Tips från Åsa Schwarz – expert på IT-säkerhet och författare

När det gäller att få tips om IT-säkerhet för bokbranschen, vem är bättre lämpad än Åsa Schwarz som utsågs till Årets säkerhetsprofil och som förutom expert på IT-säkerhet även är författare och senare i år kommer med en IT-thriller.

Boktugg berättar i en separat artikel om hur ett förlag fick manus och planeringsdokument krypterade när en medarbetare klickade på en länk i ett mejl som hen trodde var en faktura men istället innehöll programvara som låste filerna på datorn. Vi skriver även om hur amerikanska bibliotek drabbats av IT-attacker.

Så vi kontaktade Åsa Schwarz som nyligen utsågs till Årets säkerhetsprofil. Alla kunde nominera personer till utmärkelsen. Sedan utsåg en jury tre kandidater och den slutliga vinnaren presenterades under Säkerhetsgalan som är en kombinerad konferens och middag.

– Anledningen är att jag fick den är att jag arbetar mycket med att folkbilda inom säkerhet och med att locka fler till säkerhetsbranschen, säger Åsa Schwarz som jobbar på Knowit Secure.

Utvöver IT-expert är hon även författare och har tidigare skrivit fem romaner i gränslandet mellan skräck och urban fantasy. Men just nu håller hon på att slutföra något helt annat, en thriller som heter De sju nycklarna, som utkommer i augusti.

– Den handlar om Rebecka som är en av sju internationella IT-profiler som bär nyckeln till internet. En dag vaknar hon med en pistol mot huvudet och att någon väser ”The key” i hennes öra. De sju nycklar till internet finns i verkligheten, och en av bärarna är svenska, avslöjar Åsa.

Men nu skulle det handla om IT-säkerhet för svenska företag i allmänhet och bokbranschens i synnerhet.

Vilka är de vanligaste hoten mot företag och organisationer idag?

– Just nu har it-bedrägerier och ransomware ökat markant. Ett exempel är de så kallade vd-breven där någon mailar en faktura till ekonomichefen och låtsats vara VD:n i bolaget. Vad vi även kan se att under de senaste åren har angreppen blivit allt mer målinriktade och skräddarsydda. Tidigare letade angriparen efter ett företag som är sårbart, nu letar hen snarare efter ett bra offer och sedan funderar ut hur det ska angripas. De lägger mycket mer energi på varje angrepp och därför måste vi skydda oss på andra sätt.

– Ett exempel är egenutvecklade program. Där är det viktigt att säkerhet är en del i varje moment i utvecklingsprocessen eftersom angriparen kommer leta igenom programmet efter sårbarheter. Tidigare tog man sig inte tid till det utan främst angrep standardprodukter med kända sårbarheter.

Hur kan man som företag skydda sig mot exempelvis Ransomware eller IT-spionage/intrång? Och vad gör man om man drabbas?

– Det är en ganska stor fråga och beroende på bland annat verksamhet och storlek har man olika ingångsvärden. Enklast är att börja med att göra en riskanalys och fundera på vad som kan hända med verksamheten. Finns det kanske väldigt känsligt information eller är det driftavbrott som är det största problemet? En gemensam nämnare för alla bolag är att utbilda medarbetarna att inte klicka på vad som helst och ifrågasätta information de får. Några andra hygienfaktorer är brandvägg, antivirusskydd, backup och mycket sunt förnuft.

Författare har god fantasi och inte sällan är de rädda att någon ska stjäla deras idé eller än värre hela deras manus.

Hur vanligt är det med hackers som tar sig på företagens servrar för att stjäla information, som outgivna manus eller vad man nu kan tänka sig att det finns för hemligheter värda att skydda?

– Just manus tror jag inte är speciellt vanligt. Exempel på undantag är en ny Harry Potter eller Dan Brown. De arbetar under rigorösa säkerhetsåtgärder där det hänt att översättare fått jobba inlåsta i en lokal och inga dokument fick lämna lokalen. Däremot är det mer vanligt att företag med exempelvis avancerad forskningsverksamhet blir utsatta för informationsstöld.

