Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Palo Alto Networks förutspår IT-säkerhetstrender 2020

| Linda Kante

Det här är de åtta saker som vi behöver hålla ögonen på, enligt Greg Day, säkerhetsansvarig i EMEA på Palo Alto Networks:

1. AI förenklar IT-säkerhetsarbetet
Den viktigaste trenden inom IT-säkerheten 2020 är artificiell intelligens (AI). Redan idag kan AI användas för att identifiera nya säkerhetshot och pågående intrång. Samtidigt som även hackers använder AI, till exempel för att hitta nya säkerhetsluckor. Båda sidor kommer fortsätta att utveckla sina förmågor, men under 2020 kommer AI dessutom underlätta det vardagliga arbetet med IT-säkerhet. Framför allt genom att AI nu kan automatisera de enkla och repetitiva uppgifter som ingen säkerhetsansvarig gillar att lägga tid på. SOAR är en sådan teknik, som redan existerar och som under 2020 blir allt vanligare på företagen.

2. Förfalskningar blir ett ännu värre problem
Idag förfalskas allt från identiteter till information. Såväl konsumenter som företag utsätts exempelvis för identitetsstölder, ofta för att få tillgång till deras nätverk. Det sprids allt oftare förfalskningar av video, ljud och andra digitala format. Medan det tidigare handlat om att skämta eller genomföra enklare bedrägerier blir motiven och metoderna nu allt mer komplicerade. Snart kommer alla verksamheter behöva ha någon slags skydd mot detta, inte minst för att undvika att det förtroende som krävs för samarbetet i verksamheter förstörs.

Läs även: Palo Alto Networks och Europol ska motverka cyberbrottslighet i Europa

3. Molnet specialiseras
Först fanns bara ”molnet”, sedan dök begrepp som ”hybridmoln” upp och idag är det ”multimoln” som gäller. I framtiden kommer vi se mer specialiserade moln. I hela Europa ser vi att virtuella gränser mellan data blir vanligare, till exempel genom kraven på att data stannar inom landet. Omsorg om personlig integritet är en pådrivande faktor och en annan är IoT, eftersom denna teknik utnyttjar datakraft i kanten av nätverket. Effekten av dessa utvecklingslinjer är att molnet specialiseras för att klara olika krav. Detta leder också till ökad komplexitet vilket gör att säkerheten blir svårare att hantera.

4. Säkerhetsansvariga lär sig DevOps
5G kommer leda till en explosion av data från IoT, och företag behöver använda agila metoder för att utnyttja detta. Något som många säkerhetsansvariga idag kämpar för att hantera. De kommer behöva lära sig hur säkerheten kan hanteras i den nya miljön, och under 2020 kommer de som inte redan behövt ta tag i frågan göra det. Därför kommer många säkerhetsansvariga gå tillbaka till skolbänken och lära sig om DevOps.

5. 5G implementeras långsammare än väntat, vilket gör det ännu viktigare att vara förberedd
5G finns än så länge i några få pilotinstallationer runt om i Europa. Nu sätter politiska beslut käppar i hjulet och 5G slår därför igenom ett eller två år senare än väntat. Trots detta verkar IoT och smarta hem fortsätta öka stort, men än så länge används de existerande 4G-nätverken. När väl 5G slår igenom finns det alltså mängder av 5G-förberedda produkter hos företag och konsumenter. Vilket innebär att alla dessa apparater kommer börja använda 5G samtidigt – något som innebär att säkerheten sätts på prov redan från början. Under 2020 inser många att det är en mycket bra idé att vara förberedd.

6. Fler styrelser och ledningar kan ställa rätt frågor om säkerheten
Allt fler i ledande ställning ställer smarta frågor till sina säkerhetsansvariga. De svar de får höra gör att de förstår hur stora riskerna faktiskt är. Delvis drivs dessa förändringar av nya lagar och regler, men mycket handlar också om att det för varje år är fler företagsledningar och styrelser som inser att säkerheten är en verksamhetskritisk uppgift.

