Mer än bara ”Cyber Security”

Cyber Security är ett hett ämne och varje dag kan vi läsa nyheter om spionage, intrång eller dataförlust.

Trots detta finner vi ofta att våra styrsystem har lägre prioritet gällande IT-säkerhet än den klassiska kontorsmiljön.

Styrsystem blir allt mer komplexa och liknar idag fullskaliga kontorslösningar med allt vad tekniken innebär. Virtualisering, nätverk, brandväggar, dataöverföring, långtidslagring, fjärruppkoppling, backuper och tillgänglighet, bara för att nämna några begrepp.

Vi använder helt enkelt moderna metoder och tekniker för att öka vår produktion, men vilka krav ställer detta på de som administrerar och jobbar med systemen?

För att kunna utveckla detta behöver vi ta oss en funderare över vad ”Cyber Security” egentligen innebär. Jag själv vill gärna kalla detta fenomen för IT-säkerhet då många direkt drar parallellen att ”Cyber Security” enbart handlar om hackare och internet.

IT-säkerhet är för mig som en försäkringspremie, helt enkelt något jag vill ha för att känna mig trygg vid incidenter eller förändringar. Det är därför ytterst viktigt att man tecknar rätt försäkringspremie, men minst lika viktigt att hanteringen av dessa är tydliga.

Riskanalys är välkänt begrepp inom IT-säkerhet och även startskottet för ett proaktivt säkerhetstänk.

  • Är sekretess viktigt? Fokusera på intrångskydd.
  • Är tillgänglighet viktigt? Fokusera på backup och redundans.
  • Är trådlösa instrument viktiga? Fokusera på krypteringsmetoder och prestanda.
  • Är support viktigt? Fokusera på säkra remotelösningar.
  • Är allt ovanstående viktigt? Prioritera dina resurser.

Observera att nämnda påstående bara är en bråkdel av allt som kan ingå i en riskanalys.

IT-säkerhet är inte bara ett skydd mot hackare utan en metod för att upprätthålla ett friskt och stabilt system. Efter en väl genomförd riskanalys kommer steget då metoder och tekniker ska implementeras i systemet, samtidigt så måste systemförvaltarna uppdateras med rutiner.

Beroende på vilken nivå av säkerhet eller tillgänglighet du väljer kan IT-säkerhet bli ett kontinuerligt arbete, vilket tycks skrämma många i branschen. Men du ska också komma ihåg att IT-säkerhet inte är något nytt och det finns väl beprövade metoder och tekniker att tillgå.

Nu till det absolut viktigaste, fastställandet av rutiner och metoder för att kontrollera och upprätthålla sin IT-säkerhet. ”En fallskärm är inte till mycket nytta om det finns hål i den”.

Ta backuphantering som exempel. Visst är det skönt att ha en systembackup som går automatiserat och aldrig behöver ses över? Men vad händer efter x antal år när olyckan är framme? Kanske orsakat av ett virus, ett installationsmisstag, ett intrång eller helt enkelt ett haveri på hårdvara.

Då är det hög tid att plocka fram dina backuper och återskapa det som gått förlorat.

Vad händer om den automatiserade backuptagningen inte har fungerat? Finns det en rutin för hur du återställer det du har förlorat och hur använder du dig av backupmjukvaran? Vad händer om det helt enkelt inte går att läsa tillbaka backupen, för att ingen har verifierat denna under årets gång?

Ovanstående scenario är förmodligen inte så sällsynt som vi kanske vill tro.

Många systemförvaltare är inte säkerhetsspecialister och med all rätt, men då krävs det att du kan lita på den nivå av säkerhet som du blivit ”tilldelad”. Det krävs därför någon form av förståelse för IT-säkerhet, och har du det tillsammans med en rad fastställda rutiner, så kommer du långt.

Fokusera på dina mål, implementera dina lösningar, skriv ner rutiner, underhåll dessa och lägg sedan fokus på din produktion.

”Säkra system, säkrare produktion”

Mer att läsa:

 

Categories and Tags
About the author

Henrik Persson

Jag har min bakgrund inom industriell-IT och allt vad det kan tänkas innebära, med jobbtitlar som IT-tekniker, systemingenjör och systemförvaltare, detta hos två av ABB:s kunder. Tillträdde på ABB tidigt år 2013 och i samband med detta fick jag ta spets för en av våra nya servicetjänster, "Cyber Security Fingerprint". Från dag ett har jag utfört mängder med ”Cyber Security Fingerprint” hos våra kunder. Även fått förtroendet som talare och föredragshållare i ämnet IT-säkerhet på bland annat CyberSecurity Day, ABB-dagen i Göteborg och nu senast på Automation Scandinavia. Jag gillar utveckling, både personlig såväl som teknisk.
Comment on this article