Nya användarbeteenden och ökad automatisering med hjälp av AI-lösningar. Det är två trender som ställer allt högre krav på organisationens IT-system. Hur ska man klara säkerheten i detta snabba digitala landskap?
I slutet av september 2018 drabbades Facebook av intrång. Drygt 50 miljoner användare fick sina konton hackade på grund av en svaghet i en av tjänstens många funktioner. Konsekvenserna blev ilskna kunder världen över som ifrågasatte den sociala mediejätten, svarta rubriker i medierna som sargade varumärket ytterligare och en börskurs som rasade 15 procent första veckan. Händelseförloppet sätter fingret på betydelsen av ordentlig IT-säkerhet. Även de mest etablerade företag kan falla snabbt om säkerheten fallerar och kunderna tappar förtroendet.
"Tekniken för dessa attacker har blivit mer avancerad, men det finns lösningar som kan hantera detta. Men sårbarheten är annars ofta den enskilda medarbetaren som luras att göra något dumt och klicka på olika länkar. Så det gäller att utbilda användarna och öka medvetenheten kring de här frågorna", säger Christer Samuelsson, säkerhetsexpert på CGI.
I grunden krävs det tydliga säkerhetsregler för hela organisationen. Och samtidigt en beredskap inför vad som ska hända i framtiden. Allt fler saker är uppkopplade genom Internet of Things (IoT) och medarbetarna blir mer och mer mobila i sitt arbete och sin kommunikation.
"Om tio år är dagens tonåringar ute i arbetslivet. De kommunicerar nästan uteslutande med snabba digitala medier som Snapchat och liknande. Beteendet hos framtidens medarbetare kommer se helt annorlunda ut än idag. Därför måste vi redan nu fundera på hur vi ska skydda företagsinformationen om några år", säger Christer Samuelsson.
En annan trend är den ökade automatiseringen och användningen av olika AI-verktyg som machine learning. Allt fler processer blir automatiserade och på sikt lär sig de nya verktygen att successivt ta egna beslut. Men vad händer om dessa system hackas och börjar ta beslut som går helt tvärs emot intentionerna? Ett konkret exempel är självkörande bilar som snart kommer på bred front. Då handlar det om människoliv i slutändan.
AI:s växande betydelse är en utveckling som vi måste ha beredskap för, enligt Esmiralda Moradian. Hon delar en tjänst som säkerhetsexpert på CGI med ett lektorat på institutionen för data- och systemvetenskap på Stockholms universitet, där hon ansvarar för masterutbildningen inom informationssäkerhet.Hennes forskning handlar just om säkerhetsfrågor kopplade till självlärande IT-system, beslutsstödssystem.
"AI-lösningar kommer att öka i alla slags system inom de närmaste tio åren, till exempel inom medicin, transport och industriella kontrollsystem. Det skapar både en mängd möjligheter och risker", säger Esmiralda Moradian.
Å ena sidan kan AI-lösningar effektivisera processer och undvika misstag som är kopplade till den mänskliga faktorn. Stora mängder av data hanteras av olika system som dessutom är komplexa och integrerade med andra system.
"AI-lösningar kan till exempel hjälpa oss att hitta, filtrera, granska och kontrollera åtkomst till information, övervaka systemets tillstånd och så vidare. På så sätt kan AI-lösningar möjliggöra ökad kontroll och högre säkerhet."
Men samtidigt kan AI-lösningarna också leda till förlust av kontrollen och öka antalet hot, som kan smyga sig på. Självlärande smarta system, som används i allt bredare utsträckning, kan ta egna beslut men dessa kan manipuleras.
"Om inlärningsprocessen manipuleras av angripare kan det leda till allvarliga konsekvenser, till exempel att systemet tar fel beslut, lyder angriparens instruktioner och utför skadliga aktiviteter", säger Esmiralda Moradian.
Hur ska företag och organisationer hantera dessa komplexa utmaningar?
"En grundläggande sak är att säkerhetskunniga personer måste vara med redan från början när nya lösningar och system tas fram. De behövs för att definiera krav och design utifrån ett säkerhetsperspektiv. Säkerhet är själva grunden. Det är svårt och dyrt att lägga till säkerheten i efterhand", säger Esmiralda Moradian som tycker sig se säkerhetsbrister hos de flesta kunder hon stött på – med ett undantag, Försvarsmakten, ”de är bättre än alla andra”.
I ett tidigt skede måste det även göras en hot- och riskanalys: Var finns de potentiella hoten och riskerna i system och nätverk, och hur kan de motverkas?
"Man måste gå igenom hela systemet: vilka risker som finns vid varje dataport, vilka angrepp som kan komma och vilka konsekvenser det kan få för organisationen. Det är viktigt att planera för oförutsedda händelser och veta hur man ska agera".
Det gäller också att ha en tydlig struktur i sitt säkerhetsarbete: policies, regelverk, dokumentation och förankrade processer om vem som får göra vad. Det ska kunna gå att spåra alla säkerhetshändelser. GDPR-reglerna, som infördes i våras, har satt fart på det arbetet i många organisationer. Men till syvende och sist har vi den svaga länken igen: medarbetarna. Även Esmiralda Moradian betonar betydelsen av ett samlat säkerhetsansvar i hela organisationen:
"Det är viktigt att lyfta nivån i säkerhetstänkandet och förbättra säkerhetsmedvetandet bland alla medarbetare. Alla ska känna sig delaktiga och tänka att om det händer en säkerhetsincident så skadar det mig lika mycket som alla andra. Och sen gäller det förstås att bygga system där det är svårt att göra fel."
TEXT: JOHAN WICKSTRÖM
