Experterna: ”Det finns inga säkra zoner längre”

Denna gång deltar: Peter Heidenberg, Technical Sales Engineer på Primekey, Alexander Sztatecsny, COO & Managing Partner på Tributech och Oscar Bexell, Senior Infrastructure Architect på Cygate och författare till boken Things you should now about the Internet of Things

1. I takt med att industrin kopplas upp blir allt fler företag medvetna om säkerhetsrisker. Vad skulle du säga är det viktigaste att tänka på för att skydda företagets data från obehöriga?

Peter Heidenberg: Kryptering av data. För access till data ska man applicera principen om minsta auktoritet, PoLP, det vill säga bara de som behöver ha access ska ha access. Utgå från att det inte finns några säkra zoner längre, de flesta applikationer och funktioner är virtuella och molnbaserade och det är svårt att kontrollera vem som har access till en säker zon. Applikationers mjukvara som körs hos företaget bör vara signerad så att man kan lita på applikationen.

Alexander Sztatecsny: De flesta företag är medvetna om att det finns många lösningar där ute för att hantera tillgång till data i sina system eller för att skydda data via kryptering. Men i praktiken ser vi att det finns en viktig aspekt som ofta glöms bort: hur ett företag kan se till att data inte skadas eller manipuleras mellan datakällan och konsumenten. För att ta itu med denna attackvektor måste du kunna granska dataintegriteten och äktheten mellan datakällan och konsumenten.

Oscar Bexell: Att få ett grepp om helheten. Man behöver ha koll på allt från hur data genereras, flyttas, krypteras och sparas till vem som ska kunna komma åt det och hur åtkomsten ska se ut. Det här behöver kunna skala och anpassas flexibelt eftersom implementationen av framförallt iot-lösningar ofta varierar med användningsfallen.

2. Vi ser även att företag behöver integrera hela värdekedjan från leverantör till kund. Hur kan man säkerställa att data kan delas effektivt mellan olika system på ett säkert sätt?

Peter Heidenberg: Utgå från ”zero trust”, att säkerhetsperimetern är i applikationen och alla externa interface är krypterade. Om produkten som säljs är en mjukvara bör leverantören signera mjukvaran och kunden kan sedan verifiera att den produkt som tas i bruk är den produkt som leverantören levererat. Detta gäller även uppdateringar av mjukvara. Dessutom bör leverantören erbjuda en så kallad ”birth identity” som kunden kan använda för att säkert ta över och sätta produkten i produktion i den egna lösningen.

Alexander Sztatecsny: I allmänhet handlar det i första hand inte om teknik. I våra projekt med externa digitala tjänster har vi identifierat att, förutom effektivitet och säkerhet, är förtroende en nyckelaspekt varför lösningar misslyckas med att flytta in till produktion och skapa värde. Lösningar för att utbyta data med leverantörer och kunder behöver ta itu med datastyrning, suveränitet och datalivscykel över offentliga och privata moln samt skapa förtroende för delade data mellan olika intressenter.

Oscar Bexell: Här behöver man arbeta med tydliga och väldefinierade gränssnitt, Application Programming Interface, API, mellan olika system och intressenter. Ju mer man bryter isär och abstraherar sina lager och lösningar med hjälp av API, ju enklare är det att säkra upp kommunikation och undvika inlåsningseffekter. En bra API-dokumentation borde vara en obligatorisk del av varje upphandling man går ut med.

3. Till sist, vad skulle du ge för råd till ett tillverkande företag som vill stärka sin it-säkerhet?

Peter Heidenberg: Slopa fasta lösenord till användare, applikationer och saker, i många fall är de relativt enkla att gissa. Inför någon typ av tvåfaktorautentisering. På hög nivå bör man skapa en säkerhetspolicy som sprids och repeteras inom företaget, gärna att man har en årlig utbildning av säkerhet för att hålla medvetenheten uppe. Detta innebär också att det finns fördelar med att harmonisera sin säkerhetsinfrastruktur över flera användningsområden för att få en effektivare komptensanvändning inom företaget.

Alexander Sztatecsny: Vi föreslår att man lägger till säkerhetsskikt för ”data notary” och granskningsprocessen för speciella dataklasser som används för externa digitala tjänster och/eller modeller för maskininlärning som skapar en relevant affärseffekt. Varför? För om det finns åtgärder och beslut som är baserade på manipulerade uppgifter kan detta leda till hög risk i kostnad och anseende. Förutom fördelen med att minska risken kan detta också öppna en ny värld av applikationer som inte var möjliga tidigare.

Oscar Bexell: Fokusera på att förstå och ha koll på er egen verksamhet, era processer, system och kundresor. Kartlägg vilka system som behövs, vem som har access till vilka system och vad syftet med denna access är. Identifiera friktion, utmaningar och möjligheter. Sedan etablerar man partnerskap med företag som är duktiga på it-säkerhet och IoT och som kan hjälpa till att ta fram en hållbar och skalbar arkitektur som möter den exponentiellt ökande teknikförflyttning som it-branschen är inne i.

Automationsnästet är ett samarbete mellan Ny Teknik och Automation Region, en organisation som knyter samman företag, myndigheter, forskning och utbildning i ett branschoberoende kluster med fokus på automation.