Svenska företag och myndigheter för en ojämn kamp mot krafter som på olika sätt försöker få tillgång till känslig data. Varje dag rapporterar media om olika typer av hackerattacker och andra bedrägliga sätt att komma åt hemlig eller känslig information. Men samtidigt finns flera, mer dolda faror för företagens hemligheter.
– Många företag är idag medvetna om riskerna de utsätts för. Men i allt mer komplexa system som är ryggraden i företagens verksamhet finns även många fler risker än tidigare. Aktiva hackerattacker är bara en del, det finns dessutom en mängd dolda faktorer som många kanske inte spontant ser som risker. De här frågorna är en angelägenhet för styrelser och ledningar, inte bara för IT-avdelningar, berättar Sören Rantzow, CIO på Pulsen Group.
Molntjänster har blivit allt mer populärt, bland annat tack vare att det medger enorm flexibilitet att komma åt system och dokument och samarbeta oavsett var man befinner sig. Men det finns också anledning att tänka en extra gång på vilken data man faktiskt lagrar i molnet. Mail och andra samarbetssystem kanske inte innebär något problem – iallafall inte så länge rätt nivå av information hanteras där och man tillämpar nödvändiga säkerhetsfunktioner – medan vissa typer av verksamhetskritisk eller konfidentiell information bör lagras någon annanstans.
– Man behöver förstå hur molntjänster faktiskt fungerar och bestämma vilken data man lägger där. Använder man till exempel en större ‘public cloud’-leverantör som är ägd av ett företag i USA så betyder det att landets myndigheter faktiskt kan få tillgång till datan, utan att du vet om det”, säger Robert Rinde. “Vill man vara säker, både ur ett verksamhets- och GDPR-perspektiv, bör man istället välja att kryptera känslig data och lägga den hos svenskägda bolag med serverhallar i Sverige. Här skyddar lagstiftningen både datan och företagen.
Finns det tidigare anställda som fortfarande har fungerande passerkort eller till och med tillgång till olika IT-system? Förhoppningsvis är svaret nej, men med många och komplexa system finns det risk att alla listor inte är uppdaterade, med uppenbar risk för intrång eller misstag. Därför är hanteringen av identiteter, Identity Access Management, en allt viktigare del av säkerhetsarbetet.
I takt med att allt fler företag digitaliserar sin affär ökar också mängden av olika IT-system. Även om varje system kan ha skyddsmekanismer inbyggda så behöver de samtidigt kunna prata med andra system, till exempel CRM-system och affärssystem. Och det är just i integrationen mellan olika system som säkerhetsluckor kan uppstå och det blir än viktigare när information flödar mellan olika samarbetspartners och organisationer.
– Det är i uppsättningen av integrationer många är sårbara idag, när man ska få olika system att prata med varandra på ett säkert sätt, ofta med gränssnitt som fungerar olika och ser olika ut, berättar Kalle Larsson.