teknik

Alla centrala IT-system är sårbara

Jag är inte precis förvånad över att professionella cyberbrottslingar har angripit centrala system för datorhantering. Tror det börjar gå upp för många företag hur extremt sårbar deras IT-infrastruktur är.

I grunden handlar det om att de tänker fel. Företagen tror att de genom att ge en central aktör omfattande privilegier att kontrollera och övervaka användarna kan eliminera risken för intrång - både externa och interna sådana. I stället väljer brottslingarna att attackera den svaga punkten i systemet - nämligen övervakaren.

Det företagen har gjort genom att samla kontrollen centralt är i själva verket att göra det extremt lätt för en professionell aktör - möjligen har man försvårat för amatörhackare - att få tag på all information på en gång.

Mellanhänderna har inga starka incitament att berätta om intrången. När skiten träffar fläkten får man ta problemet - alla verkar sitta i samma båt. Kineserna har naturligtvis inte heller de några starka incitament att berätta om sin verksamhet - de vill även fortsättningsvis ha access till svenska företags data.

Genom att överlåta IT-driften till en extern aktör har företagen därmed skapat en incitamentstruktur som leder till att sannolikheten för upptäckt blir lägre och att konsekvenserna av ett intrång betydligt större. När den främmande aktören tagit sig igenom den första spärren - MSP-aktören - ligger företagens nätverk i stort sett öppna.

Det här lär bara vara toppen av ett isberg och en gigantisk skandal. Vi kommer att få höra om bristfälliga rutiner hos olika MSP och om att halva det svenska näringslivets datorsystem är i främmade aktörers händer.

Att lösa problemen är dock inte helt enkelt. Ett sätt är extrem decentralisering och användning av väl genomlysta Open Source-system av typen Proton Mail. En annan väg är att utbilda all personal i IT-säkerhet. National Security Center i Storbritannien ger följande rekommendationer till användarna:

"You should contact your MSP and discuss their response to these attacks, including whether and how you have been affected. You should ensure that your MSPs  are doing everything necessary to investigate whether they have been compromised and what effect any such compromise has had on their customers. Do not accept assertions from your provider, but instead demand evidence."

Och som vanligt är offentlig upphandling en svag länk. BAE Systems Threat Research Blog skriver:

"From an end-customer's perspective, this supply chain risk needs to be managed jointly across security, legal, and most importantly through procurement functions. Driving for the lowest price possible from suppliers is not likely to end well for business where cyber-security matters."

Om inte ens NSA kan skydda sina data från opportunistiska leverantörer hur ska då svenska företag kunna göra det? Vi måste inse att det är centraliseringen av datahanteringen och bristen på transparens som är själva problemet.

Kanske är slutsatsen att företag över huvud taget inte bör lägga ut driften av IT till externa aktörer? Det innebär att man i företagen kommer att behöva tillbakaföra IT-kompetens i företaget för att skydda sig mot att externa leverantörer beter sig opportunistiskt. 

comments powered by Disqus


submit to reddit

« Varför har Sverige inget Silicon Valley - Skolans uppgift är inte att lära barnen läsa och räkna »