7. Edge computing tar fart
Edge computing handlar om att låta första nivån av databearbetning ske i nätverkets kant, nära där datan skapas, istället för att skickas till molnet för bearbetning. Säkerheten kan bli en utmaning, inte minst eftersom nya funktioner och apparater alltid lockar de som försöker utnyttja de intrångsmöjligheter som uppstår. Dessutom handlar det här om en intressant måltavla, eftersom väldigt mycket data passerar och bearbetas samtidigt som den sannolikt inte har ett lika starkt skydd som i mer centrala delar av nätverket.

8. Allt svårare för en traditionell säkerhetsorganisation att hantera säkerheten
Digitaliseringen fortsätter i hög takt men samtidigt har processen för att ta hand om alla möjliga incidenter inte utvecklats i samma fart. Detta gör att det inte finns tillräckligt med personal för att hantera alla larm. Processerna för att ta hand om moderna intrång behöver därför utvecklas, för en traditionell säkerhetsorganisation räcker inte längre till.

FBI rekommenderar separata nätverk för IoT

| Linda Kante

FBI går  nu ut med en rekommendation att vi skapar separata nätverk för våra uppkopplade saker i hemmet, så som smart-tv, kylskåp, lampor och larm. På så sätt blir det svårare för skadlig kod att leta sig in i våra digitala liv. 

Teckna din prenumeration på Aktuell Säkerhet här 

Skadlig kod kan vandra genom enheter för att nå fram till en primär enhet. Exempelvis kan den angripa en uppkopplad högtalare och sedan färdas genom nätverket till en primär enhet, som mobiltelefon, platta eller dator.

Techworld skriver att andra säkerhetsråd från FBI är att byta ut förvalda lösenord, inte använda samma lösenord mer än en gång, installera uppdateringar så fort de kommer samt inte klicka OK på alla dialogrutor som dyker upp.

Digitalisering ger bättre vård – men hur blir det med IT-säkerhet?

| Linda Kante

Gigantiska säkerhetsproblem väntar i takt med att vården digitaliseras. Det kräver ökat fokus på utbildning, säkra klientenheter, centrala lösningar och strategier, skriver Dynabooks Kenni Ramsell.

Sjukvården förväntas liksom de flesta andra branscher dra stor nytta av digitalisering under de närmaste åren. Enligt en undersökning från Market Research Future kommer marknaden för mobila lösningar till hälso- och sjukvården att växa med 25 procent per år de närmaste åren. Det ska innebär en marknad värd mer än en miljard kronor globalt under 2025.

Inom sjukvården har man redan erfarenhet av personal som jobbar på avstånd, med hjälp av mobila lösningar. Det finns undersökningar som visar på rejäla produktivitetsökningar för mobil personal, en undersökning i Storbritannien visar till exempel på en ökning på 40 procent.

Inte bara guld och gröna skogar

De flesta inblandade torde förstå potentialen för mobila lösningar inom sjukvården. Det gäller inte minst möjligheter till bättre åtkomst till data om patienter, vilket förhoppningsvis leder till smidigare processer och i slutändan till en bättre vård.

Men det finns så klart utmaningar också. En av de största är att ökad digitalisering och fler mobila lösningar kommer att leda till att mer data, till exempel om patienter, genereras och att risken för dataintrång ökar. Det är inte bara vårdorganisationer som riskerar att exponera vårddata, även försäkringsbolag och andra aktörer hanterar sådana.

Det här är inte bara ett integritetsproblem. Problemet är att många vårdorganisationer inte verkar ta hoten på allvar, eller inte har tid och energi att göra det. Enligt en undersökning som vi lät genomföra nyligen var det bara 18 procent av vårdorganisationerna som tillhandahöll utbildning om IT-säkerhet för sina anställda, och den allmänna känslan bland de respondenterna var att mer kunde göras. 12 procent tyckte att utfallet av utbildningarna var dåligt, bland annat för att de inte var obligatoriska.

