Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Posts tagged “riskanalys

Vad ska du ha en hotkatalog till?

Posted on den 16 mars, 2016

Vad är en hotkatalog egentligen? Den frågan ställde jag mig själv för länge sen. Det var visserligen raljerande… men en mer intressant fråga är: Vad ska du ha en hotkatalog till? Tesen jag tänker driva här är att generella hotkataloger inte fyller sitt syfte på grund av att de är överväldigande i omfattning och otydliga i innehåll. Hotkatalogerna Låt oss titta på de två exempel jag lyckades hitta genom att söka precis nu: en från Svenska kraftnät riktad till elbranschen och en från Sambi riktad till hälsa, vård och omsorg. Hotkatalog för elbranschen Svenska kraftnät tog fram en hotkatalog i slutet av 2013: Hotkatalog för elbranschen: Hot mot IT-, informationshantering, processkontroll och automation. På Svenska kraftnäts sida har de några frågor och svar rörande katalogen.…

Sårbarheter lämnas utan åtgärd, del 2

Posted on den 22 januari, 2016

Det här är andra delen i en serie inlägg. I föregående del (ja, det var över ett år sedan jag publicerade den) argumenterade jag för att sårbarheter, även allvarliga i system med känslig information, inte måste åtgärdas. Jag upplever ibland att beslutsunderlaget begränsas till hur känslig informationen i systemet är. Det finns betydligt fler omständigheter att ta hänsyn till än så. Tanken var att denna del skulle fokusera på när sårbarheter lämnas utan åtgärd omedvetet. Jag har tänkt om och vill i stället ta den föregående diskussionen ur ett annat perspektiv. Förra inlägget har beställarens syn på systemet: vilka sårbarheter ska åtgärdas, eller snarare, vilka säkerhetskrav ska ställas? Så i stället för att ha kravställarhatt tar vi utförarhatten. Kort sagt: som utförare, hur förhandlar vi bort säkerhetskrav som ställs på…

Sårbarheter lämnas utan åtgärd, del 1

Posted on den 12 september, 2014

Sitter i möte med ett utvecklingsprojekt. En av utvecklarna ritar upp den övergripande arkitekturen på en whiteboard och där ser jag det… programvaran hämtar uppdateringar av sig själv från en file share i nätverket och kör dem utan vidare kontroller. Hela systemets säkerhet har i princip reducerats till skrivåtkomst till en katalog som sköts av en helt annan avdelning. Systemet kan inte upptäcka att den nya uppdateringen bara är en kopia av den föregående, fast med en bakdörr, och kommer glatt att skriva över sig själv. Allt som krävs är skrivåtkomst till ett visst filsystem. Jag har upptäckt ett säkerhetshål. Systemet är sårbart. Alltså måste det åtgärdas. Eller kanske inte. Sårbarheter måste inte åtgärdas De bästa säkerhetshålen är ju de som kan lämnas utan åtgärd. Security is a cost of…