Så planterar hackare ebola i din sjukjournal

F-Secure-Olle-01_960x640.jpg

Svenska organisationer glömmer ofta bort säkerheten vid utveckling och kastar in det alldeles för sent i processen. Det menar Olle Segerdahl, säkerhetskonsult vid F-secure Cyber Security services.

Mejl där brödtexten byts ut när det når mottagaren, ett nyhetsflöde på en betrodd sajt vars innehåll är lika skräddarsytt för användaren som det är falskt och en eboladiagnos i sin sjukjournal. Daavid Hentunens, säkerhetsexpert på F-secure, demonstration av hur tillgång till rotcertifikaten, de mellan hundra och trehundra som våra enheter litar på, oftast utan att vi kan göra något åt det, ger hackare tillgång till system vi trodde var säkra är skrämmande.

Att företag prioriterar bort att skydda sina applikationer är inte ovanligt, men genom demonstrationen vill F-secure visa exakt hur sårbara vi är.

– Vissa företag är bättre än andra men generellt tycker jag att nästan alla behöver hjälp med något när det gäller säkerhet. Det är ett område som är eftersatt, mycket på grund av det inte syns utan bara är utgift i budgeten. Därför börjar många tänka på det först i slutfasen ställlet för i början där man skulle behöva planera för det, säger Olle Segerdahl.

Säkerhet en feature som alla andra

Han anser att säkerhet ska betraktas som en funktion på samma sätt som till exempel användargränssnitt, kapacitet, stabilitet med flera.

– Det sker tyvärr inte så ofta. Man lever kvar i tron att det räcker med att fixa en brandvägg eller virusdödare i slutet, och där får nog vi i säkerhetsbranschen ta på oss eftersom vi har bidragit till den tron. Nu är det dags att vakna och tänka på säkerheten först.

Man kan skapa tjänster som är skitbra men en mardröm att göra säkra.

Olle Segerdahl, säkerhetsexpert Cyber Security Services, F-secure

Som exempel tar han retailbranschen som flyttat in på nätet. Där lägger man mycket fokus på flödet från annons till slutfört köp och hur användarna upplever tjänsten för att inte tappa kunder till andra tjänster. Säkerhet kommer ofta in mycket sant i utvecklingen.

– Man kan skapa tjänster som är skitbra men en mardröm att göra säker eftersom det inte var med i arkitekturen från början.

Olle Segerdahl upplever inte att det är någon större skillnad mellan näringslivet och den offentliga sektorn när det gäller perspektivet på säkerhet.

– Myndigheter är styrda av lagen om offentlig upphandling vilket påverkar dem lite i hur de betraktar säkerhet, men till största delen är det en kulturfråga. Har man jobbat mycket med frågorna tidigare är det mer naturligt att väva in det, men är man van att bara slänga på ett penetrationstest i slutet spelar det ingen roll om det är en myndighet eller ett företag av motsvarande storlek, tänket är ganska likartat.

Öppen källkod förenklar testandet

Från open source-håll hör man ofta argumentet att koden skulle vara säkrare för att den är just öppen och fler kan granska den, men det är en sanning med modifikation menar Olle Segerdahl.

– Det bygger på det falska antagandet att alla granskar allt men så är det självklart inte. Bara för att kod ligger öppet följer det inte naturligt att fler tittar på den. Däremot finns det självklart en fördel i att kod inte är stängd eftersom det är lättare att veta hur man ska testa den om man får tillgång till den. På så vis har man rätt i att det är lättare att hitta problem. Samtidigt kan man ta licensierad källkod som till exempel Windows som gått från att vara något alla skrattade åt till att vara ledande på säkerhet, och det beror på att man lagt fokus där och inte bara vässat mot prestanda.

För den som sitter i en beslutsfattande position kan det därför vara bra att göra en inventering över hur säkerhetsfrågorna behandlas. I en kommun kanske det är lämpligare att göra en investering i utbildning av personalen om social engineering, att via social manipulation få ut skyddsvärd information, och hur man använder verktygen än fysiskt it-skydd.

– Säg att man i en kommun köper in ett system för att medborgarna ska kunna ansöka om bygglov på nätet. Den verkar fungera bra när man skruvat in den i sin it-miljö, men frågade någon hur den leverantören jobbat med säkerhet? Det finns många risker med det man inte känner till.

Extern granskning avslöjar brister

En sådan genomlysning kan vara svår för organisationen att göra själv, menar Olle Segerdahl.

– Det är lätt att bli hemmablind, därför är det bra att ta in någon extern part som kan göra en sådan översyn. Då kan man skapa en bild av läget som är lättare att visa för exempelvis en kommun- eller företagsledning.

Som avrundning demonstrerar Daavid Hentunen hur han går in i sin bankapp. 171 miljoner kronor visar saldot. Pengar som visserligen inte finns där på riktigt men ändå.

– Jag kan lika lätt smyga in en falsk faktura bland de andra, en som bara användaren ser men banken inte märker. Kollar man inte totalsumman kanske man betalar den av bara farten, säger Daavid Hentunen.

20 december 2016Uppdaterad 2 oktober 2023Reporter Miguel Guerrerosäkerhet

Voisters nyhetsbrev

Allt om digitalisering, branschens insikter och smartare teknik.

Rekommenderad läsning

Stäng