Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Så planterar hackare ebola i din sjukjournal

F-Secure-Olle-01_960x640.jpg

Svenska organisationer glömmer ofta bort säkerheten vid utveckling och kastar in det alldeles för sent i processen. Det menar Olle Segerdahl, säkerhetskonsult vid F-secure Cyber Security services.

Mejl där brödtexten byts ut när det når mottagaren, ett nyhetsflöde på en betrodd sajt vars innehåll är lika skräddarsytt för användaren som det är falskt och en eboladiagnos i sin sjukjournal. Daavid Hentunens, säkerhetsexpert på F-secure, demonstration av hur tillgång till rotcertifikaten, de mellan hundra och trehundra som våra enheter litar på, oftast utan att vi kan göra något åt det, ger hackare tillgång till system vi trodde var säkra är skrämmande.

Att företag prioriterar bort att skydda sina applikationer är inte ovanligt, men genom demonstrationen vill F-secure visa exakt hur sårbara vi är.

– Vissa företag är bättre än andra men generellt tycker jag att nästan alla behöver hjälp med något när det gäller säkerhet. Det är ett område som är eftersatt, mycket på grund av det inte syns utan bara är utgift i budgeten. Därför börjar många tänka på det först i slutfasen ställlet för i början där man skulle behöva planera för det, säger Olle Segerdahl.

Säkerhet en feature som alla andra

Han anser att säkerhet ska betraktas som en funktion på samma sätt som till exempel användargränssnitt, kapacitet, stabilitet med flera.

– Det sker tyvärr inte så ofta. Man lever kvar i tron att det räcker med att fixa en brandvägg eller virusdödare i slutet, och där får nog vi i säkerhetsbranschen ta på oss eftersom vi har bidragit till den tron. Nu är det dags att vakna och tänka på säkerheten först.

Man kan skapa tjänster som är skitbra men en mardröm att göra säkra.

Olle Segerdahl , säkerhetsexpert Cyber Security Services, F-secure

Som exempel tar han retailbranschen som flyttat in på nätet. Där lägger man mycket fokus på flödet från annons till slutfört köp och hur användarna upplever tjänsten för att inte tappa kunder till andra tjänster. Säkerhet kommer ofta in mycket sant i utvecklingen.

– Man kan skapa tjänster som är skitbra men en mardröm att göra säker eftersom det inte var med i arkitekturen från början.

Olle Segerdahl upplever inte att det är någon större skillnad mellan näringslivet och den offentliga sektorn när det gäller perspektivet på säkerhet.

– Myndigheter är styrda av lagen om offentlig upphandling vilket påverkar dem lite i hur de betraktar säkerhet, men till största delen är det en kulturfråga. Har man jobbat mycket med frågorna tidigare är det mer naturligt att väva in det, men är man van att bara slänga på ett penetrationstest i slutet spelar det ingen roll om det är en myndighet eller ett företag av motsvarande storlek, tänket är ganska likartat.

Öppen källkod förenklar testandet

Från open source-håll hör man ofta argumentet att koden skulle vara säkrare för att den är just öppen och fler kan granska den, men det är en sanning med modifikation menar Olle Segerdahl.

– Det bygger på det falska antagandet att alla granskar allt men så är det självklart inte. Bara för att kod ligger öppet följer det inte naturligt att fler tittar på den. Däremot finns det självklart en fördel i att kod inte är stängd eftersom det är lättare att veta hur man ska testa den om man får tillgång till den. På så vis har man rätt i att det är lättare att hitta problem. Samtidigt kan man ta licensierad källkod som till exempel Windows som gått från att vara något alla skrattade åt till att vara ledande på säkerhet, och det beror på att man lagt fokus där och inte bara vässat mot prestanda.

För den som sitter i en beslutsfattande position kan det därför vara bra att göra en inventering över hur säkerhetsfrågorna behandlas. I en kommun kanske det är lämpligare att göra en investering i utbildning av personalen om social engineering, att via social manipulation få ut skyddsvärd information, och hur man använder verktygen än fysiskt it-skydd.

