Dags att krångla till det. Så det blir enkelt

Det är ofta det enkla som krånglar till det. Vanans makt håller oss fast i gamla sätt att tänka. Det gäller även säkerhet. För när vi pratar hemligheter, tänker vi gärna i dokument eller i system, helst innanför den egna organisationen. Men modern kommunikation ser inte ut så. Olika organisationer behöver kunna prata med varandra och system behöver vara kostnadseffektiva. Budgetar har inte blivit mindre styrande, eller ökat i omfattning bara för att vi blivit mer medvetna om hoten från vår omvärld. Lagstiftning och praxis har lett till att vi bygger separata system för olika säkerhetsklasser, trots att regelverken inte tvingar oss. Men i alla led från leverantör till användare har enkla lösningar och genvägar lett till att just det är det enda sättet vi klarar att hantera problemet på.

Jag menar inte att vi ska sänka kraven på hur vi hanterar information. Krävs fysisk separation, som för klassificerad hemlig information, så krävs det. Jag menar istället att vi måste höja kraven på hur vi bygger system, lösa det som är svårt, speciellt om vi är experter, så att kunder och användare får det lättare och kan fokusera på sitt expertisområde och göra rätt på säkerhetssidan för att vi hjälpt dem.

Enkelhet skapar också säkerhet

En it-stack måste när det kommer till kritan, vara hanterbar för en normalt funtad it-avdelning. Det innebär vanligen att it-avdelningen skaffar så få system som möjligt, och helst efter en enhetlig arkitektur, så kunskapskrav och förvaltning minimeras. Det är lösningen i sin helhet som behöver möta kraven på säkerhet, att kunna hålla isär information och säkra att bara de som ska komma åt informationen gör det. Det borde inte kräva separata lösningsstackar för varje isolerat segment av information, som ofta hur man löser problemet när andra alternativ är stängda. Men för att hålla nere antalet delar i våra systembyggen behöver vi som löser problem med hjälp av it börja tänka annorlunda, och ställa krav på de byggstenar vi använder.

Djävulen hittar vägen i detaljerna

Kanske är det till och med så att vi måste tänka annorlunda kring hur vi klassificerar information? Det mesta i ett hemligt dokument kanske inte är hemligt? Borde vi i så fall inte bryta ner dokument i delar av olika informationsklassning? Det i sig, isolerat från sitt sammanhang, leder också till problem. Vi har ju till exempel det motsatta scenariot att ta hänsyn till, det vill säga att många små delar av öppen och tillgänglig information tillsammans blir skyddsvärd information. Och med AI:s intåg ökar dessutom förmågan att extrahera något intelligent ur en stor mängd harmlös data. Verkligheten är komplex och kommer fortsätta att vara det. Men experter på sina områden behöver förstå hur de bidrar till att lösa problemen med en allt mer komplex verklighet.

Ett exempel är regelverken som utgått från koncept med hela handlingar och dokument, och inte direkt gör saker lättare. Visserligen pratar man numera snarare om skyddsvärda uppgifter, och det finns utrymme i regelverk som KSF för att titta på delsystem separat från andra delsystem, men arbetssätt och strukturer är fortfarande fast i de där dokumenten med röda stämplar.

Vi är med andra ord strukturellt fast i att hela dokument och hela system är det som ska skyddas, och våra it-system inklusive säkerheten i dessa är utformade därefter. Antingen är man inne i systemet eller inte. Är man till exempel administratör har man tillgång till allt och därmed åker kravet på isolering upp på systemnivå. När separationen mellan delar i ett system inte är tillräckligt stark – för att man inte behövt bry sig om det när det byggdes – tvingas man till att skapa isolering genom separata instanser av systemet.

Riv pyramiderna!

Separata silos för olika delningar blir i längden ohållbart. En modern organisation har behov av att kunna dela sin information kontrollerat, lagra den tryggt och göra det på ett sätt som vanliga människor förstår – eller ännu hellre, inte ens behöver bry sig om.

De krav vi har för att skydda vår information borde egentligen vara självklarheter för alla mjukvaruleverantörer, där det mest uppenbara kravet är separation av administrativa uppgifter och läsning av verksamhetens information i systemen. I många system finns förmågor att koppla samman vissa rättigheter med vissa användare, men ofta på en nivå där ett samarbete över någon gräns innebär att långt mer än nödvändigt öppnas upp.

Ett detaljerat stöd för roller med behörighet till olika delar av information lyser ofta med sin frånvaro. Visst pratar man rollbaserad åtkomst, men utan att egentligen tänka till på vad det innebär. Att klara fysisk separation är inte ens på kartan för de flesta. Istället tänker man i hierarkier, där toppen på pyramiden kommer åt allt.

