Tre säkra steg med IBM
Ett bra it-skydd mot attacker som även följer varje transformation samt GDPR, kan kräva att man anställer minst tio personer. Med Security Operations Center som tjänst kan företag och organisationer avlastas i sitt säkerhetsarbete.
– Problemet för många organisationer idag är att de måste skydda verksamheten och följa förordningar, samtidigt som de vill vara innovativa. Det är inte alltid så lätt att uppfylla dessa tre mål, och därför måste man prioritera vad man kan göra själv, och vad man kan låta andra göra, säger Mathias Ölander, Channel Manager på IBM Security i Sverige.
Tre drivkrafter
Mathias Ölander pekar på tre drivkrafter som ligger bakom den förhöjda uppmärksamheten och transformationen inom it-säkerhet. För det första tillkommer det löpande lagar som exempelvis säkerhetsskyddslagen, och förordningar som man måste förhålla sig till, där vi år 2018 har fått NIS-direktivet och GDPR, samtidigt som branschstandarder förnyas titt som tätt.
För det andra finns den kanske självklara aspekten att man vill skydda sin verksamhet, dels gentemot potentiella hot och rena hackerattacker, dels mot misstag i det vardagliga arbetet som kan förekomma, inte minst för att motverka att system ligger nere under längre perioder.
För det tredje drivs mycket av dagens affärsvärden av teknisk innovation. Data och hantering läggs i moln av olika slags, och då måste de interna systemen kopplas ihop med dessa på ett säkert sätt.
För att hantera alla dessa krav krävs det att man har en förmåga att upptäcka, reagera och åtgärda, och att man har en incidenthantering och ett sätt att förbättra sina system, menar Mathias Ölander.
– Att etablera ett så kallat Security Operations Center, SOC, är ett tillvägagångssätt för att handskas med de säkerhetsutmaningar vi står inför, och ett sätt att öka sin förmåga att upptäcka hot och etablera en incidenthantering. Använder man en tjänstebaserad SOC, finns möjlighet att skräddarsy en lösning, oavsett om man är en offentlig eller privat verksamhet, stora som små. Det viktigaste är inte vilken lösning man landar i, så länge man är överens om varför den ser ut som den gör, och i vilket syfte, säger Mathias Ölander.
Kompetensbrist
När analysföretaget Gartner årligen gör sina mätningar landar de i att en sådan här säkerhetsstrategi är värdefull, men att det är väldigt resurskrävande för enskilda företag och offentliga organisationer att bygga på egen hand.
Säkerhetsskyddslagen
Med säkerhetsskyddslagstiftningen menas säkerhetsskyddslagen (1996:627) och föreskrifter som har meddelats i anslutning till den lagen.
Med säkerhetsskydd avses:
- skydd mot brott som kan hota rikets säkerhet,
- skydd av hemliga uppgifter som rör rikets säkerhet och
- skydd mot terrorism.
Lagstiftningen gäller i stort sett alla verksamheter inom Sveriges gränser, såsom kommuner, stora och små företag, myndigheter, och andra organisationer, som måste arbeta förebyggande för att förhindra spionage, terrorism och andra brott.
Källa: Datainspektionen
Det kan krävas att man som företag anställer tio eller fler personer för att hålla en SOC levande dygnet runt, med allt från processledare till vikarierande säkerhetsanalytikern, enligt Mathias Ölander.
– En vanlig variant är att en tjänsteleverantör står för övervaknings- och analysarbetet, medan organisationen, exempelvis kommunen, sedan får i uppgift att åtgärda på de bitarna där man från leverantörens håll har identifierat brister. Inte minst eftersom det ofta finns information i systemen som helt enkelt inte får lämna huset. Huvudsaken är att man vet vad man vill. Det finns exempel på organisationer som har tagit krafttag att logga all sin data, för att sedan radera den kort därefter. Då har man kanske inte riktigt förstått vikten av att behålla data för analyser, säger han.
Maskininlärning hjälper
Ett verktyg som används är Security Incident and Event Management, förkortat SIEM. Det är en analysplattform för säkerhetsdata där man bland annat loggar vilka användare som har tillgång till vad, vilken data som förs in och ut från olika system, med mera.
– Det finns många olika datatyper att mäta, och således en oerhörd mängd data att övervaka och analysera, dels var för sig, dels i ett större sammanhang. Därför använder IBM:s SIEM-plattform Qradar maskininlärning, som exempelvis kan hålla koll på om användarna Kalle och Lotta gör saker när de är inloggande som avviker från deras normala beteende, där alla analyser sker i realtid, säger Mathias Ölander.
Mathias P Ölander
Vad håller kunderna vakna om natten?
– Tyvärr är det inte tillräckligt många som sover dåligt. Orsaken är att de helt enkelt inte vet om vilka säkerhetsbrister de faktiskt har eller att de redan blivit utsatta för en attack. En SOC ger typiskt insikt om brister man inte visste att man har och man upptäcker attacker som tidigare inte märktes. Sen kommer utmaningen i att upphandla SOC från en tjänsteleverantör, eftersom man sällan har kunskap om hur det går till. Ett bra sätt att börja är helt enkelt att prova genom att sätta upp en prototyp i begränsad storlek och under en begränsad tidsperiod, och lära sig av experter, det vill säga en tjänsteleverantör.
Läs mer om ämnet: