Intervju i SvD med Morgan Isidorsson
Morgan Isidorsson, konsultchef vid IPnett, leverantör av säkra, ip-baserade kommunikationslösningar inom Norden. Med ett långsiktigt engagemang och ett genuint intresse för kundens affärsidé förverkligar IPnett de vinster som kan frigöras med hjälp av innovativa kommunikationslösningar.
Fråga: Vad är viktigt att tänka på inom data-säkerhet?
Svar: Vid genomförande av en säkerhetsanalys så är rekommendationen att angripa säkerhetsfrågorna i huvudsak utifrån två olika angreppssätt; driftsäkerhet samt access-säkerhet. Viktigt är att båda dessa områden täcks upp.
Fråga: Är de båda delarna lika viktiga?
Svar: Det ena utesluter inte det andra utan det handlar mer om vilken typ av säkerhet som driver det andra och detta förhållande kan skilja sig beroende på vilken bransch och verksamhet som genomför sin säkerhetsanalys. Inom storskalig industri som t.ex ett pappersbruk så är min erfarenhet att driftssäkerheten är drivande eftersom varje störning i produktionen där kostar stora pengar. För ett finansinstitut alternativt ett försäkringsbolag så är min erfarenhet att access-säkerheten är drivande för att undvika att obehöriga kommer åt de interna systemen. Oavsett vilken typ av säkerhet som är drivande så är det viktigt att arbeta med både drifts- och accesssäkerhet i sin övergripande säkerhetsstrategi.
Fråga: Vad är annars aktuellt?
Svar: Det är hög tid för många företag, myndigheter och organisationer samt inte minst operatörer att anpassa sin infrastrukturplattform samt sina applikationer till adressprotokollet I, som som är efterföljaren till adressprotokollet IPv4, vars adressutrymme håller på att ta slut. Det finns ett fortsatt ökande behov av nya IP-adresser och då är lösningen att gå över till IPv6. IPv4 hanterar adresser upp till 32-bitar, vilket ger fyra miljarder möjliga adresser. IPv6 hanterar adresser upp till 128 bitar, vilket innebär att tillgången till adresser för en oöverskådlig framtid är en ickefråga.
Fråga: För vem och vilka får det här praktiska konsekvenser?
Svar: Alla som vill konsumera och erbjuda tjänster via nätet, om du t.ex är en tjänsteleverantör så vill du försäkra dig om att alla kunder/klienter kan konsumera din tjänst, därfär är det viktigt att kunna hantera båda adressformaten inom sin infrastrukturplattform samt kunna utbyta kommunikation med andra operatörer oavsett adressformat. Under en period så är det alltså viktigt att kunna hantera båda adressformaten i sin infrastrukturplattform. De flesta som har en etablerad infrastruktur och tjänsteplattform idag behöver i de flesta fall säkerställa att de hanterar båda protokollen under en övergångsperiod.
Trådlösa nätverk och riskhantering
När trådlösa nätverk började implementeras så var funktionen i början framför allt att kunna erbjuda kunder/klienter och externa partner internetaccess samt att kunna erbjuda de egna medarbetarna inom företaget en flexibilitet samt dynamisk access till internet och sin digitala information när man förflyttar sig mellan avdelningar och huskroppar inom företaget.
Idag erbjuder en trådlös infrastruktur just flexibilitet och är en stor möjliggörare för att erbjuda tjänster som är dynamiskt tillgängliga för de egna medarbetarna och kunderna/klienterna, med dessa möjligheter så följer också ett nödvändigt arbete att säkra upp sina trådlösa nätverk utifrån en definierad IT-säkerhetspolicy. Med ett antal åtgärder och en medvetenhet om IT-säkerhet och riskhantering kan man säkra upp sina trådlösa nätverk
Följande är ett antal övergripande steg som IPnett rekommenderar när löpande Security Audits genomförs för trådlösa nätverk:
- Översyn av befintlig IT-säkerhetspolicy, upprätta en IT-säkerhetspolicy om ingen finns
- Klassifiera information; vilken information är öppen/stängd
- Identifiera risker
- Analysera riskerna
- Utvärdera riskerna
- Riskhantering
- Implementationsstrategi av trådlösa nätverk utifrån definierade säkerhetskrav (definierad i IT-säkerhetspolicy)
- Genomför Säkerhetsanalys löpande
- Kommunicera och medvetandegör upprättade policys
