Astrit Morina är it-säkerhetschef på det statliga forskningsinstitutet Rise sedan ett år tillbaka. Den tiden har präglats av ett stort förändringsarbete vad gäller it-säkerhet. Han sammanfattar ansträngningarna i tre punkter:

  • Att öka säkerhetsmedvetandet bland de anställda, med hjälp av utbildning.
  • Att begränsa åtkomsten till klientenheter och hålla bättre ordning på användare.
  • Att renodla och samordna mjukvaror för it-säkerhet.

– Den största risken som jag ser det är att it-säkerhetsmedvetandet är för lågt i Sverige överlag, vi svenskar är godtrogna och missar ofta riskerna av den anledningen. Vi har tagit in en ny typ av utbildning för att öka medvetandet, berättar Astrit Morina.

Utbildningen omfattar en webblektion på fem minuter varje vecka, under fyra månader. En länk till lektionen ska skickas ut varje tisdag och de som inte har gjort lektionen på torsdagen efter får en påminnelse. Anledningen att ha korta lektioner är att inte överlasta folk med information, med risk för att den glöms bort.

Läs också: Därför kraschade Skatteverkets it-system

– Utbildningen är obligatorisk. Om en person struntar i att göra lektionerna pratar vi med personens chefer, säger Astrit Morina.

Ett av områdena som tas upp är GDPR. Målet är att alla anställda ska ha fått information om vilka rättigheter och skyldigheter GDPR innebär för dem. Hittills har man kört en testomgång av utbildningen med 100 deltagare och ska sätta i gång att utbilda samtliga anställda under årets första kvartal.

– Vi gjorde mätningar av säkerhetsmedvetandet före och efter utbildningen för de som har genomfört den. Medvetandet hade ökat efter utbildningen.

Vad gäller åtkomst till klientenheter som datorer är det framför allt två saker Astrit Morina tar fasta på. För det första att begränsa användares administratörsrättigheter på de egna maskinerna. För det andra att inaktivera användarkonton som inte används, till exempel för anställda som slutat och konsulter och andra som behövt tillfällig åtkomst.

– Man ska undvika lokala administratörer. De blir en väg in för inkräktare. Personal som måste ha sådana rättigheter, som utvecklare, kan ha det i labbmiljöer, men bör vara begränsade på samma sätt som alla andra i andra sammanhang.

Vad gäller användarkonton som inte används finns det numera en rutin som automatiskt tar bort dem efter tre månaders inaktivitet.

– Det tar längre tid att upptäcka säkerhetsproblem på konton som inte används och som inte inaktiverats. De blir en väg in för inkräktare.

Vad gäller mjukvara för säkerhet ser Astrit Morina flera problem. Många företag köper på sig många olika mjukvaror som används på ett ostrukturerat sätt. Det innebär att det blir svårt att ha koll på säkerhetsläget. Att programmen rapporterar incidenter på olika sätt gör det ännu svårare.

Läs också: Gigantiskt botnät upptäckt – tvingar en halv miljon maskiner att utvinna kryptovaluta

Astrit Morina påpekar att mjukvarulösningar för säkerhet ofta kan skapa falsk trygghet eftersom många förlitar sig för mycket på dem och tror att det räcker med att ”outsourca” säkerheten till ett loggverktyg.

– Det behövs alltid människor som hanterar systemen och loggarna, inget är självgående.

Vi har utsett ansvariga för varje mjukvara som kontrollerar användningen av dem. Vi ska också inleda en upphandling av en central lösning för säkerhetsrapportering. Som det är nu blir jag tvungen att göra sammanställningar själv, till exempel med Excel.

Ambitionen är att klara av upphandlingen av ett så kallat SIEM-system under året.

Rise är en sammanslagning av Innventia, SP och Swedish ICT och har cirka 2 200 anställda.