Varför hör vi så lite om hotmodellering (”threat modeling”) i Sverige?

Vissa påstår att vi i Sverige är för omogna när det kommer till att hantera it-säkerhet, att vi ligger efter. Kan det verkligen stämma?

I min kontakt med svenska företag handlar säkerhetsarbete på en företagsövergripande nivå oftast om att kunna upptäcka intrång och sedan snabbt hantera dem. Detta är såklart viktigt arbete, inget snack om den saken. Men olika försök att förklara och övertyga om att även säkerhetsdesign, inklusive modellering och analys, är minst lika viktigt har inte alltid tagits emot med öppna armar. (Och när de har det är det bara efter en imponerande insats av undertecknad).

Att ha en säker arkitektur innebär så klart inte att man blir helt fri från attacker. Det går aldrig att garantera. Ingen kan bli 100 procent säker. Alla kan bli hackade.

Men om arkitekturen är säker minskar risken att:

  1. bli utsatt, då andra med mindre säkra arkitektur istället blir de naturliga måltavlorna;
  2. en angripare lyckas snabbt, och med det ökar chansen att upptäcka intrångsförsöket;
  3. det tar tid att åtgärda de lyckade försöken, och så vidare. Med rätt metoder och verktyg kan resurser prioriteras rätt i säkerhetsarbetet, både i design- och forensik-fasen.

Läs mer: Fler krönikor om enterprise architecture

För en tid sedan pratade jag med en säkerhetskonsult med bakgrund i England, som sade att företag i Sverige är omogna och inte har kommit tillräckligt långt för att börja tänka och jobba ordentligt med proaktiv säkerhet. Vidare påstod han att om jag istället diskuterade detta i Tyskland, Holland eller England skulle jag få en helt annan bild.

Senare samma vecka åkte jag till London och träffade där säkerhetsrepresentanter från tre olika bolag, och alla belyste vikten av ”threat modeling”. Att modellera hot, sårbarheter och den egna arkitekturen för att kunna designa säkra system. För dem var modellering och analys ett naturligt steg efter att tidigare ha fokuserat på operativsäkerhet och forensics.

När kommer vi dit, tro?