2018 kräver mer av leverantörer av tjänster och produkter

Google har, som de allra flesta vet, hittat ett sätt att påverka den logiska säkerheten i processorer. Detta kan såklart få förödande konsekvenser på säkerheten i våra system. Det finns ingen poäng i att skriva en lång artikel om hur Meltdown eller Spectre attackerna fungerar då detta görs av så många runt om på nätet. Däremot är det intressantare att fundera kring hur vi förhåller oss till dylika sårbarheter hos våra leverantörer.

De allra flesta anser att de inte kan ansvara för hur sårbarheter kan påverka deras system och att det bara finns så mycket de kan göra för att skydda sina användare och deras data. Det är här det blir spännande tycker jag, om vi lyssnar till vad ICOs (brittiska motsvarigheten till Integritetsskyddsmyndigheten) tekniska chef säger: ”Alla organisationer har en skyldighet till att hålla personlig information, som de har i sin omsorg, säker och det innebär att det skall finnas lager av säkerhetsskydd på plats, inklusive rutiner för applicering av patchar och uppdateringar, för att bidra till att minska risken för exploatering.

Vi går i och med 2018 in i en tid när ursäkter och undanflykter inte längre kommer att duga när det kommer till brist av skydd kring data. Samtidigt så ökar kraven på IT-avdelningarna i samband med digitaliseringen. Verksamheten skall (och behöver) digitaliseras, de företaget som fortfarande inte insett detta kommer att bli omkörda av konkurrenter som har sett styrkan i digitaliseringen. Jag vill påstå att detta gäller oavsett bransch och tjänst. Oavsett om fördelarna kommer via logistik, planering, effektivisering eller möjlighet till helt nya tjänster så kommer företag som digitaliserar sin verksamhet ha en stor fördel över sina konkurrenter.

Så detta är något som de flesta anser måste ske och det måste ske inom en snar framtid, med andra ord det är bråttom. Men med lagar så som GDPR är detta en förvandling som måste ske kontrollerat och det måste finnas ett fokus på säkerhet (om inte företaget har en stor riskaptit och vågar bortse från säkerhetsrisker). ICO är tydliga med att det finns inga ursäkter för dålig säkerhet. Jag har hört från många företag och organisationer, som menar att säkerhet får komma i andra hand då det viktigaste är att få ut sin produkt eller tjänst till kunderna för annars spelar inget någon roll oavsett. Men jag menar att det måste finnas en balans i detta påstående. När man börjar prata om MVP (Minimum Viable Product) så är det inte bara att produkten skall fungera och erbjuda ett värde för kunderna, det är även att produkten tar hänsyn till grundläggande säkerhetskrav. Detta inkluderar, men begränsas inte till, uppdateringshantering, säkerkodutveckling, backup och gedigna tester av koden och tillförlitligheten i systemen. Vidare skall även avtal finnas på plats med alla leverantörer som behövs för att leverera tjänsten eller produkten.

Jag kan förstå om att det kan kännas övermäktigt för ett företag att börja leva upp till allt detta helt plötsligt. Men hur ”helt plötsligt” är det egentligen? Allt detta är ju faktiskt bara sunda förväntningar på en leverantör av en tjänst eller produkt. Bara för att vi nu får lagar och regelverk som faktiskt ställer dessa krav så är det inte något som inte redan borde vara grundläggande för alla som producerar tjänster eller produkter. Jag tror faktiskt att detta kommer att bli något som konsumenter kommer börja värdera mer och mer. T.ex. varför skall jag som konsument, oavsett om det är i form av ett företag eller privat, använda något från ett företag som INTE aktivt arbetar med säkerhet på ett holistiskt sätt? De kommer ju säkerligen ta betalt för sin tjänst eller produkt, och om de inte gör det så är ju garanterat min data som är deras betalning. Skall de få mitt förtroende som konsument, så måste de bevisa att de kan klara av det och det bästa sättet för detta idag är genom etablerade standarder såsom ISO 27000 och kommande certifieringar kring t.ex. dataskydd.

Personligen ser jag fram emot en värld där vi som konsumenter av produkter och tjänster börjar ställa mer och hårdare krav. Det kommer att gynna seriösa leverantörer som tar kvalité och säkerhet på allvar. Och ni som tänker att det blir en stor utmaning för startups, nej det behöver det inte alls vara om de har med säkerhet och en kravställning från första början i sin ide. Dagens startups måste förhålla sig till en annan värld än den som var för tio år sedan i Palo Alto. Samtidigt är startups betydligt mer riskbenägna då de är just startups. Och alla de leverantörer som inte är startups förväntar vi oss redan mycket av. De skall ha sin säkerhet på plats med allt som jag nämnde ovan och mer därtill. Vi vet att inget system är perfekt och att ett angrepp i många fall kommer att lyckas till någon mån. Men vi vill att detta skall vara begränsat och att en angripare inte enkelt skall komma åt vår data. Genom att alltid jobba med säkerheten i fokus tror jag att alla kan leverera produkter och tjänster som möter konsumenternas förväntan. Det behöver inte vara en stor utmaning, har er personal inte kunskapen som krävs för detta så hjälp dem få den. Har ni inte utrymme i budgeten för att anpassa er till detta så skjut upp något och gör utrymme för säkerheten. Alla studier visar på att ju tidigare säkerheten kommer in i en process desto bättre och desto kostnadseffektivare blir det.

Har din organisation självinsikt i hur väl ni lever upp till dagens och morgondagens krav på kvalité och säkerhet? Vet era utvecklare hur de utvecklar säkerkod? Har ni kontroll över era avtal med underleverantörer? Arbetar alla era tekniker efter etablerade processer? Är er ledning insatt i säkerhetsfrågor och har de satt i styrdokument hur organisationen skall arbeta med säkerheten? Och hur snart är er maskinpark helt uppdaterad efter att leverantörerna släpper uppdateringar av mjukvaror såsom operativsystem och firmware?

Om något av detta känns tveksamt så kontakt oss, så kan vi tillsammans ge er insikt i er informationssäkerhet och vilka första steg ni behöver ta.

Välkomna till 2018!

Mats Hultgren
IT Strategist and Information Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services. mats.hultgren@addlevel.se
Posted in Addlevel, Drift, GDPR, Informationssäkerhet, Security.