Reportage

FRA: ”Aktivera kontolåsning”

– Jag har arbetat med det här i fem år och ser att ni gör samma fel. Därför vill jag att ni gör en sak som kommer att göra Sverige mycket säkrare: aktivera kontolåsningen, så att kontot låser efter ett antal misslyckade inloggningsförsök. Det slår ut en hel klass av attacker.

Robin Blokker, FRA, stod för ett av de mest uppskattade inslagen under förra årets konferens. Enda ”kritiken” var att han tryckte in för mycket information och i år begärde han bara en sak, kontolåsning, och begränsade sig till ett viktigt råd:

– Vad är det mest skyddsvärda ni har? Det är där ni ska lägga krutet. Oftast är en incident en incident och ingen katastrof så länge guldäggen är orörda. Informationssäkerhetsansvariga ska ha en klar bild av ”guldäggen” annars slutar det med att ni skyddar hela er infrastruktur.

Under 2010 ökade webbattackerna med nästan 100 procent.

– Cyberkriminalitet är en mogen industri med hög grad av specialisering. Det är inga enskilda hackers utan komplexa affärsmodeller som motsvarar forskningsavdelningar på medelstora företag.

Ett hot är mobila enheter som kommunicerar trådlöst. De är som gjorda för att vara en bakdörr in i ett nätverk. Oftast har de både kamera och mikrofon och är väl lämpade för avlyssning och ta bilder i utrymmet de befinner sig. En organisation bör ha en policy för mobila enheter.

– Sociala nätverk är ett annat hot och utmärkt verktyg för att kartlägga individer och organisationer med syfte att orkestrera riktade angrepp. Återigen, har ni policy? undrade Robin Blokker.

Outsourcing blir allt vanligare och ger många fördelar, men det finns också nackdelar.

– Outsourcing leder till en sorts ”brain drain” av din organisation. När du väljer att outsourca försvinner kompetensen. Du får förlita dig på din outsourcingpartner vid bedömningen av säkerheten. Rekommendationen är att satsa hårt på oberoende tredje part som experthjälp vid förhandlingen.

En annan trend är de så kallade molntjänsterna som också har stora fördelar, men Robin Blokkers råd är att kolla med Datainspektionen eller kunnig jurist innan man börjar skicka ut data i molnet.

– Datalagringsdirektivet kan sätta käppar i hjulet. Staten är inte världens bästa upphandlare så chansen att du får alla de här frågorna säkrade är enligt min bedömning låg.

De anställda utgör en risk för sig. De lyssnar inte alltid på vad informationssäkerhetschefen säger och tar en massa risker.

– När du bygger upp dina rutiner ska du inte utgå från att alla dina anställda är helgon, för det är de inte.

Lösningar ska vara enkla.

– Som informationssäkerhetsansvarig bedriver man korståg mot all form av komplexitet. Enkelt går att göra säkert. Om jag kommer ut till er och ni inte har kontolåsning aktiverad kommer jag att bli väldigt besviken – och lite arg, säger Robin Blokker.