Behovet av utbildning inom IT-säkerhet lär öka. Enligt Cisco ökar till exempel antalet cyberattacker med uppseendeväckande 350 procent per år generellt. Och det kommer att bli värre i takt med att nya tekniker som 5G och IoT blir allt mer populära.

Säkra enheterna

Det behövs inte bara utbildning. Det är viktigt att använda säkra klientenheter, till exempel bärbara datorer. Enheter kan till exempel säkras med hjälp av biometrisk inloggning, som fingeravtryck. Nästa steg är att använda klientenheter som inte lagrar några data, så kallade Mobile Zero Clients.

Det gäller helt enkelt att eliminera säkerhetshoten mot klientenheterna. För att lyckas med det krävs inte bara säkra klientenheter, utan även centraliserade lösningar för att övervaka och administrera dem, och för säker lagring. Med säker central lagring kan sjukvårdspersonal få tillgång till känsliga data mobilt, till exempel under hembesök, utan att data exponeras för attacker.

Det krävs insatser för att höja IT-säkerheten inom vården. Beslut måste fattas och strategier fastställas.

Han blir ny varumärkesambassadör för Trend Micro

| Linda Kante

Den svenske tiokamparen Fredrik Samuelsson blir ny varumärkesambassadör och frontman för för Trend Micros kampanj ”Förberedelse är nyckeln till framgång” för att uppmana företag att förbereda sig för morgondagens säkerhetshot.

Teckna din prenumeration på Aktuell Säkerhet här 

Fredrik Samuelsson tävlar i världseliten inom tiokamp och har åtta SM-guld i ryggen. För att prestera sitt bästa samt undvika skador gäller det att förbereda sig väl, och kontinuerligt finjustera strategier efter utmaningar som ständigt förändras beroende på exempelvis dagsform eller mängd träningstid till nästa tävling. Denna typ av förberedelse är precis lika viktig för företags IT-säkerhetsarbete som för en elitidrottsman. Även företag måste fokusera på god förberedelse och anpassning efter förändrade förhållanden, för att minimera riskerna för intrång och cyberattacker.

– Med dagens allt mer uppkopplade samhälle, och ökande spridning av såväl person- som företagsdata, är detta ämne mer aktuellt än någonsin säger Johhny Krogsbøll, säkerhetsexpert på Trend Micro Sverige.

Kampanjen består av tio filmer som var och en kopplar ihop en gren i tiokamp med en rekommenderad förberedelse företag bör göra inom IT-säkerhet, för att vara förberedd på morgondagens säkerhetshot och säkerställa att de tryggt kan fokusera på affärsmålen.

– Vi är jättestolta att ha Fredrik Samuelsson som vår varumärkesambassadör och ansikte utåt för den här kampanjen. Med denna kampanj vill vi hjälpa företag att göra tio åtgärder som stärker deras IT-säkerhet, så de kan framtidssäkra verksamheten och inte riskera att tappa konkurrenskraft på grund av en cyberattack, säger Lena Clefberg, marknadschef för Trend Micro i Sverige och Finland/Baltikum.

Ny studie: GDPR påverkar såväl kundförtroende som datasäkerhet

| Linda Kante

En ny studie, i vilken 1000 CTO:er, CIO:er, IT-chefer och säkerhetschefer tillfrågades i Frankrike, Tyskland, Italien, Spanien och Storbritannien, undersökte hur europeiska företag har mött GDPR-kraven. Tre fjärdedelar (75 procent) av de tillfrågade menar att GDPR har haft en gynnsam påverkan på kundernas förtroende, och 73 procent hävdar att förordningen har förbättrat deras datasäkerhet.

Teckna din prenumeration på Aktuell Säkerhet här 

Men i studien, som genomfördes av OnePoint på uppdrag av Check Point, framgick även att två tredjedelar (60 procent) av respondenterna anser att deras verksamhet helt har antagit alla GDPR-åtgärder – bara 4 procent menar att de inte har påbörjat processen. När de tillfrågade blev ombedda att betygsätta sina resultat att hantera GDPR-kraven på en skala från 0 till 10 (där 0 är ”inte alls” och 10 är ”helt”) var den genomsnittliga poängen optimistiska 7,91.

