”Lita aldrig, verifiera alltid” – därför räcker inte gamla säkerhetsmodeller

Tempot i cyberhoten har ökat kraftigt de senaste åren. Enligt Niklas Brask, vd och medgrundare av it-säkerhetsbolaget Pointsharp, är det inte nödvändigtvis metoderna som har förändrats – utan kostnaden och tillgängligheten.

– Allt går snabbare i dag. AI har sänkt tröskeln för att genomföra attacker. Det har blivit både billigare och enklare att göra intrång, oavsett om det handlar om nätfiske, utpressningsvirus eller social manipulation.

Verktygen finns tillgängliga, processerna kan automatiseras och mål kan kartläggas snabbare.

– Kostnaden för att attackera har sjunkit kraftigt, och då blir det också fler angrepp, säger han.

Flera internationella rapporter från bland andra IBM och Crowdstrike visar att identitetsbaserade intrång ökar samtidigt som tiden från intrång till spridning krymper.

Sverige tidigt ute – men riskanalysen släpar

Sverige och Norden är tidiga med att införa ny teknik. Det gäller molntjänster och AI. Men riskanalysen hänger inte alltid med.

– Sverige ligger ofta långt fram tekniskt. Men ibland går vi för snabbt fram och hinner inte analysera riskerna fullt ut.

Han pekar på beroendet av amerikanska molntjänster.

– Vi har lagt väldigt många ägg i amerikanska molntjänster eftersom det är bra teknik. Nu ser vi en geopolitisk diskussion om beroenden och kontroll som kanske borde ha tagits tidigare.

Skillnaderna är särskilt tydliga i offentlig sektor. Vissa kommuner lägger stora delar av sin it-miljö hos globala leverantörer. Andra gör en annan bedömning.

– Det är intressant hur olika kommuner kan göra olika tolkningar av regelverket. Funktionellt kan en lösning vara bäst. Men har man verkligen gjort hela riskanalysen – juridiskt, säkerhetsmässigt och strategiskt?

Säkerhet är en ledningsfråga

Enligt Niklas Brask finns en svaghet i kopplingen mellan it och ledning.

– Många i ledningsgrupper är medvetna om hotbilden, men det svåra är att översätta riskerna till den egna verksamheten.

Säkerhet betraktas ofta som en kostnad.

– Det är en kostnad. Men det är också en investering. Huset blir inte bättre av ett larm, men du kan lämna det utan oro.

Problemet uppstår när den tekniska förståelsen inte når högsta nivå.

– Man måste förstå vad verksamheten tjänar pengar på och skydda just det. Säkerhet får inte bli ett nödvändigt ont i bakgrunden.

Identiteten i centrum

När system, användare och data inte längre finns innanför samma nätverksgräns förlorar den traditionella perimetern sin betydelse.

– Trenden är tydlig: man kan inte längre lita på någonting per automatik. Det är därför zero trust har blivit så centralt.

Principen är enkel.

– Lita aldrig, verifiera alltid. Identiteten har blivit den nya perimetern.

Samtidigt är zero trust ingen snabb teknisk lösning. Modellen kräver förändrade arbetssätt, tydlig styrning och kontinuerlig uppföljning av behörigheter och åtkomster.

– Det handlar om att säkerställa att det verkligen är rätt person – eller i dag kanske en AI – som försöker få tillgång.

Tre kontrollfrågor

Utifrån utvecklingen formulerar Niklas Brask en prioritering:

Fokusera på det mest grundläggande: att ha full kontroll över vem som har tillgång till vad, när och varför – att tydligt kunna visa hur detta säkerställs och att veta vem man förlitar sig på för att det efterlevs.

För it-chefer och säkerhetsansvariga innebär det att kunna svara på tre frågor:

• Vem har åtkomst till våra mest affärskritiska system – och varför?
• Hur verifierar vi identiteten vid varje åtkomstförsök?
• Kan vi visa det i en revision eller incidentutredning?