Att hantera en osynlig fiende

I takt med att användningen av internet och tillgången till sofistikerad teknik, ökar utvecklas även kriminaliteten. Bedrägerier kan genomföras i stor skala, väldigt snabbt och på avstånd helt utan fysisk kontakt mellan förövare och offer.

Placeholder

Foto: @dmitrybayer

I takt med att användningen av internet och tillgången till sofistikerad teknik, ökar utvecklas även kriminaliteten. Bedrägerier kan genomföras i stor skala, väldigt snabbt och på avstånd helt utan fysisk kontakt mellan förövare och offer.

Det blir allt svårare att identifiera personerna som begår dessa brott, och var de befinner sig, vilket för med sig helt nya utmaningar för organisationer som måste förebygga brott och skydda sig själva mot intrång och andra typer av IT-säkerhetshot. Nätbrottsligheten tvingar företag och organisationer att förutse risker och hot och förstå vilka typer av åtgärder som behövs för att skydda anställda, kunder, leverantörer och partners.

Tjänster för ID, autentisering och verifiering - för vem?

Konsultföretaget PwC publicerade 2015 en undersökning som visade att 90 procent av de stora företagen och organisationerna som undersöktes hade utsatts för dataintrång, en uppgång med 81 procent på ett år. Mindre företag och organisationer svarade på liknande sätt, 74 procent hade upplevt intrång, en uppgång med 60 procent mellan 2014 och 2015.

Det finns enkla åtgärder som ökar säkerheten utan attförsvåra arbetet i vardagen för redan tidspressade medarbetare. Tvåfaktorsinloggning och automatiskt uppdaterade anitvirusrogram är viktiga lösningar för alla – från småföretag till stora organisationer.

De utmaningar som nätbrottsligheten innebär för IT-säkerheten är egentligen en långsiktig kamp som inte kommer att lösas med traditionella strategier. De här brotten blir allt fler och allt mer komplexa när relationer och sociala nätverk används för att stjäla information och knäcka lösenord. I takt med detta, och att användandet av molnet ökar, blir användare enkla måltavlor som oavsiktligt möjliggör ny nätbrottslighet. Om vi var bättre på att skydda oss kunde många attacker och dataintrång undvikas, men många agerar inte förrän olyckan är framme.

I maj 2017 genomfördes en enorm ransomware-attack som säkerhetsexperter och forskare på Kaspersky Lab (länk) kunde spåra till fler än 45000 incidenter i 99 olika länder. I England drabbades National Health Services, NHS (den statliga organisation som ansvarar för den offentliga sjukvården) genom att det inte gick att komma åt många viktiga system. Bland annat fick operationer ställas in. NHS ifrågasätts nu för svagheterna i sin IT-infrastruktur och säkerhet.

Med detta färska exempel kan vi peka ut risker för sjukvården och de företag som arbetar med varor och tjänster riktade till sjukvården:

  • Hackare kan ta sig in i system och få tillgång till patientjournaler och andra känsliga personuppgifter
  • Malware gör det möjligt för brottslingar att stjäla data.
  • Ransomware låser viktiga filer som omöjliggör arbete i sjukvården.
  • Risken för dataintrång och hackning ökar när patienter och vårdgivare använder mobila oskyddade lösningar.
  • Omedvetet agerande från personal kan äventyra datasäkerhet och patientsekretess.
  • Svaga länkar i sjukvårdens system kan skapa risker för dataintrång genom leverantörer.
  • Riskfyllt beteende och användning av IT kan utsätta sjukvården för dataintrång.

Anställda och konsulter kräver att kunna arbeta varsomhelst

Den moderna arbetsplatsen har blivit allt mer flexibel i takt med att allt fler människor måste kunna arbeta på distans och har arbetsuppgifter som kräver att de är rörliga. Obefintlig eller undermålig kryptering och användande av privata onlinetjänster för lagring och filöverföring (även för dokument och filer som tillhör arbetsgivaren) ökar riskerna för dataintrång. Inte minst i kombination med användningen av privat eller undermåligt skyddad hårdvara.

