IT-säkerhet: Tre råd till industrin

Sårbarheter i mjukvara är en fara för samhället – eftersom stora, samhällsbärande system avsiktligt kan attackeras och slås ut. Av det skälet behöver industrier effektiva och robusta metoder för att hålla koll på sin mjukvara och identifiera nya sårbarheter. Här ger forskaren Martin Hell en kort skola i IT-säkerhet.

– Publicerad den 26 September 2018

Utan tvekan kommer stora problem att uppstå framöver när det gäller IT-säkerheten i produkter och system. Den slutsatsen drar Martin Hell, universitetslektor vid Elektro- och informationsteknik vid LTH.

Att stora problem är att vänta ser Martin Hell som en naturlig följd av den ökande mängden uppkopplade produkter, ett större fokus på ekonomiska vinster för dem som utför attacker och den generella kunskapsbrist som finns på företagen.

– Varje företag som behöver tillverka eller använda en produkt måste ha grundläggande kunskap om IT-säkerhet, och där brister kunskapen tyvärr idag. De IT-attacker som gjorts och som haft störst påverkan bygger ofta på enkla misstag som tillverkare gjort, säger han.

I sin forskning märker Martin Hell att företagens intresse för säkerhetsfrågor har ökat.

– Det har länge varit så att produkters funktionalitet kommit i första hand och att säkerhetsaspekterna möjligtvis beaktats i andra hand. Vi är fortfarande inte vid en punkt där företagen tar ett helhetsperspektiv på produkter, men åtminstone de företag som säljer high end-prylar inser värdet av säkerhet, att säkerhet är en konkurrensfördel.

Överlag saknar företagen idag kontroll över utvecklingsprocesserna, och ofta vet de inte om produkter är säkra eller ej.

– Det är ett stort problem att tillverkarna har otillräcklig kunskap om IT-säkerheten i produkter och system – och att kunskapen, där den finns, inte utnyttjas tillräckligt.

En del av lösningen är att samhället och företagen investerar mer resurser i kompetensutveckling, menar Martin Hell.

– Den kunskap som redan finns inom organisationerna måste användas bättre. Företagen måste se till att sprida säkerhetskunskap i hela organisationen, så att den inte finns koncentrerad hos ett fåtal personer.

En förklaring till att kunskapsbrist råder på många företag är att det råder en generell brist på IT-säkerhetskompetens.

– Många företag är väl medvetna om problemet och gör helt rätt, de försöker öka sin säkerhetsexpertis. Men denna är idag en stor bristvara på arbetsmarknaden.

En kort IT-skola kan enligt Martin Hell se ut enligt följande:

  1. Hantera data på ett säkert sätt, både när den genereras, transporteras och lagras. Använd kryptering, autentisering och accesskontroll för att kontrollera vem som har behörighet att skapa, läsa, ändra och radera data.
  2. Håll koll på den tredjepartsmjukvara som används i produkterna. Kontrollera att den kontinuerligt underhålls och håll uppsikt över nya sårbarheter som kräver att den uppdateras. Här ingår också att alltid leverera nya produkter med den senaste versionen av mjukvara.
  3. Antag alltid att all data och access är potentiellt skadlig, eller ett försök till en attack, och hantera den därefter. Om skadlig data kan hanteras kan även den legitima hanteras.


TIINA MERI

 

Här kan du läsa om forskning för cybersäkra städer och fabriker.


FAKTA | Martin Hell

Martin Hell fokuserar i sin forskning på hantering av – och sårbarheter i – tredjepartsmjukvara, liksom stöd till mjukvaruuppdateringar i de system av IT-enheter som bygger upp den smarta staden.