Det här synsättet tvingar oss till separata installationer av samma system och, i värsta fall olika, infrastruktur. Allt till priset av ökad komplexitet, som riskerar att leda till mänskliga handhavandefel eller att system inte uppdateras, vilket skapar svårkontrollerade problem, inte bara med säkerheten.

Tänk nytt!

Våra system har över tid vuxit sig för komplexa och det behöver vi alla hjälpas åt att städa upp i. Tillåt mig även här att ge några exempel

För det första:
Vi som levererar infrastruktur behöver stötta strukturer där roller har relevant åtkomst. Att använda en övergripande och gemensam identitetshantering har visserligen blivit en självklarhet idag, men vi tänker alltför sällan på hur det behöver påverka våra applikationer i praktiken. Kan vi verkligen använda identitetssystemet för att hålla information isolerad på den nivå vi behöver och i de applikationer vi behöver det i?

Själva identitetshanteringen är sällan begränsande. Däremot är applikationerna som sagt fast i ett hierarkiskt tänk. Ändå tas det sällan hänsyn till i valet av produkter. Att säkra att man har kontroll på rättigheter i applikationer borde spela lika stor roll som till exempel öppna api:er eller centrala funktionella krav. Vi riskerar annars snabbt att tappa kontrollen över helheten, vilket så klart i sin tur riskerar förmågan till spårbarhet dramatiskt.

För det andra:
Vi behöver också lösningar som tillåter oss att på ett kontrollerat sätt dela med oss av information till relevanta mottagare utan att exponera stora mängder information som på grund av strukturer i verksamhetsapplikationer exponerar alldeles för mycket. Organisationers arbetsflöden sitter ihop i allt större utsträckning och det gör att behovet att med minimal fördröjning dela med sig av information bara ökar. För att möta det behovet, behöver vi lösningar som är tekniskt relevanta, men i lika stor utsträckning ett engagemang från granskande myndigheter. Med en gemensam förståelse för vad som egentligen behövs när vi står inför att dela information, blir det lättare att bygga samman komponenter på rätt sätt och att överblicka komplexiteten i hela it-stacken.

När säkerhetsklassad information behöver lagras på speciella ställen – beroende på hur strikta krav vi har på separation, kan vi behöva extrahera och lagra den separat, och en logisk lösning är att med ett integrationslager sortera ut den för senare användning. Att varje bolag idag behöver bygga sådana lösningar självt är ett misslyckade från industrin. Att applikationer inte separerar logiska skikt gör så klart saker värre. Det här är ett område som jag stångats med länge och är glad att vi på Basalt äntligen tar tag i. Låt mig återkomma om det i andra blogg-inlägg.

Air gapped räcker inte

Kommunikations- och integrationslösningar behöver vara en del av säkerhetstänket och informationsklassning vara relevant och tillämpbar när vi delar upp handlingar i mindre bitar. Meddelandehanterare som Kafka blir en allt viktigare del i hur vi kopplar samman applikationer och informationsflöden, därför att våra behov av att dela våra system växer. Då måste även våra förmågor att hålla informationen säker hänga med. Då räcker det inte att bara hålla informationen air gapped. Det är bara en del av lösningen. Skyddet måste följa teknikens – och kanske ännu mer behovens – utveckling. Även på den här punkten vilar ansvaret tungt på oss i branschen. Vi har alltför länge överlåtit åt våra kunder att lösa problem vi tyckt varit för jobbiga att ta tag i. Det är vår tur att kavla upp ärmarna och se till att enkelhet genomsyrar våra lösningar – alltså enkelhet ur ett kundperspektiv. Komplexiteten i problemen kan vi som leverantör inte ducka för.

Även arkitekter behöver se annorlunda på sin uppgift, och ställa högre – eller kanske mer specifika – krav på leverantörer vars applikationer vi använder och sätter samman till en kedja av fungerande system. Struntar vi i det blir det snart dyrt.

Här kan vi som levererar komponenter också göra jobbet enklare, genom att tillåta granulär informationsklassning och rollbaserade rättigheter ner på samma detaljnivå. Vi som samhälle står under stort tryck att förbättra hur vi hanterar vår information och vi måste kroka arm för att komma till ett bättre läge. Basalt är på god väg, vi jobbar tvärs kunder, myndigheter och utbildningsväsende för att komma dit och jag är enormt glad över att kunna få arbeta med de frågorna på ett bolag som verkligen vill göra skillnad. Men vi behöver bli fler på tåget. Hör av dig om du vill vara med! Det spelar ingen roll om du är kund och vill provköra lösningar, om du vill hjälpa till att bygga lösningar hos oss eller vill forska på specifika problem. Alla behövs att skapa framtidens informationssäkerhet.