Hur ska man avgöra vilken information och vilka andra resurser som ska skyddas med lösningar för it-säkerhet? Jesper Kråkhede som är it-säkerhetsexpert på Sogeti har ett enkelt svar på den frågan:

– Man ska skydda sådant som har ett värde, säger Jesper Kråkhede.

Låter självklart, eller hur? Men hur ofta utformas it-säkerhet utifrån det till synes enkla rådet? Är det inte i själva verket så att lösningar för it-säkerhet ofta utformas för att skydda resurser vars värde inte analyseras?

För att kunna bestämma värde på information och andra resurser måste man ha förståelse för vilka typer av skador som kan uppstå. Jesper Kråkhede hänvisar till en ISO-definition, ISO 27000, som i huvudsak tar upp tre aspekter: sekretess, korrekthet och tillgänglighet.

Läs också: Allvarligt säkerhetshål i samtliga versioner av Windows

Jesper
Jesper Kråkhede

Med sekretess menas att kunna begränsa tillgången till information till de individer som bör ha tillgång till den. Om tillgången inte kan begränsas så finns risk för kostnader, ett exempel är att kreditkortsnummer kommer på drift och missbrukas.

Med korrekthet menas att man ska kunna vara säker på att information är korrekt och inte kan ändras på felaktiga sätt, vare sig avsiktligt eller oavsiktligt. Om information ändras på felaktiga sätt kan det finns risk för oönskade kostnader. Ett enkelt exempel kan vara att ett transportföretag skickar i väg en lastbil till fel adress, på grund av att någon fått tillgång till databasen med arbetsordrar och ändrat adresser.

Tillgänglighet, slutligen, handlar helt enkelt om att information och andra resurser ska finnas tillgängliga. Ett, kanske extremt, exempel på när det inte fungerar är att någon illasinnad typ hackar en masugn i ett järnverk, så att den blir obrukbar, med oönskade kostnader som följd. Vad gäller tillgänglighet för information kan informationens värde bestämmas med kostnaden för att återställa den om den skadas. Om det är billigare att återställa information än att skydda den, är det inte värt att skydda den.

Sättet att avgöra kostnaderna för bristande sekretess, korrekthet och tillgänglighet är att göra en riskanalys, alltså att titta på olika typer av information inom och olika aspekter av en verksamhet. Här kommer en viktig distinktion in i bilden:

– Många blandar ihop hot och risk. Om man kan koppla en sårbarhet mot en specifik typ av hot så finns det en risk, säger Jesper Kråkhede som ofta gör riskanalyser åt kunder.

Läs också: Biohackaren varnar för biometri: ”Lösenord kan bytas ut – fingeravtryck kan det inte”

Enkelt uttryckt bör man försöka bestämma ett värde för en mängd information, till exempel genom att fastställa en kostnad för att återskapa den om den skulle försvinna. Sedan får man bedöma risken för att den ska skadas, beroende på olika hot och sårbarheter. Om den risken bedöms som stor kan man lägga ut en summa som är mindre än värdet för informationen, på att skydda den.

Ett exempel är att man behöver skydda forskningsdata i tre år och att det kostar 100 000 kronor att återställa dessa data. Om en säkerhetslösning för att skydda dessa data kostar 200 000 kronor under tre år så är det frågan om det är värt att skaffa den. Givet en enda förlust av data under treårsperioden så är det inte det. Men om man räknar med en förlust per år, tre stycken sammanlagt, så är det värt pengarna.

I praktiken görs det här naturligtvis på ett systematiskt sätt, med ambitionen att belysa så en stor del som möjligt av ett företag.

Anne-Marie Eklund Löwinder
Anne-Marie Eklund Löwinder.

Anne-Marie Eklund Löwinder som är säkerhetschef på Internetstiftelsen i Sverige delar också in värderingarna av vad som ska skyddas i områden som till exempel sekretess och tillgänglighet, och nämner även spårbarhet som ett viktigt område.

– Man får göra en inventering av vad som är skyddsvärt och fråga sig vad som är det värsta som kan hända, säger hon.

Stefan Lager som är teknikchef på säkerhetsföretaget Coresec Systems påtalar att säkerhet aldrig består av enbart en komponent och gör en vardaglig liknelse:

– Ta ditt eget boende som exempel. Du har lås på dörren för att hålla alla opportunistiska tjuvar borta. Inomhus har du säkert ett par saker som är lite extra värdefulla, som familjejuveler. Dessa skyddar du lite extra genom att stoppa dem i ett säkerhetsskåp. Som sista säkerhetsåtgärd så installerar du ett bra hemmalarm, för att snabbt kunna upptäcka ett inbrott och begränsa skadan av det. Precis likadant ska du tänkta med din it-säkerhet, säger han.

Läs också: Stor intervju: Så hjälper it-funktionen Ericsson att förändras

Carl Önne
Carl Önne.

Carl Önne, senior konsult inom informationssäkerhet på Certezza, beskriver att kostnaderna för säkerhetslösningar ofta är schablonmässiga, till exempel att kostnader för antivirusprogram och brandväggar fördelas på ett antal skyddsobjekt.

– Men den här fördelningen av kostnader för säkerhet görs sällan, säger Carl Önne och tillägger att vissa kostnader måste ses som utgifter för ”grundläggande säkerhetshygien”, till exempel lösningar för inloggning.

Fakta

Carl Önne på Certezza beskriver tre olika typer av skydd vad gäller it-säkerhet:

  • Tekniska, till exempel antivirusmjukvara.
  • Administrativa, som processer och regler.
  • Organisatoriska, till exempel vilka personer som ska ha tillgång till olika typer av information.