Hälsningar från datasäkerhet evenemanget BSides i Tallinn

Vår developer Niklas Schönberg deltog i september på BSides Tallinn 2024, en konferens om informations- och cybersäkerhet. Läs Niklas hälsningar från resan!

Togs det upp något specifikt tema kring informationssäkerhet under evenemanget som det skulle vara bra att förbereda sig för?

Det verkar inte finnas något helt nytt tema eller trend inom cybersäkerhet – i Tallinn behandlades ganska traditionella hot som nätfiske och deepfake-bedrägerier.

Det som däremot är anmärkningsvärt är hur bedrägeriförsök har utvecklats med hjälp av AI. Röstförfalskningar är nu så övertygande att de nästan är omöjliga att skilja från äkta. Det enda som eventuellt kan avslöja denna typ av förfalskningar är möjliga fördröjningar i samtalet – svaren kommer i takt med att bedragaren hinner skriva på sin dator. Alternativt har bedragaren en uppsättning förberedda standardsvar som används under samtalet.

Den här typen av bedrägerier har också blivit enklare att genomföra. Det verkar som att bedragare nu har tydliga processer för hur de ska agera, exempelvis för att skapa en helt autentisk inloggningssida på bara några sekunder.

Själv tyckte jag att keynote-talaren Christian Herrmanns presentation om hot mot RFID-nyckelkort var särskilt intressant. I princip kan alla kort knäckas, även de mest avancerade kortens kryptering inom några veckor. Därför bör man inte förvara alltför värdefulla saker i utrymmen som endast skyddas av nyckelkort.

Ett klassiskt hot kvarstår dock: lösenord och den mänskliga faktorn. Många gör det lättare att logga in genom att använda samma lösenord på flera sajter. Det är extremt riskabelt; stora plattformar hackas med jämna mellanrum, och lösenord och användarnamn läcker ut på nätet. När kriminella korsmatchar dessa uppgifter kan de upptäcka att samma e-postadress och lösenord används för flera tjänster. Då är det bara att testa om samma inloggningsuppgifter fungerar på andra plattformar.

Hur kan man förbereda sig på olika typer av bedrägerier?

Jag rekommenderar varmt att använda ett lösenordshanteringsprogram, så att du inte behöver komma ihåg eller skriva ner lösenorden. Det är ett enkelt sätt att förbereda sig mot säkerhetshot.

När det gäller nätfiske och deepfake-bedrägerier är det oftast lättare att känna igen ovanliga förfrågningar. Men om det till exempel blivit en vana att chefen ringer och ber dig betala en faktura tidigare än förfallodatumet, kan det vara svårt att upptäcka bedrägerier.

Det är därför en bra idé att skapa ett system med säkerhetsfrågor för identifiering. Under ett telefonsamtal kan man till exempel fråga personen i andra änden om de kommer ihåg vad som diskuterades vid gårdagens lunch. Ett annat bra knep är att skicka ett ord via sms till den påstådda samtalspartnern och be dem läsa upp det högt under samtalet.

Själva identifieringen är egentligen inte särskilt svår – det svåra är att bli medveten om behovet av den när situationen kräver det!

Hur förbereder sig J&Co för säkerhetshot?

Informationssäkerhet och cybersäkerhet är extremt viktiga för oss. Vi satsar på det i allt vi gör. Alla webbsidor, webbutiker och applikationer som vi bygger åt våra kunder följer vissa säkerhetsstandarder, där den enklaste är hantering av lösenord. Vi ser också till att uppdatera webbsidor och verktyg för att förhindra sårbarheter. Vid behov ger vi också råd till våra kunder.

Vi följer också aktivt utvecklingen inom branschen och underhåller vår kompetens. BSides, som är en spinoff från evenemanget Black Hat i Las Vegas, är ett av sätten att hålla oss uppdaterade om cybersäkerhet och att byta tankar om ämnet med experter inom området.

Den plattform vi använder, WordPress, är idag mycket säker. Däremot kan tillägg och olika plugins, skapa säkerhetshål. Dessa måste också uppdateras när bakgrundsuppdateringar görs på webbplatsen.

Jag har inte stött på att våra kunders webbplatser skulle ha blivit hackade. Däremot har vi räddat och åtgärdat ett par andra webbplatser efter att de blivit hackade.

Ett perfekt säkerhetssystem är närmast teoretiskt. I praktiken är inget system någonsin 100-procentigt, eftersom människan är en del av systemet och fattar beslut som rör det. Som vi såg ovan är det mänskligt att göra misstag.

En grundprincip för informationssäkerhet är balansen mellan säkerhet och användbarhet. Ju säkrare ett system är, desto mer komplicerat blir det, vilket gör det svårare att använda. Inom cybersäkerhet måste man ofta göra val mellan säkerhet och användarvänlighet.

Om du vill säkerställa att din webbplats är säker och uppdaterad, kontakta oss!