– Undersökningen visar att många europeiska verksamheter har gjort betydande framsteg när det gäller att genomföra de åtgärder som krävs för att bli GDPR-kompatibla. Verksamheterna har investerat mycket och ser nu fördelar i form av ökat kundförtroende och förbättrad datasäkerhet. Samtidigt finns det fortfarande många företag som har mycket kvar att göra för att möta alla kraven, säger Fredrik Johansson, säkerhetsexpert hos Check Point i Sverige.

Hela rapporten finns att ta del av här.

Komplex IT-säkerhet hinder för DevOps

| Linda Kante

DevOps prioriteras mycket högre idag bland företag än för ett år sedan och att majoriteten redan har implementerat en DevOps-kultur men att bristen på kompetens och rätt verktyg står i vägen för utvecklingen. Det visar en ny undersökning från Trend Micro.

Teckna din prenumeration på Aktuell Säkerhet här 

Undersökningen genomfördes i juni i år av det oberoende undersökningsföretaget Vanson Bourne på uppdrag av Trend Micro, med syfte att bättre förstå DevOps-kulturen inom stora samt små och medelstora företag världen över.

Rapporten visar att 80 procent av företagen redan arbetar med eller är igång med att implementera DevOps, men 94 procent av respondenterna uppger att de har stött på säkerhetsrisker vid genomförandet av projekt. Trots detta uppger 34 procent att de inte alltid konsulterar IT-säkerhetsteamet vid implementering av nya projekt.

För Sverige ser det bättre ut än för de flesta andra länderna i undersökningen. 70 procent av de svenska IT-beslutsfattarna uppger att de alltid engagerar IT-säkerhetsteamet i DevOps-initiativ, men att säkerhetsteamet behöver involveras mycket mer (47 procent). Dock – för att kunna anamma en DevOps-kultur fullt ut menar varannan svensk respondent att man behöver anställa mer personal med rätt kompetens inom IT-säkerhet.

– För oss är det väldigt viktigt att förstå svenska företags utmaningar och behov för att kunna erbjuda dem rätt vägledning och säkerhetslösningar, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro.

– I Sverige är vi snabba att anamma nya arbetssätt och det finns stora fördelar med DevOps, framför allt om man vill kunna få ut maximal effekt av agila utvecklingsmetoder. Men om denna agilitet innebär risker för IT-säkerheten måste man se till att inkludera IT-säkerhetsteamet så tidigt som möjligt för att kunna säkra sina DevOps-aktiviteter och inte utsätta företaget för onödiga säkerhetsrisker.

Svenska IT-chefer positiva till 5G men majoriteten skippar säkerheten

| Linda Kante

Trots att majoriteten av svenska IT-chefer ser positivt på utvecklingen av 5G planerar bara 17 procent av dem att investera i IT-säkerheten för att möte 5G-utrullningens ökade behov av säkerhet. Det visar en ny undersökning av YouGov som utförts på uppdrag av IT-säkerhetsföretaget Trend Micro.

Teckna din prenumeration på Aktuell Säkerhet här 

Resultatet visar att var tredje respondent (27 procent) uppger att de inte kommer stärka IT-säkerheten inför utrullningen av 5G nästa år. En orsak till detta kan vara att beslutsfattare inom organisationen inte är tillräckligt insatta i vad det kommer innebära. 39 procent tror inte att 5G kommer ha någon effekt på IT-säkerheten och 22 procent menar att ledningen eller de ansvariga inom organisationen inte har koll på de nya rekommendationerna och direktiv för företag och 5G.

