- Annonser -
  • Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

API:er och lärdomar från Facebook-attacken 2018

Företag använder allt oftare API:er för att utveckla sina digitala tjänster. Men den supersnabba åtkomsten till kritisk data har en baksida som många företag fortfarande inte förstått vidden av. Detta trots en välkänd attack mot Facebook 2018 som borde ha fått alla säkerhetsansvariga på tå.

-

- Annons -

Gränssnitten för applikationsprogrammering (API:er) finns bakom kulisserna i nästan allt som du som konsument eller företag kommer i kontakt med i det digitala rummet. Från datacenter till smartphones.

Peter Gustafsson, Barracuda Networks

Fördelarna är många eftersom API:er gör att olika IT-system kan prata med varandra och skapa synergieffekter som ökar effektiviteten, sänker kostnaderna och hushållar med resurserna. Men om konfigurationen av API:n görs för snabbt och ogenomtänkt kan riskerna snabbt bli fler än fördelarna.

Fokus har varit på funktionalitet – inte säkerhet
Den ökade andelen hemarbete har skapat en stor efterfrågan på datatrafik mellan applikationer och molntjänster så att alla kan arbeta oavsett var man befinner sig. Men dessa API-lösningar har ofta skapats med fokus på hastighet och funktionalitet – inte säkerhet. Tyvärr betyder det att cyberkriminella allt för enkelt kan få tillgång till affärskritisk information.

- Annons -

De flesta organisationer uppskattar API:er – med rätta. Men att säkra dem ordentligt är en stor utmaning.

I en av våra senaste undersökningar bland 750 internationella kunder sa 72 procent att deras organisation har upplevt minst ett applikationsintrång under det senaste året. Och så många som 40 procent har upplevt mer än ett.

Även i media har artiklar om stora dataläckor blivit vanligare. Det går bland annat att läsa om hur cyberkriminella använder robotar som skannar internet efter sårbarheter. Ett exempel är Facebook, som 2018 aktiverade ett test-API med direkt åtkomst till interna datacenter utan att ha kontroll över säkerheten. Det resulterade i ett dataläckage som berörde över 50 miljoner användare.

Skillnaden mellan checkar och internet
Det går att göra en jämförelse med hur vi använde checkar. De som är tillräckligt gamla kanske kommer ihåg hur mor- och farföräldrar kunde ge pengagåvor i form av checkar. Sedan fick man vänta på att banken skulle öppna. Därefter lämnade man in en check och väntade på att en anställd skulle kontrollera en stor mängd information och kanske prata med en annan bank. Efter flera dagar fanns pengarna på mottagarens konto.

I dag kan pengar överföras på några sekunder med en smartphone. Det går snabbt, men tekniken bakom är inte så enkel. Väldigt komplexa IT-lösningar arbetar bakom kulisserna för att slutföra en transaktion – och varje enskild process i kedjan måste skyddas.

Det finns heller ingen mänsklig inblandning utan allt hanteras av API:er. Därför finns det många potentiella ingångar för IT-brottslingar där API-baserade applikationer är mer exponerade än traditionella webbaserade.

När du bläddrar igenom ditt Facebook-flöde eller kontrollerar dagens aktiekurser skickas en enorm mängd data direkt från ett datacenter som ständigt kontrolleras och uppdateras med ny data. Utan tillräcklig säkerhet kan den dataströmmen mycket väl utsättas för en framgångsrik attack.

Skydda dina API:er
Oavsett vad vi kallar hotet – zero day, bottar, DDoS, svaga punkter i leveranskedjan, kontostöld eller något annat – kan företagen själva göra mycket mer. Det borde vara högsta prioritet för alla företag att skydda sina API:er med en väl fungerande säkerhetslösning som är skalbar och enkel att arbeta med.

Peter Gustafsson, Barracuda Networks

- Annons -
- Annons -

Så skapar du en brandsäker arbetsmiljö

Er arbetsplats uppfyller alla lagkrav och ni har aldrig haft någon brandincident, så det borde ju inte vara någon fara. Eller? – Ofta vet man...

