24 januari, 2021

Show Notes för #108 – De sju dödssynderna och säkerhet

Djävelen behöver inte göra ont att titta på … Men att råka ut för, är en helt annan sak.

Avsnittet: 108 – De sju dödssynderna och säkerhet
Inspelat: 2021-01-22 (publicerat 2021-01-24)
Deltagare: Erik Zalitis, och Mattias Jadesköld

När man börjar med att citera Ingemar Bergmans det sjunde inseglet, har man satt tonen. Så är det bara, men nu har den milstolpen swishat förbi och vad annat kan vi göra än att fortsätta vägen framåt och hoppas på det bästa?

Idén var svår att genomföra, eftersom religiösa texter inte särskilt ofta handlar om IT-säkerhet. Skulle t.ex. syndafloden vara guds DDOS-attack?

1. Högmod

Komplexitet – Samma tillverkare av alla delar i systemet.

Enskilda komponenter får för mycket makt.

2. Girighet

Slarv med säkerhetsarbetet och att ekonomi före säkerhet
Man får ofta det man betalar för.

Mattias tycker situationen blivit bättre i detta område, medan Erik ställer sig undrande även om han håller med om att säkerhet är lättare att motivera idag än förut. Och sen är ”det är billigt” inte längre ett så bra argument heller när man ska sälja en säkerhetslösning.

”Det finns ingen budget för säkerhet…. Fast helt plötsligt gör det det” (dvs efter att systemet blivit hackat)

Sheep security… Eller hur var det nu?

3. Vällust

Kära inte ner dig i en produkt! Det finns många förmodligen andra som passar bättre och som är billigare. Utgå från behovet istället för att välja den där produkten du såg på en mässa eller alltid har kört.

4. Avund

Viktigt att titta på sin egen förmåga och sin organisations resurser. Vad behöver vi för skydd? Hur fungerar det bäst för vår organisation?

5. Frosseri

Här är ett beteende. Kan se det på föreläsningar och i forum. Man vill raljera, beskriva hur dåligt andra hanterat saker utan att komma med lösningar. En slags överdriven njutning.

Man vill gärna slänga upp PPT-slides med FBI-artiklar och sånt som är ”coolt” men egentligen inte relevant.

6. Vrede

Den synden som jag ser minst av i säkerhetsbranschen. Men inget bra verktyg att ta till. Tänker på UFC-bossen som vrålar till de som streamar olagligt UFC. Det blir ju mer en ögonöppnare.

Om man ska översätta det så är det smart att göra som Addtech. Beskriv vad som hänt. Häng inte ut attackerarna (de får bara publicitet och kanske än mer blodad tand att attackera) och arbeta strukturerat.

7. Lättja

Säkerhetsarbetet utvecklas inte och kan inte skydda mot nyare attacker som dyker upp (Ingen omvärldsbevakning. Detta är inte slarv per se.

Eller att man inte kan upptäcka att attacker händer. Eller vad som kopplas in, eller vad som händer med enheter som slutar fungera korrekt, eller anomalier.

Saker konfigureras fel på grund av diverse anledningar.

Lösningen för de flesta problemen: TÄNK – TÄNK FÖRE. Detta är troligen en dygd (Vi måste ta detta i ett uppkommande avsnitt!)

Errata

  • Inget att rapportera denna gång. Kommentera gärna om ni inte håller med om något vi sagt.

Länkar

Kommentera

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.

Scroll to top