Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Så planterar hackare ebola i din sjukjournal

Svenska organisationer glömmer ofta bort säkerheten vid utveckling och kastar in det alldeles för sent i processen. Det menar Olle Segerdahl, säkerhetskonsult vid F-secure Cyber Security services.

Text Miguel Guerrero 20 december 2016 säkerhet

F-Secure-Olle-01_960x640.jpg

Mejl där brödtexten byts ut när det når mottagaren, ett nyhetsflöde på en betrodd sajt vars innehåll är lika skräddarsytt för användaren som det är falskt och en eboladiagnos i sin sjukjournal. Daavid Hentunens, säkerhetsexpert på F-secure, demonstration av hur tillgång till rotcertifikaten, de mellan hundra och trehundra som våra enheter litar på, oftast utan att vi kan göra något åt det, ger hackare tillgång till system vi trodde var säkra är skrämmande.

Att företag prioriterar bort att skydda sina applikationer är inte ovanligt, men genom demonstrationen vill F-secure visa exakt hur sårbara vi är.

– Vissa företag är bättre än andra men generellt tycker jag att nästan alla behöver hjälp med något när det gäller säkerhet. Det är ett område som är eftersatt, mycket på grund av det inte syns utan bara är utgift i budgeten. Därför börjar många tänka på det först i slutfasen ställlet för i början där man skulle behöva planera för det, säger Olle Segerdahl.

Säkerhet en feature som alla andra

Han anser att säkerhet ska betraktas som en funktion på samma sätt som till exempel användargränssnitt, kapacitet, stabilitet med flera.

– Det sker tyvärr inte så ofta. Man lever kvar i tron att det räcker med att fixa en brandvägg eller virusdödare i slutet, och där får nog vi i säkerhetsbranschen ta på oss eftersom vi har bidragit till den tron. Nu är det dags att vakna och tänka på säkerheten först.

Man kan skapa tjänster som är skitbra men en mardröm att göra säkra.

Olle Segerdahl , säkerhetsexpert Cyber Security Services, F-secure

Som exempel tar han retailbranschen som flyttat in på nätet. Där lägger man mycket fokus på flödet från annons till slutfört köp och hur användarna upplever tjänsten för att inte tappa kunder till andra tjänster. Säkerhet kommer ofta in mycket sant i utvecklingen.

– Man kan skapa tjänster som är skitbra men en mardröm att göra säker eftersom det inte var med i arkitekturen från början.

Olle Segerdahl upplever inte att det är någon större skillnad mellan näringslivet och den offentliga sektorn när det gäller perspektivet på säkerhet.

– Myndigheter är styrda av lagen om offentlig upphandling vilket påverkar dem lite i hur de betraktar säkerhet, men till största delen är det en kulturfråga. Har man jobbat mycket med frågorna tidigare är det mer naturligt att väva in det, men är man van att bara slänga på ett penetrationstest i slutet spelar det ingen roll om det är en myndighet eller ett företag av motsvarande storlek, tänket är ganska likartat.

Öppen källkod förenklar testandet

Från open source-håll hör man ofta argumentet att koden skulle vara säkrare för att den är just öppen och fler kan granska den, men det är en sanning med modifikation menar Olle Segerdahl.

– Det bygger på det falska antagandet att alla granskar allt men så är det självklart inte. Bara för att kod ligger öppet följer det inte naturligt att fler tittar på den. Däremot finns det självklart en fördel i att kod inte är stängd eftersom det är lättare att veta hur man ska testa den om man får tillgång till den. På så vis har man rätt i att det är lättare att hitta problem. Samtidigt kan man ta licensierad källkod som till exempel Windows som gått från att vara något alla skrattade åt till att vara ledande på säkerhet, och det beror på att man lagt fokus där och inte bara vässat mot prestanda.

För den som sitter i en beslutsfattande position kan det därför vara bra att göra en inventering över hur säkerhetsfrågorna behandlas. I en kommun kanske det är lämpligare att göra en investering i utbildning av personalen om social engineering, att via social manipulation få ut skyddsvärd information, och hur man använder verktygen än fysiskt it-skydd.