FLER NYHETER

Karl Emil Nikka nominerad till Årets Säkerhetsprofil 2021

– Det här var fantastiskt roligt att mycket oväntat. Det är verkligen en ära att få sällas till skaran av profiler som har nominerats genom åren,...
- Annons -

Nytt nordiskt samarbete mellan Parakey och Unloc

– Efter att ha haft dialog med Unloc i flera år har vi nu konkreta förfrågningar från kunder om att använda Parakeys marknadsledande lås...
- Annons -

Företag inom bank och finans betalar högt pris vid ransomware-attacker

I den globala studien som genomförts av IT-säkerhetsföretaget Sophos framgår även att endast 25 procent av de drabbade företagen inom bank och finans betalade...
- Annons -

Amido utsett till mest innovativa proptechbolag

”Det är inte alltid lätt att påvisa en tydlig och konkret nytta när det skapas produkter med samhället som slutkund. De digitala verktygen kan...
- Annons -

Otryggheten bland myndighetsanställda ökar

Studio Akavia Möter bjöd in Försäkringskassans generaldirektör, Arbetsgivarverkets chefsjurist och Akavias rättspolitiska sakkunniga för att diskutera frågan.− Jag är bekymrad över utvecklingen därför att...
- Annons -

Würth storsatsar på släckare avsedd för bränder i litiumjonbatterier

– Det är många i dag som efterfrågar den här typen av brandsläckare, säger Rune Clasen, som ansvarar för Würts butiker i Norge.Würth levererar...

Nytt grepp för att stärka Sveriges cyberförsvar

Allt fler uppkopplade enheter och en ökad digitaliseringsgrad gör det möjligt för angripare att hacka sig in och komma över värdefull information. Enligt Cybersecurity...

Ramboll levererar säkerhetskonsulter till Sveriges kommuner

– I en värld som förändras snabbt och ibland oförutsägbart ökar behovet av resiliens, alltså att vara förberedd för olika scenarier. Det handlar om...

Arlandas Terminal 5 får effektivare säkerhetskontroll

Schneider Electric har gjort flera installationer åt Swedavia och Arlanda de senaste åren och har även mycket goda erfarenheter av att driva stora projekt...

IT-säkerhetsansvariga slarvar med patchar i kampen mot ransomware

Ransomware är en av de mest utbredda cyberattackmetoderna i dag och antalet drabbade företag blir allt fler och fler. En del av förklaringen kan...

Hon blir ÖB:s nya militärpolitiska rådgivare

Hon kommer närmast från egen verksamhet som försvarspolitisk expert, och har exempelvis modererat konferenser och varit utredare inom militärt och civilt försvar. Annika Nordgren Christensen...

IMY inleder granskning av inkassobolag

Integritetsskyddsmyndigheten, IMY, har tagit emot information från Konsumentverket som rör ett inkassobolag som är inkassoombud för det Hongkong-registrerade bolaget Svenskt Fordonsskydd Ltd.Svenskt Fordonsskydd Ltd...

Prosero förvärvar Nordland Lås & Sikkerhet AS

– Med Nordland Lås & Sikkerhet tillförs ytterligare en lokal ledare till Proseros bolagsportfölj och vi är stolta över att kunna välkomna dem till...

Anslagen till SOS Alarm ökar

– Förtroendet för nödnumret är helt centralt i ett tryggt och säkert samhälle. Hjälpsökande ska alltid känna trygghet i att få rätt hjälp i...

Är du verkligen säker i hemmets trygga vrå?

Många av oss arbetar hemma och troligtvis är hemmakontoret här för att stanna. Kanske...

API:er och lärdomar från Facebook-attacken 2018

Gränssnitten för applikationsprogrammering (API:er) finns bakom kulisserna i nästan allt som du som konsument...