Det är en utmaning för alla organisationer att inse riskerna med detta och investera i förebyggande åtgärder genom att utbilda och kommunicera med tidspressade medarbetare och konsulter.

Även om det i första hand är enskilda individer som drabbas vid dataintrång så kommer företag och myndigheter tvingas att stå till ansvar för när dessa intrång sker. EUs nya dataskyddsförordning (GDPR) och NIS (directive on Security of Network and Information systems) är exempel på hårdare lagar som reglerar detta ansvar.

Identitetsstöld är ett allvarligt hot mot både organisationer och privatpersoner. Det är grundläggande att veta vem som har tillgång till data och system, samt säkerställa rätt identitet. Det är bättre att förebygga än att reparera. Identitetshantering är grundläggande för att göra det möjligt för organisationer att följa reglerna, höja IT-säkerheten och skapa förtroende hos kunder, personal och partners.

Hackare har tidigare varit fokuserade på att ta sig in och attackera sårbar IT-infrastruktur. Men när skydden för sådan infrastruktur blivit starkare har hackarnas fokus flyttats till enklare måltavlor - människor i rörelse som använder mobila lösningar, exempelvis anställda, konsulter, kunder och patienter. Den som har kunskap om dessa individer kan använda denna kunskap för att göra dataintrång. Med rätt arkitektur och design kan en lösning med smarta kort vara det som gör användarens vardag lättare, genom att öka mobiliteten utan att äventyra säkerheten.

Lösenord tillhör historien

Ett stort problem med lösenord som autentisering är att det krävs kunskap och ansträngning för att skapa och komma ihåg säkra lösenord, som dessutom måste ändras med jämna mellanrum. De här lösenorden måste skyddas i sig själva från många olika hot, eftersom de inte uppfyller kraven på modern IT-säkerhet.

Enligt en undersökning gjord av säkerhetsföretaget Keeper var några av förra årets mest använda lösenord ”qwerty” och ”111111”. Så många som 17 procent av användarna skyddade sig med ”123456”. Och själva ordet ”password” var ett av de tio vanligaste orden som användes. Detta trots att många gör ansträngningar för att höja kunskapen, ge råd och få människor att använda säkra lösenord. Bekvämligheten prioriteras framför säkerheten av många.

Med tillräcklig tid och rätt resurser kan den som vill utföra en attack ta sig in i lösenordsskyddade system. Phishing-attacker blir exempelvis allt vanligare. Ändå har lösenordsskydd fortsatt vara en vanlig form av autentisering eftersom de ansetts vara billiga, enkla och välbekanta.

Enligt Microsofts TechNet måste ett säkert lösenord:

  1. Bytas varannan månad
  2. Innehålla minst åtta tecken
  3. Innehålla både versaler och gemener
  4. Innehålla bokstäver, siffror och symboler
  5. Vara unikt för varje enskilt system det används till
  6. Sparat med reversibel kryptering

Men, en kraftfull dator kan i teorin skapa 350 miljarder olika lösenord på en sekund och således kunna knäcka även ett säkert lösenord inom tio minuter.

Det går förstås att försöka använda sig av hierarkisk styrning i en organisation i syfte att tvinga fram användande av säkra lösenord. Men, det finns bättre metoder för inloggning som minskar riskerna utan att försämra produktiviteten. Kom ihåg detta när du överväger att fortsätta använda lösenord för inloggning:

  1. Lösenord är inte trygga och kan lätt hackas.

  2. Säkra lösenord är bättre och effektivare, men skapar ökad arbetsbelastning.

  3. Medarbetare prioriterar produktivitet och effektivitet högre än IT-säkerhet och lösenordens styrka försvagas när medarbetare tar genvägar för att jobba snabbt och effektivt.

  4. Användare har ofta samma lösenord till olika system och tjänster.
  5. Förinställda lösenord ändras alltför ofta inte omedelbart, vilket underlättar för den som vill göra intrång.