– Säg att man i en kommun köper in ett system för att medborgarna ska kunna ansöka om bygglov på nätet. Den verkar fungera bra när man skruvat in den i sin it-miljö, men frågade någon hur den leverantören jobbat med säkerhet? Det finns många risker med det man inte känner till.

Extern granskning avslöjar brister

En sådan genomlysning kan vara svår för organisationen att göra själv, menar Olle Segerdahl.

– Det är lätt att bli hemmablind, därför är det bra att ta in någon extern part som kan göra en sådan översyn. Då kan man skapa en bild av läget som är lättare att visa för exempelvis en kommun- eller företagsledning.

Som avrundning demonstrerar Daavid Hentunen hur han går in i sin bankapp. 171 miljoner kronor visar saldot. Pengar som visserligen inte finns där på riktigt men ändå.

– Jag kan lika lätt smyga in en falsk faktura bland de andra, en som bara användaren ser men banken inte märker. Kollar man inte totalsumman kanske man betalar den av bara farten, säger Daavid Hentunen.

20 december 2016 Reporter Miguel Guerrero säkerhet

Rekommenderad läsning

många får tittar mot kameran på grönt grä.jpg

Ett molnbaserat lantbruk

28 okt 2019 it i skolan

Molnbaserat lärande och Chromebooks är vardag för eleverna på Hushållningssällskapets naturbruksgymnasier i Kalmar och Kronoberg. Nästa steg är att stödja landets övriga sällskap inom digitalisering.

kvinna öppnar kyl i mörkt kök och har en förvånad min.jpg
video

På e-handelns läppar

19 nov 2018 digit

Idag räcker det inte med ett snyggt gränssnitt på sajten. Inom kort är klockan, bilen och kylen enheter där alltmer handel kommer att äga rum. Därför måste vi vänja oss vid att erbjuda unified commerce.

Mikko_960x640.jpg

IoT är årets största hot

19 mar 2018 säkerhet

Internet of things kan i år komma att bli vad ransomware var förra året, nämligen det största hotet mot privatpersoner och företag. Det menar Mikko Hyppönen, F-Secure, som i april kommer till Sverige och talar på Strategi säkerhet 2018.

elon-musk-talar-pa-teslastamma.jpg

Nigeriatweets från Musk

9 feb 2018 säkerhet

En ny form av ett klassiskt svindleri, likt Nigeriamejl, sprider sig på Twitter. Bluffen är inte svår att upptäcka men med fakade tweets från bland annat Elon Musk har svindlarna redan tjänat många tusen dollar i ethereum och bitcoin på mindre än en vecka.

burmanWEBB.jpg

Boliden utvinner ny konkurrenskraft

25 sep 2017 ledarskap

För gruv- och smältbolaget Boliden innebär digitalisering att erbjuda medarbetarna säkrare arbetsplatser. Men också en möjlighet att jobba effektivare och konkurrera med världsmarknadens giganter.

 

gävle 1 puffbild 960640.jpg
video

Robotar avlastar Lantmäteriet

20 sep 2017 digit

Lantmäteriet fortsätter att testa ny teknik och digitala lösningar. Efter Minecraft och blockkedjor introduceras nu mjukvarurobotar som ska göra det enklare jobbet och de anställda få tid till annat.

StephanSomogyi_960x640.jpg
video

Google: Skrota lösenordet

3 jul 2017 säkerhet

Våra liv kräver allt mer digital interaktion. Därför är det dags att släppa traditionella lösenord och satsa på mer hanterbara autentiseringslösningar. Det menar Stephan Somogyi som jobbar med säkerhet och integritet på Google.

Krönika_säkerhet_960x640.jpg

Digitaliseringens mörka sida

30 maj 2017 säkerhet

Ransomware-ligor, digitala spioner och rovdjur av olika slag – i digitaliseringens kölvatten surfar fula fiskar. Voister har under sitt första år bevakat även branschens skuggsida och hur du skyddar dig.