Jan-Olof kallas ofta för JOA och han har 40 år i branschen. Det kan ju verka lite märkligt, men tanke på att IT-säkerhet är runt 25 år gammal som bransch. Men JOA jobbar inom Infosec har arbetat med området då det handlade mycket om fysisk säkerhet. Han är också författare till flera böcker och har talat för sitt ämne i lika länge.
Tobias däremot har bara skrivit en bok, än så länge, mne valdes till ”Årets GRC profil” av organisationen Government Risk Complianc
. Martin är intressant att lyssna på och jag gillar hans metafor om att kasta över väggen. Alltså avdelningar som skickar programvaror och uppdrag mellan varandra utan att egentligen prata med varandra. Det är så det varit och Martin förklarar varför det är en så dålig idé.
Det finns ingen acceptans idag för att bygga lösningar som saknar stöd för stark autentisering (multi-faktor) eller har brister i sin livscykelhantering. Indentitetshanteringen blir i princip obefintlig. Alltså har de gamla lösningarna konton som är aktiva, med dåliga lösenord och som tillhör personer som sedan länge slutat.
I dessa dagar är det alltid trevligt att prata med folk som förstår att zero trust network/architecture är en nödvändighet. Torbjörn talar väl för konceptet och ser verkligheten för vad den är. Torbjörn drogs tidigt till den kreativa sidan av datorer och blev det snabbt IT-säkerhet. Året var då 1997 och man började ana att vi snart skulle få en mycket annorlunda värld tackvare och pågrund av Internet.
På Norges nationaldag, den 17 maj, höll Karl-Emil Nikka föredraget ”Utmaningen med säker autentisering” hos SIG Security för att förklara var vi är påväg med säker autentisering. Det är länge sedan nu, vi kunde prata om att ”vi måste sluta förlita oss på lösenord”. Det tåget har gått. Nu är det multifaktorautentisering som är standarden.
Idag möter vi två konsulter från Ecenea som berättar om svårigheterna med att upphandla IT-säkerhet och varför det är viktigt att få till det rätt.
Skillnaden mellan att bara slänga upp servrar och nätverksutrustning i en liten miljö och att bygga ett helt nätverk för ett enormt militärt projekt är kravet på engagemang av IT-arkitekten. En avsaknad av planering har lett många projekt till katastrof och ett för tidiga avslut. Mattias är en erfaren IT-arkitekt och Erik har sett ett antal projekt krascha och brinna och de är båda överens om hur viktigt det är med någon som håller i tyglarna när konsulter löper amok och ingen riktigt vill fundera på vem som ska använda systemet när det är klart. Från Stockholms stads IT-plattform till projektet som redan köpt all utrustning innan arktitekten togs in. Historierna från skyttegraven roar och oroar.
Avsnittet: 129 – GTCC, möt 18 skarpa IT-hjärnor i september
Inspelat: 2021-07-07 (publicerat 2021-07-18)
Deltagare: Kent Illemann, Ulf Berglund, Erik Zalitis och Ina Nordqvist
Detta avsnitt är ett samarbete med SIG Security.
Va, är vår semester redan slut? Nix, men vi har ändå tid att ge er nyheten om Nordens nya IT-säkerhetskonfens: GTC. I samarbete med SIG Security tar vi nu alltså pulsen på de 18 säkerhetsexperter som kommer berätta om vad som händer i IT-säkerhet- och InfoSec-området just nu.
Kent, Ulf och Ina samlades hemma hos mig en onsdag eftermiddag där vi hade allt uppkopplat. Man samlades ute på min balkong, medan jag gjorde klart det sista och sedan körde vi igång. Det skulle ha blivit 90 minuter, men istället märkte vi att 45 räckte. Efter att ”saxen” gått i ”bandet”, var vi nere i nästa 37 minuter. Detta är exakt som det ska vara. Det är bara fördelar med att hålla sådana här diskussioner rimligen korta och koncisa. Allt viktigt hann sägas.
Jacob Henricson
CISO, Skanska Sverige
http://skanska.com
Erik Blomberg
CISO, Handelsbanken
http://handelsbanken.se
Eva Throne-Holst
Information Security Officer, Nordnet Bank
http://nordnet.se
Sandra Elvin
CISO, Microsoft
http://microsoft.com
Tony Kylberg
CSO, Head of Group Security & Cyber Defence and Third Party Governance, SEB
http://seb.se
Thomas Nilsson
CIO, Försvarsmakten
http://forsvarsmakten.se
Anne-Marie Eklund Löwinder
Säkerhetschef, Internetstiftelsen
http://internetstiftelsen.se
Rebecca Ihrfors
Chef ledningssystem, FMV
http://fmv.se
Brian O’Toole
Head of Digital Services Security Center, Ericsson
http://ericsson.com
Helena Lindberg
Sveriges Riksrevisor, Riksrevisionen
http://riksrevisionen.se
David Jacoby
Senior Security Researcher, Kaspersky
http://kaspersky.com
Marcus Södervall
Head of Security & DPO, Stravito
http://stravito.se
Nicklas Kjellin
CTO, Covr Security AB
http://covrsecurity.com
Viktor Laszlo
Grundare, Devfinity
Daniel Melin
Moln- och datacenterstrateg, Skatteverket
http://www.skatteverket.se
Johan Christenson
Grundare och VD, City Network
https://citynetwork.se/om-foretaget/
Magnus Bergström
It-säkerhetsspecialist
http://imy.se
Anna Rehnström
VP Infrastructure & Platform Services, Basefarm
http://basefarm.com
Avsnittet: #118 – Praktiska råd efter Schrems II
Inspelat: 2021-03-26 (publicerat 2021-04-03)
Deltagare: Erik Zalitis och Per Gustavsson
Detta avsnitt är ett samarbete med SIG Security.
