Det finns gott om myter om it-säkerhet och att tro på dem kan vara farligt. Här presenterar CSO Online 14 stycken.

Myt 1: Jag har inget som är värt att stjäla eller skydda

Alla företag och organisationer har något som är värt att stjäla eller som det kan finnas anledning för någon att skada. Om inte immateriella rättigheter och affärshemligheter så kan det handla om rykten för varumärken eller kundernas förtroende.

Myt 2: Vi är inte sårbara

Det är bara en tidsfråga innan inkräktare tar sig in i ett företags it-miljö. I en era med regeringsstödda hackarorganisationer, sofistikerade och långvariga attacker, med mera, så är det omöjligt att vara 100 procent säker. Det är viktigt att ha ett bra skydd, men det är lika viktigt att agera snabbt om någon kringgår skyddet.

Myt 3: Regelefterlevnad är det samma som säkerhet

Många företag har som mål att nå en viss nivå av regelefterlevnad, varvid de utgår ifrån att det innebär en säker it-miljö. Men att man uppfyller en regelsamling, eller en standard, innebär bara att man klarar en revision inom ett visst område, inte att resten av infrastrukturen är säker. En ambitiös säkerhetssatsning är en nödvändig grund för att klara regelefterlevnad, inte tvärtom.

Läs också: 145000 hackade övervakningskameror bakom världens kraftigaste ddos-attack

Myt 4: En policy för säkerhet ger en automatisk lösning på säkerhetsproblem

Det är naturligtvis bra att ha en policy för it-säkerhet på ett företag. Men alla intressenter bör vara engagerade i policyarbetet för att det ska bli bra. En arbetsgrupp med deltagare från olika delar av företaget bör kunna granska och godkänna en säkerhetspolicy. Och det bör finnas en utvärderingsgrupp som kontrollerar att policyn följs, i det långa loppet. Och så måste policyn utvecklas för att uppfylla nya krav som oundvikligen manifesterar sig.


Myt 5: Bättre genomförande av säkerhetspolicyn kommer att utradera insiderhot

En insider vet per definition mycket om företagen de ger sig på. Tack vare den kunskapen kan de kring upptäckt länge och lägga beslag på värdefull information. Att bevaka och analysera användarbeteenden i avsikt att upptäcka insiderhot är mer verkningsfullt än att förbättra en policy. Och kräver mer jobb.

Myt 6: Om det blir kris finns allt jag behöver veta i applikationsloggarna

En vanlig myt är att applikationer och hårdvara faktiskt loggar hur de används och att data som lagras är värdefull. Men frågan är om det finns en policy för hur loggning ska ske och om den har implementerats. Och om loggarna har sammanställts på ett vettigt sätt och analyserats. Och om det innebär att data kan användas på ett vettigt sätt.

Myt 7: Om jag samlar in alla data kommer jag att upptäcka alla hot

Att samla in olika typer av data, till exempel om aktiviteter i it-miljön, ger ingen hjälp vad gäller att analysera dessa data eller upptäcka de hot som de kan ge information om. Datamängderna i moderna företag är så stora att de måste analyseras maskinmässigt, för att man ska kunna upptäcka förändringar i användares, hårdvaruenheters och mjukvarors beteenden. Det räcker inte med att säkerhetsanalytiker formulerar regler och gränsvärden, det innebär bara att man begränsar sig till gårdagens kunskap.


Myt 8: Nätfiske är gammalmodigt

Riktade attacker via till exempel sociala medier är ett växande problem, det talas om förluster på närmare 20 miljarder kronor under de senaste tre åren. Det handlar om meddelanden som ser autentiska ut, med länkar till olika typer av affärsdokument, som fakturor. Det är svårt att upptäcka sådana här meddelanden med spamfilter, så det är nödvändigt att öka medvetandet kring dem.

Myt 9: Tvåfaktors autentisering med sms ger stark säkerhet

Visst, tvåfaktors autentisering ger bättre säkerhet än om man enbart använder lösenord. Men även sådana lösningar med sms-meddelanden är sårbara. Meddelanden kan fångas upp i så kallade MIM-attacker (Man In the Middle). Mjukvarulösningar med mobilappar är bättre.

Myt 10: Hackare har ett stort försprång, så vi bör fokusera på upptäckt i stället för att hindra attacker

Det finns hackare som är extremt skickliga på att ta sig förbi skyddsmekanismer, men de allra flesta säkerhetsincidenter kan undvikas med de rätta tekniska lösningarna och processerna. De bästa säkerhetslösningarna börjar med inställningen att förhindra intrång.

Läs också: Läcka avslöjar: Apple kartlägger vilka du pratar med på Imessage

Myt 11: Vi hittade rysk kod, så det var ryssar som attackerade oss

Hackare är inte korkade, de är fullt kapabla att sprida villospår vad gäller attackers ursprung. Dessutom samarbetar hackare med varandra. En amerikansk hackare kan köpa skadlig mjukvara med ryskt innehåll som har byggts i Ukraina och sedan samarbeta med vänner i Albanien för att attackera mål i Turkiet. Om man antar att attacken utförts av ryssar bara för att det finns ryskt innehåll i den skadliga mjukvaran så kommer man aldrig att hitta inkräktarna.

Myt 12: Säkerhetsbudgeten kommer att hålla

Företag kommer nästan alltid att råka ut för incidenter och stöta på villkor i avtal med leverantörer när deras it-miljöer växer, med ökade kostnader som följd. En säkerhetsbudget måste utvärderas fortlöpande och incidenthantering måste särredovisas.

Myt 13: Det räcker med brandväggar och antivirus

Brandväggar och antivirusprogram är absolut nödvändiga, men det behövs fler säkerhetslösningar för att skydda data. 40 procent av alla datastölder gick via applikationer, det krävs insatser för att säkra dem.

Myt 14: Allvarliga sårbarheter är ovanliga

Enligt säkerhetsföretaget Whitehats årliga undersökning av webbapplikationer har nästan alla sajter minst ett allvarligt säkerhetshål. Om du ansvarar för en sajt så riskerar du sannolikt att råka ut för ett intrång just nu. Du behöver lägga resurser på ett seriöst säkerhetsarbete.