Mer än en tredjedel (35 procent ) av beslutsfattare inom IT anser att de till liten del eller inte alls har tillräcklig kunskap om säkerhetsriskerna och hur man skyddar sig i och med utrullningen av 5G. En tredjedel (31 procent) vet inte om de är skyddade och 22 procent uppger att de inte är skyddade mot de säkerhetsrisker som finns med 5G. Trots detta visar sig nästan varannan respondent, 44 procent, vara oroad över att det kommer bli svårt att skydda sig mot nya typer av hot och intrångsmöjligheter och 32 procent är oroliga över att bli mer sårbara för attacker.

– Vi rekommenderar starkt att företag planerar för att investera i IT-säkerheten inför implementeringen av 5G. Med betydligt fler smarta produkter uppkopplade i kombination med den ökade mängd data som måste hanteras ökar även kraven på IT-ansvariga att korrekt kunna driva och säkra nätverksprocesserna. För att kunna dra nytta av fördelarna med 5G och inte hamna efter krävs att företag redan nu börjar se över IT-säkerheten för en smidigare övergång, säger Johnny Krogsboll, Technical Director Nordic på Trend Micro.

”Dags att spräcka säkerhetsbubblan som de unga vuxit upp i”

| Kronika

När den nya och ständigt uppkopplade generationen börjar dyka upp i arbetslivet behöver säkerhetsarbetet förändras i grunden. Det menar Fredrik Möller, Nordenchef på Proofpoint.

Teckna din prenumeration på Aktuell Säkerhet här

Arbetsmarknaden har under en längre tid funderat kring hur man ska anpassa sig efter det stora antal millennials, folk födda på tidigt 80-tal till mitten av 90-talet, som nu börjar ta plats. Medier framställer ofta denna generation som en nästintill annan art jämfört med de andra. Googlar du ”millennials” beskrivs de som både snåla och ohälsosamma för att nämna några, mindre charmiga, karaktärsdrag.

Ett vanligt begrepp i sammanhanget är” digitala infödingar”, då millennials vuxit upp omgivna av teknik. De förväntas vara konstant uppkopplade; långt fler än 90 procent konsumerar och använder sociala meder dagligen, enligt den senaste utgåvan av rapporten ”Svenskarna och Internet”.

Med anledning av detta kommer företag och hela branscher behöva omstruktureras för att hålla en hög produktivitetsnivå när den nya generationen gör entré. En anledning till att omstrukturering brukar anses nödvändigt är för att millennials, rent generellt, förmodas vara mer kunniga inom tech än sina föräldrar. Men frågan är om det inte i vissa fall är en förutfattad mening.

En ny rapport visar nämligen tecken på att det motsatta är fallet och att millennials faktiskt är relativt dåliga när det kommer till datasäkerhet jämfört med äldre generationer. Studien visar att deras föräldrar är 11 procent troligare att upptäcka en form av virus eller scam, och bara 50 procent i åldrarna 18–29 kunde definiera ordet ”phishing”. Ett vanligt antagande är att det oftast är äldre som går på bedrägerier, men det har i själva verket visat sig vara personer i 20-årsåldern som är de vanligast förekommande offren.

Den internationella organisationen Get Safe Online har pekat ut några faktorer till varför det ligger till på detta sätt. Att den unga generationen oftare är online ökar självklart risken för att stöta på bedrägerier, men deras övertro på sig själva resulterar många gånger i antagandet att ”jag kan inte råka ut för bedrägerier, det drabbar bara äldre”.

Unga lever också kvar i tanken att phishing-emails är uppbyggda som förut. Idag ser phishing annorlunda ut och attackerna är allt oftare speciellt utformade efter den som attackeras, vilket gör millennials mycket mindre misstänksamma mot just denna attack.

För att anpassa företag efter denna generation krävs därför en typ av upplärning som ändrar inställningen till cyberhot och spräcker den säkerhetsbubbla som de vuxit upp i. Samtidigt som den nya generationens ständigt uppkopplade yrkesarbetare förväntar sig att ha tillgång till sina arbetsverktyg dygnet runt, är det viktigt att inte ta gamla sanningar om deras säkerhetsmedvetande för givna. Det gäller att utmana, testa och träna dem att se bortom de mest uppenbara riskerna.

