Banner image

Informationssäkerhet

En kort introduktion till informationssäkerhet samt ett antal texter inom området som jag har producerat, såväl tekniska som mer populärvetenskapliga.

Varför informationssäkerhet?

Informationssäkerhet är bra därför att alternativet är dåligt. Alternativet är till exempel att alla dina dokument och bilder raderas av misstag eller av en illvillig person. Det kan också vara att svenska företag förlorar ordrar på miljarder på grund av industrispionage.

Vad är informationssäkerhet?

En bra sammanfattning som täcker det mesta är att korrekt (oförvanskad) data ska finnas tillgängligt vid rätt tidpunkt, och endast för rätt person. Det låter väl enkelt?

Tyvärr krävs ganska mycket för att kunna uppnå detta. Visst, det går att bygga ett hyffsat säkert system som står sig bra mot alla kända attacker. Det är däremot betydligt svårare att bygga ett system som står emot alla framtida attacktekniker, även om man förstås kan ha tur ibland.

Trots detta är loppet inte kört. Lösningen är att bygga sitt skydd i flera lager, och framför allt se till att upptäcka och reagera på attacker innan de orsakar allvarlig skada. Just reaktionsbiten är det dock många som slarvar med, troligen för att det inte är en engångsinsats som kan genomföras med hjälp av konsulter. För att kunna reagera effektivt på en attack eller incident måste man planera i förväg, det gäller att ha både rutiner och beredskap på plats den dagen något händer, och framför allt måste man ha övat på att hantera en incident utifrån de fastställda rutinerna så att man vet att de fungerar.

Tekniken är bara hälften

God säkerhet kan inte uppnås enbart med hjälp av teknikiska lösningar. Illvilliga personer som verkligen vill komma åt information kommer att använda den enklast möjliga metoden för att uppnå målet. Det spelar ingen roll om du har fyrdubbla brandväggar och lås så länge någon kan klä ut sig till vaktmästare och promenera in i byggnaden, be någon att öppna dörren ("jag tog med mig fel nyckelknippa idag..."), plocka med sig hårddiskarna, och gå därifrån igen.

Den andra halvan av säkerheten uppnår man genom att ha en organisation som stödjer säkerhetsarbetet. Personalen behöver förstå syftet med säkerhetsskyddet och att viss information måste hanteras extra försiktigt.

Det sägs ofta att den egna personalen är det största hotet eftersom de redan är "inne" i systemet. Det finns naturligtvis sanning i detta, men jag tycker att man ofta glömmer bort att personalen samtidigt är den absolut största tillgången för säkerheten. En organisationskultur där de anställda reagerar om något ser konstigt ut och rapporterar detta, är för mig värt minst lika mycket som ett tekniskt intrångsdetekteringssystem. En sådan kultur uppstår givetvis inte av sig självt, utan kräver en organisation som dels följer upp rapporter, och dels kontinuerligt utbildar personalen om hur de kan arbeta på ett säkert sätt. Min uppfattning är att de flesta, om inte alla, vill arbete på ett sätt som förhindrar säkerhetsincidenter, men att de sällan får tillräckliga stöd och verktyg för att göra det. Resultatet blir istället att säkerhet upplevs som något jobbigt som förhindrar arbetet.

Överdriv inte

Det är ingen mening att säkra upp allt och göra det hopplöst svårt att få tag på ett dokument som egentligen inte behöver skyddas. För det första kostar skydd pengar och resurser, och för det andra tappar informationen sitt värde om den inte går att använda.

Fundera på vilken information du har, och vad som skulle hända om den kommer ut eller otillbörligen förändras. Var medveten om att flera dokument som i sig inte är så känsliga kan bli det om en motståndare har tillgång till alla samtidigt. Först när du vet vad som behöver skyddas mot vilka hot är det dags att fundera på tekniska och organisatoriska skyddsmekanismer.


Dokument

Blandat om säkerhet

En beskrivning om vad OpenID är och hur autentiseringen i det fungerar.

Presentationsmaterial från en gästföreläsning jag gjorde i kursen Säkra datorsystem på Uppsala universitet.

Ursprungligen en del av min GCIA-certifiering. Diskuterar hur en NIDS som Snort kan upptäcka krypterad trafik på nätverket.

Ursprungligen en del av min GCIA-certifiering. Innehåller en analys av Internet-masken DeadHat.B.

GIAC Practical Assignments

Skrivet i processen för att bli GIAC Certified Intrusion Analyst. Gott om hexdumpar.

Skrivet i processen för att bli GIAC Systems and Network Auditor. Beskriver hur en säkerhetsrevision på FreeBSD kan gå till.

Skrivet i processen för att bli GIAC Certified Firewall Analyst. Det stod explicit i uppgiften att det inte fanns några begränsningar i budget.