Säkerhet i en digitaliserad värld Fredrik Blix Institutionen för Data- och Systemvetenskap vid Stockholms universitet
Fredrik Blix - Cybersäkerhet “Cybersäkerhetsdoktor” 2005 Universitetslektor vid Stockholms universitet Både akademia och “industrin” Jobbar med Internationella standardiseringen ISO Drygt 20 år inom inom området Jag vill vara med och göra Sverige säkrare och mer resilient mot Cyberattacker och andra IT-relaterade problem.
Agenda Fyra säkerhetsrekommendationer för webbplatser Säkerhet i en digitaliserad värld
Fyra Säkerhetsrekommendationer För webbplatser
Säkerhet för webbplatsen - HTTPS Genom HTTPS motverkas risker som obehörig “avlyssning” och att en angripare förändrar data mellan er server och användarens webbläsare. Google-sök tycker om HTTPS! Webbplatser utan HTTPS anges som “inte säker” Varning: Detta är ett litet projekt i sig att genomföra, gå igenom potentiella konsekvenser och hitta lösningar innan. Rekommendation: Styr om all trafik till https på webbplatserna. Rekommendation: Ha gärna ett ”Extended Validation”-certifikat
Säkerhet för webbplatsen – OWASP TOP10 2017 The Open Web Application Security Project (OWASP) Community Top 10 misstag säkerhet webbservrar Ny version på gång innan årets slut Tjuvkika redan idag https://www.owasp.org/images/3/3c/O WASP_Top_10_- _2017_Release_Candidate1_English.pdf Rekommendation: Gå igenom hela listan och kontrollera att er webbplats inte har de angivna sårbarheterna.
Säkerhet för webbplatsen – Behörigheter Felaktigt satta behörigheter som För många administratörer med stora rättigheter Gamla behörigheter på människor som bytt roll eller slutat, är vanliga problem. Rekommendation: Gå igenom utdelade behörigheter, byt lösenord på administrativa konton som kan ha kommit på avvägar, dra in behörigheter som inte använts på länge.
Säkerhet för webbplatsen – Intrångsdetektering Genom olika former av övervakning kan intrång detekteras och förhindras. Rekommendation: Om det inte är gjort, analysera vad ni vill veta och på vilket sätt, så att angrepp på webbplatsen blir synliga för er. Kontrollera vad ni detekterar respektive inte detekterar idag!
Säkerhet i en digitaliserad värld
Mitt intresse för cybersäkerhet 1996 vid Linneuniversitetet i Växjö “Wow, jag måste lära mig allt det här snabbt för vi är så sårbara nu, men snart kommer allt vara säkert!” Insåg snart att det inte var så – 20 är senare är vi mer sårbara än någonsin! Vad var det som hände?
Utveckling inom IT de senaste 20 åren Trådlösa nät, WiFi, 2345G, Bluetooth ”Smarta” telefoner Molntjänster Snabbare datorer, mer lagring Internet, “webben” fler uppkopplade Detta i sig öppnade förstås upp för en massa sårbarheter, men…
Samhällets digitalisering de senaste åren Det som verkligen skapat sårbarheter är förstås samhällets snabba digitalisering som vi just nu är mitt uppe i. Har någon stannat upp och tänkt på hur sårbara vi egentligen är?
Några exempel på vad som är digitaliserat Styrning av vattenrening och vattendistribution Transporter av mat (logistik), Tåg Kommunikation Elproduktion eldistribution Produktionsprocesser i många tillverkande företag Processer på de flesta kontor Betalningssystem Centrala delar av det allmänna valet om ett år Försvarssystem; allt styrs av IT. Samhället är oerhört sårbart. Utan dessa funktioner som bara måste fungera blir det snabbt väldigt mörkt, kallt och hungrigt. Vi är lite naiva så länge som allt funkar någorlunda.
Men hur säkra är vi? Vi är alltför sårbara. När det gäller universitetsvärlden så är situationen sämre gällade cybersäkerhet sämre än genomsnittet för organisationer i Sverige. Policy och riktlinjer får ofta inte genomslag i praktiken Systemägare berättar inte för IT-enheterna vilka krav de har och vilken säkerhet som ska levereras Tillsynen centralt är ofta bättre än “ute” på institutionerna Personuppgifter hanteras slarvigt inom både forskning och utbildning.
Varför är säkerheten inte bättre? Cybersäkerhetsbranschen är lite omogen - metoder och verktyg är ofta för krångliga. Teknisk säkerhet är ofta komplext – och det syns inte om det är osäkert innan någon inträffar! Svårt att locka kompetens till universiteten för att jobba med cybersäkerhet när det privata efterfrågar fler än det finns.
Cybersäkerheten imorgon Så här ser jag på morgondagen Mer automatisering överallt Fler robotar, drönare Mer artificiell intelligent AI Bättre gränssnitt mellan människa och dator Virtuell verklighet VR, Förstärkt verklighet AR Jag bedömer att cybersäkerhet kommer att ha en alltmer central roll I samhället för att garantera grundläggande fri- och rättigheter samt för bevarandet av demokrati.
Diskussion
Tack