På varje modern arbetsplats finns en blandning av yngre och äldre, med sin egen mix av kompetenser, svagheter, kunskaper och förutfattade meningar. Att då bygga ett kollektivt säkerhetsmedvetande kring ett ”one size fits all”-tänk riskerar att slå fel och leda till dyra kostnader – det har många verksamheter bittert fått erfara de senaste åren.

Istället behöver varje individ sättas i fokus, det som vi i säkerhetsbranchen kallar ”people-centric security”. Först då kan vi få till ett effektivt och generationsöverskridande säkerhetsarbete.

Fredrik Möller,
IT-säkerhetsexpert, regionchef för Proofpoint i Norden och Baltikum

IT-säkerhet ett omöjligt pussel

| Linda Kante

Fler än två av tre organisationer utsattes under förra året för angrepp som de inte kunde förhindra. Detta trots att nio av tio säger sig använda uppdaterade IT-säkerhetslösningar.

Teckna din prenumeration på Aktuell Säkerhet här

En ny global studie från Sophos visar att många företag är på väg att förlora striden om IT-säkerheten.The Impossible Puzzle of Cybersecurity” påvisar att IT-avdelningarna lägger drygt en fjärdedel (26 procent) av tiden på IT-säkerhet samtidigt som en stor andel (86 procent) uppger att de behöver fler säkerhetsexperter för att möta utvecklingen. Mot det står begränsade budgetar och en stor global brist på kvalificerad personal.

– Studien visar att företag i dag måste hantera flera samtidiga angrepp som ofta använder olika ingångar och olika sorters skadlig kod. Attackerna är i många fall koordinerade och sammansatta för att göra maximal skada eller ge angriparna bästa möjliga belöning i form av information eller pengar, säger Ola Björling, ansvarig för Sophos i Norden och Baltikum.

– Det här visar att IT-säkerhet måste ses som en helhet där man kan förstå och förebygga snarare än att i första hand reaktivt svara på uppkomna attacker och intrång. För att klara det behöver man arbeta med synkroniserad säkerhet som använder prediktiv analys och avancerad djupinlärning. På så vis minskar man också behovet av de säkerhetsexperter som i dag inte finns att tillgå, säger Ola Björling.

Ny rapport avslöjar säkerhetsrisker när företag implementerar DevOps

| Linda Kante

Trend Micro presenterar idag en rapport som visar att majoriteten av de tillfrågade IT-ansvariga anser att kommunikationen brister mellan avdelningarna för IT-säkerhet och mjukvaruutveckling.

Trend Micro har, under ledning av det oberoende forskningsföretaget Vanson Bourne, tillfrågat 1 310 IT-beslutsfattare världen över om deras attityd gentemot DevOps. Respondenternas organisationer innefattas både av stora bolag och små och medelstora företag. Företagen befinner sig i olika stadier av implementeringen av DevOps och integrationen av sina team, applikationsutveckling samt säkerhet och IT-drift för att förkorta och säkra utvecklingens livscykel.

Trots att tre fjärdedelar (74 procent) av respondenterna hävdar att DevOps-initiativ har blivit viktigare under det gångna året, angav en ännu högre andel att kommunikationen inom IT-avdelningen måste förbättras.

89 procent menar att mjukvaruutvecklare och säkerhetsteam måste arbeta närmare varandra, medan 77 procent menade detsamma om utvecklarna, samt säkerhets- och IT-driftspersonalen. En tredjedel (34 procent) hävdar att dessa silostrukturer gör det svårare att skapa en god DevOps-kultur i organisationen.

– Tittar vi tillbaka historiskt på mjukvaruutvecklingen ser vi att de största och bästa förbättringarna av processer aldrig sker över en natt, säger Ola Wittenby, VD Trend Micro Sverige. Detta på grund av den mest värdefulla variabeln, människan, vars befintliga beteendemönster och kulturella komponenter saktar ner processen.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29