– En vanligare hotbild är snarare ransomware där förövaren kan tjäna pengar på att du inte vill bli av med ditt halvfärdiga manus eller att förlaget inte vill att verksamheten ska stanna eftersom de inte kommer åt sina it-system. De stora e-handelssajterna för böcker är också mycket känsliga mot avbrott i försäljningen. De kan även hantera stora mängder kontokortsinformation eller personuppgifter. Värt att notera är att de i maj 2018 kommer en ny lagstiftning om hur företag måste skydda personuppgifter vilket gör att de även kan bli stora böter om bolaget brister i hantering och säkerhetsåtgärder av personuppgifter.

TIPS: Så skapar du bra lösenord 

Hur ska man hålla reda på hundratals olika lösenord utan att använda samma eller för enkla – några tips?
1. Det är mycket viktigare att ha långa och komplicerade lösenord än att byta. Byt bara när du tror att det verkligen behövs. Anledningen är att hackers snabbt knäcker korta lösenord.
2. Ha bara komplicerade lösenord där det behövs. Alla tjänster där det inte gör något att lösenordet kommer på avvägar, ha ett och samma lösenord.
3. Ha aldrig samma lösenord privat och på jobbet.
4. Är det för komplicerat att komma ihåg lösenorden? Använd en lösenordshanterare (tips hos PC för alla)

LÄS ÄVEN: Förlagsmedarbetare klickade på länken – fick viktiga filer krypterade

Några snabba råd kring IT-säkerhet vad man ska tänka på för att skydda:

…sin hemsida
1. Har du ett litet bolag, använd en sida som du själv inte driftar eller utvecklar. Stora bolag har större resurser att hantera säkerheten.
2. Ha långt lösenord
3. Betala fakturan så att inte domänen kommer ut till försäljning. Domänkapare ligger och bevakar använda domäner som kommer ut på marknaden och kan skapa en egen sida med din domän och använda ditt varumärke och trafik.

…sin epost
1. Ha långt lösenord.
2. Klicka inte på fel länkar
(Om du driftar servern själv är listan mycket längre, men idag använder de flesta molntjänster från exempelvis Microsoft, Google eller Apple)

…sin mobiltelefon
1. Ha alltid en backup.
2. Se till att operativsystemet är uppdaterat
3. Klicka inte på skumma länkar eller webbsidor.
4. Aktivera Hitta min mobil.
5. Använd ett lösenord istället för en fyrasiffrig kod.
6. Ställ in mobilen på att radera innehållet efter tio felaktiga lösenordsförsök.
7. Läs noga vilken information appar vill ha tillgång till och godkänn bara det som är vettigt.
8. Använd sunt förnuft och lämna inte kvar den obevakat i hotellrum, bil och liknande.

…sin laptop
1. Ha alltid en backup.
2. Se till att operativsystemet är uppdaterat
3. Installera brandvägg och antivirusprogram
4. Ha ett unikt och långt lösenord
5. Kryptera hårddisken
6. Klicka inte på skumma länkar eller webbsidor.
7. Använd sunt förnuft och lämna inte kvar den obevakat i hotellrum, bil och liknande.

…företagets data
(kundregister, bokföring, excelark, marknadsplaner, manus osv)
För små bolag gäller ovanstående tips. Har du ett större bolag finns det praxis och branschstandarder att arbeta efter. Då behöver du antagligen också anställa eller anlita någon med rätt kompetens. Några vanliga standarder hittar du nedan:
ISO27001 – Ledningssystem för informationssäkerhet
PCI DSS – Säkerhetskrav när du hanterar kortinformation (VISA och Mastercard) men som även går att använda som inspiration för andra typer av system
OWASP – Ideell organisation som har flera standarder och andra verktyg för säkra system på webben

LÄS ÄVEN: Bibliotek nytt mål för hackare

LÄS ÄVEN: Förlagsmedarbetare klickade på länken – fick viktiga filer krypterade