Sveriges cybersäkerhet, ditt företags cybersäkerhet måste (ja… måste) börja med insikten om att skyddsåtgärder, först och främst, behöver vara förankrade i vad verklighetens angrepp visar. Det finns nästan ingenting som kan sägas vara mer viktigt för det reella skyddet.
Jag försvarar denna ståndpunkt genom vad jag ser på Truesec, och insett i mina nu ganska många år i branschen. Det är faktiskt ganska enkelt. Om en skyddsåtgärd inte enkelt kan kopplas till vad som sker i ett riktigt angrepp, då hjälper den inte. Då kanske den hjälper dig att uppnå “compliance” med något ramverk, men den hjälper inte mot angreppet som kommer stänga ner er verksamhet; det hot som gör att dina kollegor inte längre har en arbetsplats att gå till.
Det går att skapa massa feel-good genom att nya processer, rutiner, och åtgärder införs, men i slutändan om de inte direkt bidrar till att du bättre förutspår, upptäcker, förhindrar eller försvårar ett riktigt angrepp så är det… feel-good åtgärder. Det finns massor av möjliga åtgärder, men alla är inte viktiga, definitivt inte likvärdiga.
Nästa gång du köper en konsulttjänst, en säkerhetsgenomgång, ja nästan vad som helst inom cybersäkerhet, då ska du efterfråga att eventuella rekommendationer och slutsatser underbyggs med data, evidens, eller dokumenterad erfarenhet som tydligt visar varför dessa rekommendationer ska följas. Det är INTE ok att alla andra gör så, det räcker inte som motivering. CISA skriver så här sin strategiska inriktning för 2024-2026:
We will develop a robust capacity to analyze information about cybersecurity intrusions and adversary adaptation, and derive insights into which security measures were, or could have been, most effective in limiting impact and harm.
Och det första steget du behöver ta är att jobba mer data-drivet, söka evidens. Du behöver jobba underrättelsestyrt.
Underrättelser måste få styra
Begreppet underrättelser behöver demokratiseras, bli ett begrepp för folket; för dig och mig, för oss. Så fort jag säger, eller skriver, underrättelser är det många som inte direkt osökt börjar tänka på Säkerhetspolisen, MUST, Försvarsmakten, FRA. Ja, alla de där hemliga myndigheterna som ingen riktigt förstår sig på, särskilt från utsidan.
Cybersecurity & Infrastructure Security Agency (CISA) i USA publicerade nyligen sin strategiska plan för 2024-2026. CISA skriver i denna att:
“[…] we collectively lack visibility into the extent of adversary activity targeting our country.”
Vidare beskriver de behovet av bättre förståelse för angriparnas metoder:
“CISA must inform, guide, and drive adoption of the most impactful cybersecurity measures by first understanding how attacks occur — not just the initial access, but how the attacker exploited a web of unsafe technology products and inadequate security controls to achieve their objective.”
Totalt beskriver CISA nio målsättningar, varav hela två alltså är helt och hållet fokuserade på underrättelsestyrd cybersäkerhet. För att kunna försvara USA behöver de studera angrepp, och utifrån dessa lämna rekommendationer.
We must provide timely, accurate, actionable, and achievable guidance that helps organizations prioritize investment in controls and mitigations that address how attacks actually occur and how adversaries are evolving.
Hotunderrättelser, eller Threat Intelligence är vad som efterfrågas.
Det är logiskt, nästan självklart och samtidigt fullständigt nödvändigt för att effektivt kunna arbeta med cybersäkerhet. Med en dåres envishet är det detta precis vad jag argumenterat för, och arbetat med sedan 2015. När jag började publicera artiklar här på sajten skrev jag 2018 om mina personliga principer kring cybersäkerhet, där (självklart) mycket hänger på just underrättelsestyrd cybersäkerhet.
Vad händer i Sverige då?
Ingenting. Tyvärr är det inte heller någon större överdrift, åtminstone inte om vi betraktar problematiken från det offentligas håll. De har fullt upp att köpa fastigheter för några miljarder, och bråka om vem som ska ha vilka mandat och ansvar. Att hotaktörerna samtidigt har höstmys i våra svenska företag och organisationers IT-infrastrukturerer verkar inte spela någon större roll.
2019 skrev jag en kortare debattartikel där jag gav uttryckt för ett antal kortare önskemål om det Nationella Cybersäkerhetscentret (NCSC-SE) som Sverige då skulle få. Mina två främsta önskemål handlade då om att myndigheten i stor utsträckning ska lämna rekommendationer utifrån verkligheten, hur angreppen går till på riktigt.
Men där har ju inte hänt ett jota. Jag hade stora förhoppningar på vårt svenska cybersäkerhetscenter. Jag trodde verkligen att det skulle ge oss en edge, en samlad bild av cyberläget. Men, nej, det har vi tyvärr inte fått. Ingenting har vi fått. Jo, några rapporter där i början, men sedan har det varit otroligt tyst. Himla tråkigt om du frågar mig.
Vad ska Du göra då?
Det du kan göra är att jobba med hotunderrättelser, threat intelligence. Börja bygga förståelse för hotbilden, studera angreppen. Åtgärder, som påstås effektivisera eller göras för din cybersäkerhet, ska vara vara förankrade i verkligheten och med en åtminstone någorlunda påvisbar effekt. Det ska du kräva från dina cybersäkerhetsleverantörer. Det bör vara det första alla företag gör innan de börjar rodda runt i sin cybersäkerhet.
Alla vanligt förekommande rekommendationer är inte förankrade i verkligheten. Några är det givetvis. Användningen av flerfaktors-autentisering är det. Immutable backups är också en sådan åtgärd.
Det är hög tid att vi slutar dalta runt med diverse analyser, genomgångar och audits om dessa inte tydligt kan kopplas till effekt. Det är dags att ni implementerar åtgärder som är direkt kopplade till hotaktörernas tekniker och taktiker. Det är där vi måste börja, och det är där åtminstone CISA förstår att vi behöver fokusera våra krafter för att på riktigt kunna börja skydda oss från cyberangrepp.
Sveriges cybersäkerhet, ditt företags cybersäkerhet börjar med denna insikt.