God it-säkerhet måste finnas med från början – även i molnet

Expert Network

IDG Expert NetworkMolnet 2019-01-11 11:15 God it-säkerhet måste finnas med från början – även i molnet

Man kan inte bygga in eller förlora it-säkerhet baserat på något man gör i efterhand, säkerheten måste finnas med från start. Därför är diskussionen om man kan lägga sekretessbelagd data i utländska moln en hypotetisk diskussion, skriver Greger Wikstrand, chefsarkitekt CGI.

Facebook 0 Twitter 0 Reddit LinkedIn 0 Totalt 0 Kopiera

Esams rapport om myndigheters sekretess och det utländska molnet har slagit ner som en bomb bland våra upphandlande myndigheter. Att lägga sekretessbelagd information i fel moln kan i sig vara ett sekretessbrott, enligt Esams experter. Räcker det inte med att kryptera allting så att det förblir hemligt? Självklart är det bättre om uppgifterna är krypterade, men så fort de används i en applikation kan de dekrypteras och avlyssnas av främmande makt.

Personalen är det största hotet
Det största hotet mot sekretessen är varken hackare eller laglig och olaglig spaning från främmande makt. Det största hotet är den egna personalen. I en undersökning stod personalen för runt 80 procent av sekretessbrotten. Oftast män och oftast i samband med att en anställning tog slut. Det innebär att det inte finns några genvägar, som exempelvis att undvika utländska moln, för att uppnå säkerhet och sekretess hos en myndighet.

Informationssäkerhet är inget som går att bygga på i efterhand. Det enda sättet att uppnå fullgod säkerhet är att bygga in den från början. Sedan måste den fortsätta att utvecklas i takt med att hoten utvecklas.

Det här är en artikel från Expert Network »

Oavsett hur väl du har skyddat dig så kommer du att bli hackad. Du kommer att läcka data. Eller faktiskt, du är redan hackad och du läcker redan data. Det går inte att bygga en säkerhetslösning baserad på tanken att den inte kan forceras, överlistas eller kringgås.

Tillitsfri säkerhet
Applikationer måste vara byggda för att fungera robust även i en opålitlig miljö. Bitcoin bygger på en ”okänd” infrastruktur med erkänt opålitliga användare – ofta kriminella, sägs det – men fungerar ändå.

Uppgifter som aldrig har samlats in kan inte heller läcka. Visst kan man tänka sig att någon uppgift är bra att ha i framtiden. Kanske går det att använda big data och AI för att analysera och komma fram till slutsatser. Men ofta är det minst lika bra att använda statistiska metoder och stickprover för att hitta nya samband.

It-säkerhetsproblemet med Transportstyrelsens omtalade outsourcing av it-driften var begränsat till en mycket liten del av datat som var sekretessbelagt. Det mesta datat är tillgängligt online via API:er. Om man hade haft en modernare applikationsarkitektur hade man skiljt ut hemliga uppgifter och lagrat och behandlat dem separat. Då hade outsourcingen aldrig behövt bli ett problem.

Jag skulle kunna fortsätta att räkna upp sätt att göra verksamheter och applikationer säkra. Men sanningen är att det inte finns och aldrig kommer att finnas en uttömmande lista på hur man ska göra för att skydda sig.

Inbyggd säkerhet
Säkerhet får aldrig vara baserad enbartpå att någon uppgift ska hållas hemlig. Så kan man använda det utländska molnet då? Svaret är att det beror på. Ett välskött system behöver ha säkerheten inbyggd från början baserat på insikten att vi lever i en osäker värld. Bara för att det är lagligt för myndigheterna i andra länder att avlyssna vissa servrar så betyder det inte att andra servrar inte är avlyssnade.

Läs också:
Digitaliseringen förändrar konsultinköpen – det krävs av dig som köpare
Digitalt ska vara snabbt – tre tips för bättre interna processer

Fakta

GREGER WIKSTRAND

Befattning: Chefsarkitekt
Linkedin: Greger Wikstrand
Twitter: @gregerwikstrand
E-post: g.wikstrand@cgi.com
Hemsida: www.gregerwikstrand.com
Företag: CGI
Expertområden: Molnet, lösningsarkitektur, e-/m-hälsa, telekommunikation, digital transformation och agil mjukvaruutveckling.
Certifieringar: TOGAF 9
Bakgrund: Teknologie doktor i datavetenskap, har forskat om prestanda, applikationer, den mänskliga faktorn, trådlösa nätverk och deras samspel samt publicerat ett 20-tal vetenskapliga artiklar. Mer än tio års erfarenhet inom it-branschen, främst som lösningsarkitekt.

Molnet Säkerhet Expert Network

expert network
Expert Network

Expert Network Facebook 0 Twitter 0 Reddit LinkedIn 0 Totalt 0 Kopiera Facebook 0 Twitter 0 Reddit LinkedIn 0 Totalt 0 Kopiera

Senaste nytt

  • 2019-01-11 11:31Computer Sweden Joakim Arstad Djurberg CGI fortsätter plocka från rivalerna – snor nyckelnamn från Tieto
  • 2019-01-11 11:15Computer Sweden Expert Network God it-säkerhet måste finnas med från början – även i molnet
  • 2019-01-11 11:05TechWorld Lars Dobos Certifikatdöd när USA stänger ned myndigheter
  • 2019-01-11 11:04Computer Sweden Karin Lindström Vill du ha en virtuell assistent? Nu börjar de flytta in på våra arbeten
  • 2019-01-11 09:37Computer Sweden Joakim Arstad Djurberg Nästa stora konsultaffär – DXC köper schweizisk jätte för 18 miljarder

100 Senaste

Bli först med att kommentera

Kommentera