• Meny
  • Sv/En

Sannah Westerlund — 22/11/17

Intervju med IT-säkerhetsexperten Anne-Marie Eklund Löwinder

Dotkeeper fanns som vanligt på plats på Internetdagarna i Stockholm och fick då en pratstund med Anne-Marie Eklund Löwinder, Säkerhetschef på IIS och rankad som en av Sveriges främsta experter inom IT-säkerhet.

Resultatet blev ett samtal om GDPR, Sveriges nuläge gällande IT-säkerhet, samt tips och trender till företag och organisationer inför 2018.

Anne-Marie är en av de få personer i världen som har valts till Trusted Community Representative och i rollen som Crypto Officer deltar i nyckelgenereringen för DNSSEC i rotzonen för internet, därtill utsedd av den internationella organisationen ICANN (Internet Corporation for Assigned Names and Numbers).

Hur mår IT-säkerheten i Sverige idag?

-Det händer tyvärr lite för lite vad gäller säkerhetsnivån. Men, i rättvisans namn, så har det dock kommit så mycket nu under sommaren som har kastat ljuset på säkerhetsfrågorna, att det kommer att bli bättre.

Gör vi tillräckligt?

-Frågan är egentligen vad som är tillräckligt? Vi måste fortfarande ha med oss; vad är risken, vad är konsekvensen om det här inträffar, och vad får det lov att kosta? Så frågan om vi gör tillräckligt är svårt att svara på, men, jag tror vi kan göra ännu mer.

Vad skulle du säga är det viktigaste att börja med?

-Det viktigaste är att alla viktiga funktioner i samhället har ett grundskydd. Det vill säga, att man sätter ut att; ”det här är ribban – här ska alla ligga – inte under den”. Och där är vi inte idag, på grund av att varje kommun och myndighet är utlämnad till sitt egna öde, och det finns begränsat med stöd och hjälp. Det här är komplext och svårt.

Du sa i en intervju för en dryg månad sedan att ”I dagens komplexa och diversifierade miljöer är det omöjligt att skydda sig helt från alla tänkbara hot, men det går att värdera och hantera risker, och det är det man bör fokusera på.”
Vad innebär det för gemene företag idag??

-När jag började inom Informationssäkerhet var det väldigt viktigt att hålla informationen inom företagets väggar. Nu är det precis tvärtom. Nu ska informationen vara nåbar för massa olika människor från massa olika devices, oavsett tidpunkt och var dem befinner sig, vilket är en betydligt mer komplex miljö att hantera. Det gör att risken för att drabbas av intrång, ransomware och/eller skadlig kod är extremt stor idag, därför att attackmetoderna för detta är så intrikata och svåra att spåra. Vill dem in så kommer dem in!

Detta betyder att vi inte ska tänka ”om” det inträffar utan snarare ”när det inträffar”, då ska skadan bli så begränsad som det bara går att få den.

Det handlar bland annat om att ha strikta behörighetsregler – dvs. du ska inte ha mer behörigheter än nödvändigt för att göra ditt jobb. Det andra handlar om att segmentera nätverk – skilj dem åt redan i infrastrukturen för de olika systemen så att dem inte är för pratsjuka mellan varandra. Och sedan se till att hålla allt uppdaterat och säkerhetskopierat. Se också till att hålla säkerhetskopian frånskiljt från nätverket. Annars kan det gå som för Radio- och TV myndigheten som fick allt krypterat, inklusive säkerhetskopian för att dem satt på samma server. Ingen bra idé!

Det känns som att GDPR är på alla läppar i dessa dagar, det är ett av spåren här under Internetdagarna också, men jag upplever att många fortfarande har en dålig uppfattning om hur det kommer att påverka och vad som behöver göras. Om du skulle lämna något konkret tips till företag i Sverige idag med ett halvår kvar till den nya lagen träder i kraft, vad skulle det vara?

-För det första måste du inventera ordentligt och se över, vad är det för personuppgifter vi hanterar? Sedan vill jag säga att GDPR har en tendens att ha blivit vår nya år 2000-bugg, där alla springer runt och flaxar med armarna och glömmer bort att vi faktiskt haft PUL i 10 år. Den stora skillnaden nu är att du faktiskt kan få sanktionsstraff om du bryter mot regelverket. Men, med det sagt måste du fortfarande ha koll på vilka personuppgifter du har och för vilket ändamål, och du får inte använda det till någonting annat. Du måste också kunna visa en förteckning över vilka personuppgifter behandlar vi och hur använder vi dem. Råkar du göra rätt, har du gjort fel. Du ska veta att du gör rätt. Detta tycker jag är ett viktigt budskap.

Vad ser du för säkerhetsrisker knutna till domäner idag?

-Det är inte så mycket nytt utan det är samma hot och risker som tidigare, t.ex. hijacking, farming och DNS-attacker.

Se verkligen till att signera domännamn med DNSSEC, för att kunna dra nyttan av alla nya säkerhetsprotokoll som man kan få in där.

Sista frågan. Har du någon spaning inför 2018?

-Ja, att ransomware kommer att öka ännu mer! Det är en så pass lukrativ affär för dem som utför dessa attacker…

Stort tack till dig, Anne-Marie, för att du ville dela med dig av kloka tankar och råd!