28 February 2025
IT-säkerhet är en färskvara
Hur kan IT-säkerheten stärkas i en alltmer digitaliserad värld? Vi fick tillfälle att sitta ner med Sokigo-kollegorna Victor Pettersson, CISO (Chief Information Security Officer), och Anton Sandström, systemutvecklare med ansvar för säkerhetsfrågor kopplade till e-tjänsteplattformen Abou. I denna artikel delar de med sig av sina insikter och erfarenheter från arbetet med IT-säkerhet både ur ett bolagsövergripande perspektiv och ur ett produktperspektiv kopplat till Abou.
Vikten av testning
En avgörande framgångsfaktor för säkerhetsarbetet är testning. Testprocessen ger såväl information om kvalitet – att funktionalitet och användning fungerar som tänkt samt håller rätt nivå – som påvisar eventuella risker och utgör därför viktigt underlag för vidareutvecklingen.
– Vad gäller Abou har vi två tillfällen per månad där vi bryter ner den rapport som testprocessen genererat och lägger en plan för åtgärder och förbättringar. För detta arbete kan testrapporter vara till nytta och peka på konkreta områden att fokusera på, berättar Anton.
När det kommer till IT-säkerhetsfrågan kan en särskild typ av testning vara till stor hjälp – penetrationstestning. Vid penetrationstestet är uppdraget att på alla tänkbara sätt försöka göra intrång i systemet och dess data. Syftet är att identifiera eventuella svagheter så att dessa kan åtgärdas och i förlängningen minska risken för angrepp.
– Vi ser stort värde i penetrationstestning! Utöver att hitta saker som missats är det även ett bra sätt att kontrollera sina processer. Med utfallet som facit kan vi följa upp berörda processer och se om dessa kan utvecklas för att minska risken för ytterligare brister, förklarar Victor.
Den här typen av test kan genomföras på uppdrag av såväl systemleverantör som kund – något som ibland kan ge tillfälle att kvalitetssäkra hanteringen av ”skarpt läge”. Victor berättar om en tidigare händelse där han larmades om en pågående attack. Säkerhetssystemen kunde snabbt identifiera mål samt källa för attacken och Victor kunde omgående kontakta den berörda kunden. Det visade sig dock att hotet inte var ”på riktigt” utan att det rörde sig om ett penetrationstest utfört av tredje part i samarbete med kund.
Leverantörsdrift – ett säkrare val?
När driften för en applikation sköts av leverantören innefattar detta även ett helhetsansvar för säkerheten. Som leverantör av IT-lösningar i dagens samhälle är en god kapacitet avseende säkerhetsarbete inte bara ett krav, det är rent av en hygienfaktor. Det är därför inte ovanligt att leverantörer har bättre förutsättningar att löpande tillägna detta område mer resurser. Det ger dig som kund möjlighet att i fallet av någon problematik kontakta en leverantör i stället för att ha en intern konversation om vilken leverantör som ska ta ansvar. Detta förkortar hanteringen av incidenter, problem och fel genom hela leveranskedjan.
Vid leverantörsdrift är det även möjligt för leverantören att ställa högre krav på begränsning av antalet ”öppningar” i systemet. Detta innebär en striktare moderering av vilka användare och system som får tillgång till olika data i, och delar av, lösningen. På så sätt försvåras möjligheterna för obehöriga att komma åt fullständiga data och ökar chanserna för skademinimering vid ett eventuellt intrång.
En annan fördel när driften av applikationer är förlagda hos leverantören är att risken blir distribuerad. Om en kunds organisation utsätts för en lyckad attack kan leverantören strypa kundens tillgång till systemet och på så sätt skydda applikationens data från attacken.
Betyder detta att OnPrem-installationer i sig är mindre säkra? Nej, inte nödvändigtvis. Den största skillnaden mellan driftalternativen är ansvarsfördelningen och riskfördelningen – detta medför att OnPrem-lösningar ställer mycket högre krav på ett nära och fungerande samarbete mellan kundens IT-funktion samt användare och leverantören.
Kontinuitet är a och o
Både Victor och Anton betonar vikten av kontinuitet i arbetet med säkerhet.
– Stort som smått, vi genomför löpande åtgärder och förbättringar kopplat till säkerheten. För e-tjänsteplattformen Abou jobbar vi till exempel med att implementera en ny inloggningslösning med högre säkerhetsstandard, berättar Anton.
En annan viktig aspekt är bevakning av infrastrukturen.
– På Sokigo har vi arbetat med att utöka vår monitorering och mönsteranalys av systemanvändning för att ännu snabbare och enklare kunna identifiera avvikelser och potentiella intrångsförsök, säger Victor. Det var detta som gjorde att det oanmälda penetrationstestet som nämndes i kundexemplet ovan kunde hanteras så snabbt tillägger Victor.
Ett proaktivt förhållningssätt
Oavsett om du betraktar frågan ur ett användar- eller leverantörsperspektiv är ett proaktivt förhållningssätt till IT-säkerhetsarbetet det bästa du kan anamma.
Vi rekommenderar starkt att användare tar del av kommunikation rörande systemet som leverantören tillhandahåller samt att kontinuerligt implementera uppgraderingar.
Ur leverantörens perspektiv kan detta i stället handla om att linjera sina arbetssätt och processer mot lämpliga certifieringar, säkerställa kontinuerliga resurser för verktyg och kompetensutveckling inom området samt att prioritera implementation av säkerhetsförbättringar.
– Tittar vi på en upphandlingssituation så är vår målbild att alltid kunna möta upp icke-funktionella krav. Den ambitionen driver oss att agera snabbare och göra våra tjänster ännu mer säkra, berättar Victor.