noun_Email_707352 noun_917542_cc Map point Play Untitled Retweet Group 3 Fill 1

Dags att bygga det digitala värdeskåpet!

All data är i stort sett digital idag och behöver skyddas. Vi behöver ett digitalt värdeskåp!

30 mars 2020

En historia

25 mars 1854, korpral Nils Strid och smeden Lars Ekström smyger över Stora Torget i Linköping. Den tidiga vårnatten är kall och de huttrar till när de kommer fram till Östgöta Enskilda Banks huvudentré.

De har fått all information de behöver från en kumpan, som dock inte är med vid rånet. Nils sträcker snabbt upp handen bakom dörrkarmen där nyckeln förvaras till ytterdörren och de båda kommer snabbt in i lokalen. Väl inne tar Lars fram sina verktyg och lyckas, efter lite tid, med våld få upp dörren till kassavalvet.

Morgonen därpå öppnas kassavalvet. Bankpersonalen hittar bara 3 riksdaler, samt en liten lapp med en hånfull hälsning. Rånbytet blir ca 850 000 riksdaler, ca 40-80 miljoner svenska kronor i dagens penningvärde vilket gör detta rån till ett av de största i vårt lands historia.

Ordningsmakten i Linköping står handfallen och man begär hjälp från norrköpingpolisens egen Sherlock Holmes, PM Larsson. Larsson besöker Linköpings krogar utklädd till oxhandlare och får napp som leder till gripandet av de tre brottslingarna. Rånbytet återfinns till största delen, nedgrävt i ett grönsaksland.

Även om historien ovan är underhållande och har hänt, så innehåller den intressanta lärdomar för oss som arbetar med att skydda digitalt data.

Jag listar följande:

  • Var noga med hur vi hanterar användaruppgifter och digitala nycklar. (Inte ovanför dörrkarmen)
  • Se till att ha detektionsförmåga. (Larm saknades så de kunde arbeta ostört under längre tid vid valvet)
  • Se till att ha ett säkert digitalt värdeskåp som tar tid att bryta sig in i. (En smeds verktyg skall inte räcka till)


Jämförelse mellan fysisk och digital säkerhet.

Idag bygger man ofta fysisk säkerhet med ett skalskydd, en larmad zon samt ett värdeskåp. Ett koncept som vi bör kunna översätta till vår digitala verklighet inom säkerhet.

Gör man en jämförelse mellan fysisk och digital säkerhet så skulle man kunna säga att Next-Generation Firewalls, epostskydd och ett starkt endpoint skydd (ATP) m.m. motsvarar skalskyddet (väggar, dörrar och yttre lås) i den fysiska världen. Då kompetenta kriminella kan ta sig in innanför skalskyddet behövs en plats i nätet där säkerheten är högre, ett digitalt kassaskåp!

Vi får också mer säkerhet för pengarna om vi skyddar en specifik del, än om vi skall ha samma höga skyddsnivå på hela vår IT-miljö.


Vad är ett digitalt värdeskåp?

Idag är i princip all data digital och de flesta företag, myndigheter och organisationer har data som behöver skyddas för att verksamheten inte skall ta skada. Det kan vara finansiell data, data som rör rikets säkerhet, personuppgifter och företagshemligheter.

När vi samlar dessa uppgifter på ett ställe i nätverket, minimerar åtkomst och ökar skyddsåtgärderna, så har vi skapat ett digitalt värdeskåp.

Om du tillhör de som bara har publik data, så behöver du inte ett digitalt värdeskåp, men du behöver fortfarande skydda hela din infrastruktur så mycket så att du inte blir utsatt för sabotage.


Hur bygger jag mitt digitala värdeskåp?

Det viktiga är att inte enbart tänka teknik; rutiner och föreskrifter behöver också vara på plats. Följande lista kan användas som en start på en checklista för ditt digitala kassaskåp.

  • Kontrollerad och begränsad nätaccess in till infrastrukturen.
    Detektionsförmåga som gör att jag ser när obehörig försöker ta sig in.
  • Rutiner/script på plats så att obehöriga kan stoppas från att försöka ta sig in.
  • En proxy eller jump point som gör att värdeskåpet inte har direktkontakt med eventuellt smittade datorer.
  • Minimerad åtkomst, så bara de som behöver kommer in i värdeskåpet.
  • Sett till att nycklarna till värdeskåpet förvaras säkert, ex. identiteter och andra former av digitala nycklar.
  • Kontrollera att nycklarna in till skåpet håller en lämplig säkerhetsnivå, för det jag vill skydda.
  • Sett till att skåpet i sig är skyddat med en starkare teknik än den jag använder i skalskyddet. (Ex. kryptering, vitlistning och härdning)
  • Kontrollera att de som skall serva infrastrukturen inte på något sätt kan komma åt informationen.
  • Få verifiering på att skyddet fungerar och är aktivt. (ex. Penetrationstester och sårbarhetsskanning)
  • Loggning av åtkomst och larm, att någon/något kontrollerar loggningen och rutiner finns på plats om loggningen slutar att fungera.
  • Sett till att loggarna sparas under tillräckligt lång tid.
  • Kontrollerat att backup tas och att backup data inte blir en säkerhetsrisk.
  • Verifiera att infrastrukturen i det digitala värdeskåpet är säkrat från obehörig fysisk access samt yttre hot ex. brand.

Behöver du hjälp med ett digitalt värdeskåp kan TietoEVRY hjälpa till med färdigpaketerade digitala kassaskåp, anpassade till olika former av data där kostnaden är anpassad till det som behöver skyddas.

P.S. Vi har också en SOC (Security Operations Center) med många kloka säkerhetsanalytiker. En av dem heter Larsson precis som poliskommissarien i historien, men han är inte från Norrköping.

Vidare läsning:

Develop Cyber Resiliant Systems (NIST.SP.800-160v2)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf
Guide to Application Whitelistning (NIST.SP.800-167)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-167.pdf
ICSA Guide to Cryptography by Randell K.Nichols
Digital Identity Guidelines (NIST.SP.800-63)
https://pages.nist.gov/800-63-3/

Lead Solution Architect

Leif Blocksjö

Lead Solution Architect, Security Services

Dela på Facebook Twittra Dela på LinkedIn