Vilken start ger du dina barn på nätet?

Krönika Det är inget fel att lägga ut information om dig själv, bara du vet vad du gör. Säkerhetskonsulten och författaren Åsa Schwarz manar till eftertanke.

Människor demonstrerar i masker. Snowdens avslöjanden rullas ut över världen. Databaserna om oss växer i jättarnas megacenter. Facebook. Twitter. Amazon. Underrättelsetjänster lyssnar in och lyssnar av.

Vi bloggar festbilder från semestern, berättar om häftiga fallskärmshopp och facebookar bilder på barn med spagetti runt munnen. Men har vi tänkt på vad de kan användas till i framtiden? År 2024 kanske ett försäkringsbolag inte vill ha kunder med riskbeteende och arbetsgivare backar när de ser bilder från sena festnätter. Det finns oanade möjligheter när myndigheter och bolag börjar samköra uppgifter. Vem fuskar med skatten, har fel åsikter eller vänner?

Men viktigast av allt, ska inte dina barn själva få bestämma över hur de upplevs på nätet som vuxna? Är det verkligen vår sak att avgöra?

Det är skillnad mellan att vara privat och personlig. Det är inget fel att lägga ut information om dig själv, bara du vet vad du gör. Det är bara du som kan bestämma var gränsen för din integritet går. Men det är inte ditt beslut att lägga ut information om andra. Tänk på dina barn. Vilka kommentarer och bilder kommer de att uppskatta som vuxna?

Du måste vara beredd på att allt du postar även kommer att kunna läsas om tio år. Inget på sociala media är att betrakta som privat. Ofta är sekretessinställningar falsk säkerhet. Glöm det här med skyddade grupper. Tänk på sociala media som webbsidor.

Problemet är att det inte bara är upp till var och än, utan även ens släktingar, vänner och ovänner. Det är bara att se på hemska videor där ungdomar blir förnedrade som laddas upp och skickas runt.

Instagram och Facebook har 13-årsgräns. Det tycker jag är bra. Vi som föräldrar måste ta vårt ansvar och diskutera de här frågorna med våra barn för att de sedan ska vara beredda på vad som kan hända. Vi måste se till att de får en bra start på sin digitala framtid. Och det är ännu viktigare att vi berättar för dem hur de ska behandla andra på nätet så att alla får samma möjlighet.

/Åsa Schwarz, säkerhetskonsult på Knowit.

Fört publicerad: 2014-02-19, i  Computer Sweden

Hellre ett bra moln än tafflig outsourcing

Nu gäller det att välja rätt, inte bort”, skriver Åsa Schwarz.

Publicerad: 2013-04-13 13:00, Computer Sweden

Året var 2009. Varningslamporna blinkade. Molnen var på väg. Osäkra, omogna, hajpade och med en förförisk prislapp. Jag fick i uppdrag av en kund att göra en checklista över vilka tjänster som går att lägga i molnet. Svaret var enkelt: det går bra bara de inte innehåller någon känslig information och är kopplade till övrig infrastruktur. Hoppas du inte någonsin behöver få tillbaka informationen. Ridå.

Året är 2013. Prislappen är fortfarande förförisk, men situationen är en annan. Marknaden mognar. De stora leverantörerna lyssnar på sina kunder. Även om avtalen är standardiserade utgår de från att motparten är en professionell uppköpare. Nu gäller det att välja rätt, inte välja bort. Fallgroparna är många men belöningen är lägre priser, flexibilitet och i vissa fall högre säkerhet.

Personuppgifter har varit en stoppkloss för molnjättar. Därför har en konstruktion skapats som kallas Safe Harbor och innebär att amerikanska bolag förbinder sig att följa europeisk lagstiftning. Det innebär att inte bara dina personuppgifter, utan all din information finns i länder med någorlunda vettig lagstiftning. En brasklapp är Patriot Act och FISAA som övertrumfar Safe Habor. Något att tänka på för svenska myndigheter.

ETT ANNAT PROBLEM har varit integration med övrig infrastruktur. Nu går det att koppla molntjänster mot befintligt Active Directory och övergången blir osynlig för användarna med hjälp av single Sign On. Självklart måste det göras säkert. Både outsourcing- och molnleverantörer är ofta iso 27001-certiferade. Tänk på att certifikatet inte alltid gäller verksamheterna som är outsourcade. För molnleverantörerna är själva tjänsterna certifierade.

Missförstå mig inte, jag förespråkar inte att allt ska ut i molnet. Det finns mycket att tänka på. Risker, kontrollistor och annan hjälp kan du få på Cloud Security Alliance. Däremot bör vi ifrågasätta varför hela it-verksamheter outsourcas när det i vissa fall kan bli både säkrare och billigare att beställa väl avgränsade molntjänster.

Fler än Kina i hackattacker

”Angriparna varierar men skyddsåtgärderna mot hackare är desamma”, skriver Åsa Schwarz.

Publicerad: 2013-03-14 03:00, i Computer Sweden

Hela USA förfasades i slutet av februari över omfattande kinesiska hackarattacker. Säkerhetsföretaget Mandiant rapporterade om hur hundratals terabyte data hade stulits från minst 141 organisationer. Hur kunde en statligt finansierad verksamhet, kinesiska Förband 61398, göra en sådan sak?

För det första är det festligt att amerikanerna som bland annat skapat Stuxnet, specialdesignad för att angripa iranska kärnkraftverk, blir så upprörda. Snacka om dubbelmoral. För det andra är det underligt att saken blåses upp till en jättenyhet. De flesta som arbetar med it-säkerhet vet att det här pågår. Dotterbolagen till amerikanska bolag som ligger här i Sverige är precis lika ansatta. Många andra också. Kineserna är inte ensamma. Attackerna kommer från många håll. Ju mindre demokratiska styren, desto aktivare. Sedan har vi grupper som inte har geografisk förankring, till exempel hackaraktivisterna Anonymous eller organiserade brottssyndikat som är ute efter dina pengar.

Angriparna varierar men skyddsåtgärderna mot hackare är desamma. Det räcker inte att köra penetrationstester och lappa igen de rapporterade hålen. Den strategin är dömd att misslyckas eftersom du inte hanterar de bakomliggande problemen. Det viktiga är att ha ett väl fungerande säkerhetsarbete som sträcker sig ända ut i webbservrar, brandväggar och applikationer. Sedan kan ett penetrationstest verifiera att du gör rätt.

Alla nätverkskomponenter ska vara härdade, onödiga portar och funktioner avaktiverade.

Konton som inte används får inte finnas, endast nödvändiga tjänster ska vara aktiva.

Det ska också finnas rutiner så att alla delar regelbundet uppdateras. Övervakning är viktigt för att händelser som hårdvarufel och externa attacker upptäcks och åtgärdas. Ett larm ska gå vid överbelastning eller andra oönskade händelser.

Det här är bara exempel, det finns mer att hålla reda på. Det går inte att skylla på elaka, kinesiska hackare. Det är du som har för låg säkerhet.