Så vad göra när molnet är en röra av legala fällor och möjlighet för Amerikanska myndigheter att begära ut Europeers data från datacenter placerade i USA?
Visst har vi pratat om det hela i avsnitt 102 med Agnes Hammarstrand, men helt ärligt, det känns som vi gärna vill ta detta även med en organisation som kan berätta om hur Schrems II påverkat dem i verkligheten. Denna organisation är Göteborgs stad som via SIG Security givit Per Gustavsson, deras Chief Information Security Officer (CISO), möjligheten att förklara situationen för oss.
Så vad innebär det att Schrems II-domen invaliderar USAs ”Privacy Shield” ? Detta är något som Göteborgs stad varit tvungna att ta hänsyn till. Man har också varit en av de få i Sverige som använt Microsofts customer lockbox, något som de nu överger, men varför? Lyssna på avsnittet så får du klarhet i frågan.
Avsnittet heter #100 – Säkerheten i HP SureClick
Det spelades in 2020-10-25 och lades ut 2020-11-15.
Deltagare: Erik Zalitis och Mattias Jadesköld
Show notes skrivna av Erik Zalitis.
Vi är ju normalt inte en ”videopodd”, så detta har varit en utmaning för oss. Jag har jobbat med ljudet och Mattias med bilden. Så här vårt första videoavsnitt där vi båda deltar. Vi kan inte lagra stora filer på Libsyn där vi skickar ut våra poddar, så avsnittet med video finns på YouTube och det med ljud finns där poddar finns (eller på denna sida).
HPs dator har ett antal säkerhetsfunktioner och vi har valt att gå igenom dem en och en för att se vad de klarar och var de inte räcker hela vägen.
Så till HP SureClick. Det lovar att den kan göra att din webbläsarsession körs i ett säkert läge, eller en ”detonationskammare” som jag kallar det. Effekten av en attack är att webbläsaren inte öppnar en väg in till resten av datorn, vilket annars kan leda till att ransomware får fotfäste, kryptobrytare får köra eller datorn kan tas över. När du stänger webbläsaren, raderas allt i den, vilket också avbryter all körande skadlig kod. Men allt du gör i webbläsaren i sig är inte säkert om någon tar över den och det du håller på med. Vilket kan vara banktransaktioner eller sessioner mot andra servrar eller ditt tillgång till ditt Facebook-konto.
Dessutom fungerar SureClick enbart med den inbyggda säkra webbläsaren som är en Chromium-klon vilken HP själva uppdaterar… ibland… Den äldre versionen av HP Sureclick lovade uppdateringar varje halvår. Detta är sällan och mycket oroande. När vi började testa, kunder Mattias konstatera att versionen av Chromium som du måste använda var 10 versioner efter den senaste som släppts. Chromium är ju också vad ”Google Chrome” är byggt på och den webbläsaren är troligen den mest eftertraktade att hacka för cyberbrottslingar.
Mitt under testet kom en ny version som lovar fler uppdateringar, men också tar bort stödet för alla andra webbläsare än den säkra.
Rutan ovan finns i tillägget som är installerat i riktiga Google Chrome, som du kanske laddar ner och installerar på datorn, och det lovar dig säkerhet… Men det är inte sant, du måste klicka på ”Open new Secure Browser window” för att den säkra webbläsaren ska starta. Direkt vilseledande och garanterat att få folk att tro att de är säkra när så inte är fallet. Katastrofalt dåligt!
Borde man överhuvudtaget tillåta att köra saker utanför denna SureClick-funktion? Jag påpekar i avsnittet dumheten med ett säkerhetsskydd som man slår av och på hela tiden beroende på vad man gör.
Mattias valde att ställa upp SureClick mot det 15 vanligaste säkerhetshoten just nu. Vi går igenom dem steg för steg och snackar om de som är relevanta för diskussionen. Det är värt att notera, som jag skrev i början, att SureClick bara är EN av många funktioner som skyddar maskinen. Vi kommer givetvis ställa upp de andra säkerhetsfunktionerna mot hoten. Så i sin helhet kan datorn hantera fler hot än vad SureClick i sig själv klarar av. Men denna lök ska ju skalas, så det är vad vi gör i detta avsnitt.
Senaste kommentarer