Säkerhetskontoret – vi har intervjuat författarna bakom artikelserien Försvar på djupet.

article serie
Skrivet av Kristian Berlin

De är experter inom applikationssäkerhet och även medlemmar i säkerhetskontoret, en gruppering inom Omegapoint som arbetar med att höja medvetenheten kring applikationssäkerhet hos våra kunder. Nu har Martin Altenstedt och hans kollegor på säkerhetskontoret i Göteborg tagit fram en serie artiklar som beskriver vad som krävs för att bygga säkra system. 

Hej Martin! Vilken är din roll och vad är det egentligen du arbetar med?

– Jag är expertkonsult inom applikationssäkerhet och ansvarar för säkerhetskontoret. Det vi gör är att hjälpa företag med säkerhet genom tre delar: Att göra granskningar av säkerhetsläget, genomföra penetrationstester och upprätta ett strukturerat arbetssätt med applikationssäkerhet hos våra kunder.

Vi tar ett stort ansvar för säkerheten och våra konsulter arbetar deltid på säkerhetskontoret. Resten av tiden arbetar vi som utvecklare, vilket ger en större förståelse för alla olika hänsyn som kunderna behöver förhålla sig till.

Varför har ni skrivit Försvar på djupet?

-    Dels vill vi berätta vad vi gör och vad vi kan, men samtidigt ge en helhetsbild över vad som krävs för att bygga säkra system och vad det innebär. Får vi också upp ögonen hos några om vikten av att vara medveten om sina säkerhetsbehov och om man möter dem eller ej så vore det toppen!

Men är det inte lite överdrivet att vara så nitiska som ni är i artiklarna?

-    Ibland är det absolut överdrivet. Men det där beror på säkerhetsbehovet. En bank har självklart helt andra behov än en scoutförening. Det viktiga är att vara medveten om sitt behov och om man uppfyller det eller inte. De flesta har behov av att skydda t ex kunders personuppgifter, eftersom det ställs högre krav på det i dag än tidigare. Andra har betydligt högre krav på sin säkerhetsnivå, och då är innehållet i de här artiklarna relevant.

Vilka tycker du är de främsta problemen med hur man arbetar med applikationssäkerhet i dag?

-    Det vanligaste är tyvärr att man inte arbetar med det alls. Säkerheten är ofta långt ner i prioriteringsordningen. Jag tror att det till stor del handlar om att andra saker blir viktigare eftersom de märks mer. Icke-funktionella krav på en applikation, som att den är snabb eller fungerar som den ska, blir akuta om de inte möts. Säkerheten märker man ofta inte direkt och i många fall märker man inte en penetration alls.

Men varför ska man ta det här med säkerhet på allvar?

– Dels på grund av striktare regler kring hantering av personuppgifter. Men också för att hoten växer genom att aktörerna blir fler och betydligt skickligare. Det som driver människorna som gör intrång är pengar. Hemlig information är mycket värdefull på den illegala marknaden och därför är det många som ägnar sig åt att få tag på den.

Vem är ansvarig för säkerheten hos företagen?

Det är väldigt olika, men generellt sett kräver ansvaret en högre nivå av kompetens i dag än förut. Anledningen är att vi tidigare byggde system med skalskydd. Det innebär att ingen annan kunde komma åt de här systemen. I dag behöver våra system interagera med allt från människors mobiler till andra system. Det ställer helt andra krav på oss som ansvarar för säkerheten.

Vilken är den största utmaningen för företagen med att etablera en tillräcklig säkerhetsnivå?

– Otydlighet med vem som har ansvaret för den. Tyvärr faller ansvaret ofta mellan stolarna och en anledning till det är att man inte definierar vilken nivå av säkerhet man anser är tillräcklig. En annan är att man helt enkelt inte har kompetensen internt.

Sista frågan, om någon vill lära sig mer om detta, hur ska de göra då?

Läsa vår artikelserie! Vi på säkerhetskontoret håller också föredrag om applikationssäkerhet och det kommer vi gärna ut till företag och gör.

Kristian Berlin
Föregående

Omegapoint förvärvar Secana och stärker sin marknadsposition inom cybersäkerhet.
Nästa

I Omegapoints årsredovisning sammanfattar vi stolt 2019