Bokstunder recenserar Och fjättra Lilith i kedjor.

”En bok som dels är en deckare och dels innehåller både IT och matematik – kan det bli mer passande för mig som läst Matematisk-datalogisk linje på universitetet och nu jobbar som systemutvecklare? Jag var visserligen lite orolig över de två djupa såren i halsen då jag inte alls gillar vampyrböcker men jag behövde inte oroa mig.”

Se hela recensionen här.

Hellre ett bra moln än tafflig outsourcing

Nu gäller det att välja rätt, inte bort”, skriver Åsa Schwarz.

Publicerad: 2013-04-13 13:00, Computer Sweden

Året var 2009. Varningslamporna blinkade. Molnen var på väg. Osäkra, omogna, hajpade och med en förförisk prislapp. Jag fick i uppdrag av en kund att göra en checklista över vilka tjänster som går att lägga i molnet. Svaret var enkelt: det går bra bara de inte innehåller någon känslig information och är kopplade till övrig infrastruktur. Hoppas du inte någonsin behöver få tillbaka informationen. Ridå.

Året är 2013. Prislappen är fortfarande förförisk, men situationen är en annan. Marknaden mognar. De stora leverantörerna lyssnar på sina kunder. Även om avtalen är standardiserade utgår de från att motparten är en professionell uppköpare. Nu gäller det att välja rätt, inte välja bort. Fallgroparna är många men belöningen är lägre priser, flexibilitet och i vissa fall högre säkerhet.

Personuppgifter har varit en stoppkloss för molnjättar. Därför har en konstruktion skapats som kallas Safe Harbor och innebär att amerikanska bolag förbinder sig att följa europeisk lagstiftning. Det innebär att inte bara dina personuppgifter, utan all din information finns i länder med någorlunda vettig lagstiftning. En brasklapp är Patriot Act och FISAA som övertrumfar Safe Habor. Något att tänka på för svenska myndigheter.

ETT ANNAT PROBLEM har varit integration med övrig infrastruktur. Nu går det att koppla molntjänster mot befintligt Active Directory och övergången blir osynlig för användarna med hjälp av single Sign On. Självklart måste det göras säkert. Både outsourcing- och molnleverantörer är ofta iso 27001-certiferade. Tänk på att certifikatet inte alltid gäller verksamheterna som är outsourcade. För molnleverantörerna är själva tjänsterna certifierade.

Missförstå mig inte, jag förespråkar inte att allt ska ut i molnet. Det finns mycket att tänka på. Risker, kontrollistor och annan hjälp kan du få på Cloud Security Alliance. Däremot bör vi ifrågasätta varför hela it-verksamheter outsourcas när det i vissa fall kan bli både säkrare och billigare att beställa väl avgränsade molntjänster.

Fler än Kina i hackattacker

”Angriparna varierar men skyddsåtgärderna mot hackare är desamma”, skriver Åsa Schwarz.

Publicerad: 2013-03-14 03:00, i Computer Sweden

Hela USA förfasades i slutet av februari över omfattande kinesiska hackarattacker. Säkerhetsföretaget Mandiant rapporterade om hur hundratals terabyte data hade stulits från minst 141 organisationer. Hur kunde en statligt finansierad verksamhet, kinesiska Förband 61398, göra en sådan sak?

För det första är det festligt att amerikanerna som bland annat skapat Stuxnet, specialdesignad för att angripa iranska kärnkraftverk, blir så upprörda. Snacka om dubbelmoral. För det andra är det underligt att saken blåses upp till en jättenyhet. De flesta som arbetar med it-säkerhet vet att det här pågår. Dotterbolagen till amerikanska bolag som ligger här i Sverige är precis lika ansatta. Många andra också. Kineserna är inte ensamma. Attackerna kommer från många håll. Ju mindre demokratiska styren, desto aktivare. Sedan har vi grupper som inte har geografisk förankring, till exempel hackaraktivisterna Anonymous eller organiserade brottssyndikat som är ute efter dina pengar.

Angriparna varierar men skyddsåtgärderna mot hackare är desamma. Det räcker inte att köra penetrationstester och lappa igen de rapporterade hålen. Den strategin är dömd att misslyckas eftersom du inte hanterar de bakomliggande problemen. Det viktiga är att ha ett väl fungerande säkerhetsarbete som sträcker sig ända ut i webbservrar, brandväggar och applikationer. Sedan kan ett penetrationstest verifiera att du gör rätt.

Alla nätverkskomponenter ska vara härdade, onödiga portar och funktioner avaktiverade.

Konton som inte används får inte finnas, endast nödvändiga tjänster ska vara aktiva.

Det ska också finnas rutiner så att alla delar regelbundet uppdateras. Övervakning är viktigt för att händelser som hårdvarufel och externa attacker upptäcks och åtgärdas. Ett larm ska gå vid överbelastning eller andra oönskade händelser.

Det här är bara exempel, det finns mer att hålla reda på. Det går inte att skylla på elaka, kinesiska hackare. Det är du som har för låg säkerhet.