– Säg att man i en kommun köper in ett system för att medborgarna ska kunna ansöka om bygglov på nätet. Den verkar fungera bra när man skruvat in den i sin it-miljö, men frågade någon hur den leverantören jobbat med säkerhet? Det finns många risker med det man inte känner till.

Extern granskning avslöjar brister

En sådan genomlysning kan vara svår för organisationen att göra själv, menar Olle Segerdahl.

– Det är lätt att bli hemmablind, därför är det bra att ta in någon extern part som kan göra en sådan översyn. Då kan man skapa en bild av läget som är lättare att visa för exempelvis en kommun- eller företagsledning.

Som avrundning demonstrerar Daavid Hentunen hur han går in i sin bankapp. 171 miljoner kronor visar saldot. Pengar som visserligen inte finns där på riktigt men ändå.

– Jag kan lika lätt smyga in en falsk faktura bland de andra, en som bara användaren ser men banken inte märker. Kollar man inte totalsumman kanske man betalar den av bara farten, säger Daavid Hentunen.

Rekommenderad läsning

Voister 1 år

Digitaliseringens mörka sida

30 maj 2017 säkerhet

Krönika_säkerhet_960x640.jpg Krönika_säkerhet_960x640.jpg Krönika_säkerhet_960x640.jpg

Ransomware-ligor, digitala spioner och rovdjur av olika slag – i digitaliseringens kölvatten surfar fula fiskar. Voister har under sitt första år bevakat även branschens skuggsida och hur du skyddar dig. 

Blockchain ökar förtroendet för offentlig sektor

4 maj 2017 digit

Blockchain_960x640.jpg Blockchain_960x640.jpg Blockchain_960x640.jpg

Tekniken bakom bland annat bitcoin, blockkedjor, kan användas för att säkra alla typer av transaktioner. Inom offentlig sektor finns det därför många användbara tillämpningar menar Christer Berg, verksamhetsledare på Dataföreningen. 

Betala med mobilen i alla butiker

22 mar 2017 Digit

Samsung Pay_SEB, klar.jpg Samsung Pay_SEB, klar.jpg Samsung Pay_SEB, klar.jpg

Samsung lanserar en mobil betaltjänst för användning i alla svenska butiker. På sikt ska lösningen också ersätta träningskort, busskort och kvitton.

Cisco: Så skyddar du dig mot hot

7 jun 2017 säkerhet

Cisco Per Samuelsson .jpg Cisco Per Samuelsson .jpg Cisco Per Samuelsson .jpg video

Bygg in säkerheten i nätverket, minska mänskliga misstag genom automation och tänk innovativt. Det är några av Per Samuelssons råd för att möta ransomware och andra attacker. 

Google: Skrota lösenordet

3 jul 2017 säkerhet

StephanSomogyi_960x640.jpg StephanSomogyi_960x640.jpg StephanSomogyi_960x640.jpg video

Våra liv kräver allt mer digital interaktion. Därför är det dags att släppa traditionella lösenord och satsa på mer hanterbara autentiseringslösningar. Det menar Stephan Somogyi som jobbar med säkerhet och integritet på Google.

Skepp ohoj - självkörande båtar i sikte

19 dec 2016 digit

autonom båt.jpg autonom båt.jpg autonom båt.jpg

Självkörande bilar är som de flesta vet verkligen på agendan och flera av marknadens giganter leder forskningen. Mer tyst är det kring självkörande båtar - där är Viktoria Swedish ICT en av de forskande organisationerna.
– Fjärrstyrda och autonoma fartyg kommer innebära både säkrare vatten och minskad miljöpåverkan, säger Robert Rylander, researcher på Viktoria.

Red Hat: Optimera utvecklingen med devops

15 dec 2016 digit

AdobeStock_127517656_DevOps_960x640.jpg AdobeStock_127517656_DevOps_960x640.jpg AdobeStock_127517656_DevOps_960x640.jpg

Devops, mikrotjänster och containrar är tre av de hetaste begreppen inom utveckling just nu. Ted Schönbeck, teknisk chef på Red Hat förklarar fördelarna och berättar hur du kan komma igång.