  6. Användare behåller samma lösenord så länge som möjligt.

  7. Lösenord och lösenordsåterställning skickas ibland via osäkra eller öppna nätverk.

  8. En modern arbetsplats har ofta distansarbetare som använder osäker och icke-auktoriserad hårdvara.

  9. När data flyttas över till molnet slutar lösenord att vara en tillräcklig metod för att säkerställa och autentisera användarens identitet.

  10. Kostnaderna för att administrera lösenord och hantera konsekvenserna av intrång ökar.

Tvåfaktorsinloggning är lösningen på utmaningarna

Tvåfaktorsinloggning skapar ett extra lager av säkerhet för identitetshantering och gör det mycket svårare för någon att få tillgång till någon annans hårdvara eller system.
Smarta kort och digitala certifikat ökar IT-säkerheten markant och minimerar risken för kostsamma dataintrång.

När du väljer att använda Net iD och certifikat så är säkerheten inbyggd i tre steg.

  • Lösningen bygger på PKI-standard och använder certifikat för att identifiera alla användare vid inloggning.
  • Certifikatet sparas på ett smartkort där det skyddas av kryptonycklar och kan användasenkelt på flera olika hårdvaror.
  • För att kunna logga in och bli autentiserad i IT-miljön måste användaren ha den information som finns i certifikatet på det personliga smartkortet och ange sin personliga PIN-kod. Kombinationen av något som användaren har (certifikatet) och något använder vet (PIN-koden) skapar tvåfaktorsinloggningen.

När allt fler medarbetare behöver mer mobilitet och allt fler företag flyttar in i molnet kommer tvåfaktorsinloggning att krävas för den som vill leva upp till kraven som ställs i EUs nya dataskyddsförordning. Net iD och tvåfaktorsinloggning möter denna utmaning.

  1. Tvåfaktorsinloggning går att använda tillsammans med Single Sign On (SSO) för snabb uppkoppling mot andra system.

  2. Eftersom inloggningen består av flera olika autentiserings-faktorer räcker det inte att känna till en användares lösenord för att komma in i ett system.

  3. När autentiseringen är verifierad skapas en krypterad tunnel mellan klient och server.

  4. Ett personligt smartkort används tillsammans med en PIN-kod för att logga in i så gott som alla system och program, såväl stationärt som mobilt.

  5. Net iD skapar en enklare teknisk lösning som reducerar IT-avdelningars kostnader för lösenordsadministration.

  6. De smarta korten kan även användas som nycklar för inpassering till byggnader och rum, som betalkort, för säkra utskrifter och som personligt ID-kort.

  7. Synergierna den här tekniken erbjuder, skapar nya möjligheter för kostnadsbesparingar i såväl investeringar som underhåll och förvaltning.

  8. Net iD kombinerar IT-säkerhetsmetoden PKI med smarta kort, den mest beprövade och vedertagna metoden för organisationer som efterfrågar högsta möjliga säkerhet.

  9. Net iD-applikationerna är utvecklade för att förenkla införandet av en bättre säkerhetslösning.

  10. Snabbare och säkrare inloggning förenklar medarbetarnas arbetsflöden och säkerställer att organisationens säkerhetspolicys enklare kan följas.

  11. Net iD bygger på öppna internationella standarder och dokumenterade gränssnitt. Därför fungerar lösningarna oberoende av vilken plattform eller operativsystem du valt: Windows, Linux, Novell, Mac OS X, MS terminal server eller Citrix.

  12. Standardiserade gränssnitt underlättar integration till applikationer och tjänster som MS Active Directory, WAAD, VPN-lösningar och affärsstödssystem: journalsystem, kassasystem m.m.

  13. Du kan integrera Net iD i princip vilken målmiljö som helst, utan kostnads- och tidskrävande specialanpassningar.

  14. Net iD har en modulär arkitektur vilket gör våra lösningar mer flexibla än andra alternativ på marknaden. Det gör att du kan få precis den IT-säkerhetslösning ditt företag eller organisation behöver och att den kan anpassas när organisationens förutsättningar och behov förändras.

Genom att Net iD lösningen kan uppgraderas i drift kan du säkerställa uppdaterad IT-säkerhet, utan onödig påverkan på verksamheten.

Dela denna artikel

Relaterat