Ledningens cybertest: Vad får inte sluta fungera?

Han är global chef för hotanalys och forskning om hur angripare använder AI på Fortinet. Han följer hur angreppskedjor förändras och hur snabbt en sårbarhet kan bli ett intrång. Men hans råd till it-chefer är ändå ovanligt jordnära.

– Börja inte med tekniken. Börja med verksamheten. Titta på de tre viktigaste sakerna som ni behöver för att vara aktiva, fungerande och effektiva, och fråga sedan hur de kan påverkas av cyberangrepp, säger han till Techtidningen.

Angriparna behöver inte leta länge

En del av problemet är att riskbilden har förändrats snabbare än de flesta organisationers säkerhetsarbete. Den klassiska angreppskedjan, där en sårbarhet identifieras, angripare analyserar den, ett angreppsverktyg byggs och angreppet genomförs, hade tidigare inbyggda tidsgränser. Veckor. Ibland månader. Tid att reagera.

Den marginalen har krympt kraftigt.

– Förr kom en sårbarhet ut, sedan började angriparna titta på den, analysera den baklänges och skapa ett angrepp. Det kunde ta veckor eller dagar. Nu är tiden nästan noll: från sårbarhet till angreppsverktyg till fara, säger han.

Förklaringen är att stora delar av internet redan är kartlagda och analyserade. Angripare behöver inte längre lägga tid på att förstå vilka system som finns. De vet det redan.

– Rekognoseringsfasen har krympt mest. När vi först såg det tänkte vi: bra, vi gör skillnad. Men det var tvärtom. Angriparna behöver inte göra lika mycket efterforskningar längre. De har blivit mycket mer effektiva.

För it-chefen innebär det att en sårbarhet aldrig bara är ett tekniskt problem i en inventarielista. Den kan vara startpunkten för ett driftstopp, en incident som rör regelverk eller ett allvarligt kundproblem, och vägen dit kan vara kortare än organisationen räknar med.

Köpt är inte detsamma som skyddat

Grundarbetet gäller fortfarande. Patchning, flerfaktorsautentisering, segmentering och loggning är inte förhandlingsbart. Men Lakhani ser ett återkommande mönster som urholkar effekten av även välplanerade säkerhetsinvesteringar.

– En vanlig miss är att organisationer köper avancerade produkter som kan vara väldigt effektiva, men inte förstår hur de ska införas på rätt sätt. Då uppstår luckor. Om något ska göra en viss sak måste du testa att det faktiskt fungerar.

Problemet förstärks av att säkerhetsarbetet sällan mäts på ett sätt som ledningen kan förhålla sig till. Hur snabbt upptäcks avvikelser? Hur länge klarar verksamheten ett avbrott i ett centralt system? Vad kostar en timmes stillestånd?

– Jag hör ofta att det är svårt att mäta säkerhet, men jag håller inte med. Det går absolut att mäta. Om du inte mäter vad du gör vet du inte om du blir bättre.

Beslutet måste vara fattat innan larmet går

Den svagaste länken är ofta inte teknisk. Det är beslutsvägarna.

Vem får stänga ett system? Vem kontaktar kunderna och vem fattar beslut om att fortsätta verksamheten i reducerat läge eller stoppa den helt? I en akut situation, när trycket är som störst och informationen är ofullständig, är det för sent att ställa de frågorna.

– Ni måste veta svaret innan ni har en incident. Gör en icke-teknisk övning: Om du kommer till kontoret en morgon och verksamheten är komprometterad, kunddata läcker eller ni inte kan ta betalt, vad är nästa steg?

Övningen behöver inte vara komplicerad. Den behöver vara gjord.

Det gäller inte minst mindre och medelstora organisationer, som sällan har stora säkerhetsteam men ändå är attraktiva mål, antingen för sina egna data eller som inkörsport till större nätverk av kunder och leverantörer.

Lakhanis råd till svenska it-chefer landar i en enda fråga. Enkel att formulera. Svår att ducka för.

– Vad får absolut inte sluta fungera?