men den här utvecklingen betyder också att jobbmobilen blir mer och mer relevant att skydda.

— Ju mer mobilen används, desto fler saker kan komma in i företagets nätverk även den vägen. Genom att hacka en medarbetares mobil kan en angripare enkelt ta sig vidare in i företagets interna nätverk, förklarar Torbjörn Zars.

För it-avdelningen är det viktigt att ha kontrollverktyg även för mobilerna. Det kan handla om UEM, Unified Endpoint Management, som låter it-administratörer hantera företagets mobila enheter sömlöst och utan handpåläggning. Det kan också röra sig om olika typer av restriktioner som hindrar medarbetare från att installera vissa appar. Vissa organisationer väljer lösningen Sandbox, som fungerar som en separat enhet i mobilen där företagets appar helt separeras från de appar som inte berör företaget.

— När mobiliteten ökar, då ökar också risken att en hackare tar sig in via just mobila enheter. Det gör att vi idag möter en helt annan typ av hot än vi såg bara för några år sedan, konstaterar Torbjörn Zars.

Detta märks också när sakernas internet, Internet of Things eller IoT, blir vanligare både på företagen och i våra hem.

— IoT på rätt sätt är säkert, förklarar Torbjörn Zars. Men även här kan saker komma in bakvägen, via en uppkopplad tv, via larm eller låssystem till exempel. Trådlös uppkoppling skapar stora möjligheter, men bara så länge som den är hållbar och säker.

Trådlösa nät kräver extra kontroll

Många publika platser som caféer, tågstationer och hotell erbjuder gratis WiFi – smidigt och praktiskt, men en lösning som inte alltid är säker. En skicklig hackare kan bygga ett eget trådlöst nätverk och sedan vänta in att användare ansluter sig. När du väl är inne i hackarens nätverk är det enkelt för angriparen att komma åt allt från känsliga uppgifter till lösenord.

Som användare kan du fortfarande använda trådlösa nätverk – men välj ett som kräver lösenord, kombinera med VPN och undvik att fylla i inloggningsuppgifter, lösenord och kreditkortsinformation.

Även mejlen är viktig att skydda, då den är en vanlig och enkel väg för hackare att ta sig in i företagets system och nätverk. En angripare som tar sig in i anställdas mejlkonton kan enkelt använda mejladressen för att komma åt lösenord och inloggningsuppgifter till många andra tjänster. Tvåfaktorsautentisering är ett smidigt sätt att skydda mejlen, men i en undersökning från Sentor uppger endast 24 procent av de tillfrågade att de använder denna metod för att logga in på jobbmejlen.

— Här finns det mycket som både användaren och it-avdelningen kan göra för att skydda sig, säger Torbjörn Zars. Det handlar i första hand om innehållet i mejlet där mycket kan komma igenom. Här kan it-avdelningen sätta upp restriktioner för vilka ip-adresser som tillåts skicka mejl till företaget och vilka som blockeras. De kan stoppa reklamutskick och liknande.

De flesta användare känner till att de ska undvika att klicka på länkar från okända avsändare och hur de ska agera om ett ovanligt mejl dyker upp i inkorgen. Men misstag sker ändå.

— Slarv och stress ligger bakom väldigt många attacker, säger Torbjörn Zars. Du kanske får ett utskick från ett bolag du tycker dig känna igen. Du klickar lite för snabbt och inser för sent att mejlet i själva verket kom från någon helt annan. En bokstav kanske är utbytt i företagsnamnet, det är nästan likadant som den avsändare du känner igen, men inte riktigt. Så åter igen – lita inte på någon och kontrollera alltid en gång extra.

— En angripare kan göra hundratals mejlutskick utan att själv behöva vara aktiv. Hackaren behöver bara förbereda en distributionslista som mejlen ska gå ut till och sedan luta sig tillbaka och vänta på att någon råkar göra fel. Någon kan sitta på andra sidan jordklotet och ha åtkomst till dina uppgifter. Vi är ständigt exponerade när vi är ute på nätet, oavsett om det är på mobilen eller på datorn. Så var alltid försiktig, råder Torbjörn Zars.

Hur bör företagaren tänka kring kostnaden för it-skydd?

— I stället för att fokusera på vad investeringen kostar, tänk på vad det kostar när det inte fungerar. Och köp tjänster snarare än produkter. Tjänster uppgraderas och förbättras ständigt medan produkter blir utdaterade snabbare. Den som säljer tjänsten ansvarar för att tjänsten livscykelhanteras och håller en hög nivå. Dessutom har leverantören en hel organisation som arbetar dedikerat med it-säkerhet, så kunskapen inom området är hög.

Så vad är egentligen det bästa skyddet mot cyberattacker?

— Utbildning, säger Torbjörn Zars utan att tveka. It-säkerhet är inte något du bara kan jobba med var tredje år och sedan vänta till nästa gång utan det måste ske kontinuerligt. Det kommer hela tiden nya hot och möjligheter, nya gränssnitt och nya system. Så skaffa ett bra utbildningsverktyg och använd det ordentligt.

I grunden handlar it-säkerhet inte om vilken teknik eller vilket säkerhetssystem företaget använder, utan det är användarens förhållningssätt som bygger säkerheten från grunden.

— Vi måste alla förstå att det här är en annan verklighet än den vi har känt till hittills. Det kan drabba ditt företag eller dig personligen. Så ta det här på allvar för det är allvar, avslutar Torbjörn Zars.