Lita inte på någon, då är du säker

Akamai bjöd in till en heldag på Fotografiska och Stockholm bjöd på soligt försommarväder. En härlig kombination.

På Akamai Security Summit World Tour var ett av fokusområdena – the Edge. Med andra ord gränslandet mellan slutenheter såsom mobiler, surfplattor med mera och användare. Ett annat ämne som lyftes fram var botar och botattacker.

Vill vara bromsen för att öka hastigheten

Lars Engdahl, Regional Sales Manager Region North Scandinavia & Benelux, från Akamai hälsade oss alla välkomna och ställde den retoriska frågan – Varför har bilar bromsar? Svaret är att lika självklart som genialt. En bil som kan bromsa kan också köra mycket fortare. Med den liknelsen lyfte Lars fram att Akamai möjliggör en betydande hastighet i Internet-trafiken. Faktum är att Akamai managerar cirka en tredjedel av all Internettrafik i världen. Det är med andra ord ingen liten aktör som bjuder in oss till en heldag på Fotografiska i Stockholm. Företaget grundades år 1998 och har sitt huvudkontor i Cambridge i Massachusetts i USA.

I Krakow i Polen har man ett säkerhetscenter med 800 anställda. I Sverige har man kontor i Stockholm sedan 10 år och det nordiska teamet består av cirka 60 personer.

Duscha innan du läser mail

Ari Weil — Vice President Product Marketing

Ari Weil, Vice President Product marketing, inledde sitt föredrag om Akamai Security med att ta oss med på en kort nostalgitripp. Han påminde oss om att det inte är alltför för många år sedan som starten på dagen kunde se ut på följande sätt:

Man vaknade och gick till sin dator för att läsa sina mail. Efter att ha startat datorn och mailprogrammet gick man till badrummet och duschade. Därefter gick man nyduschad till datorn för att läsa det första mailet som hade laddats ner. De, av oss åhörare, som hade åldern inne kunde med ett leende känna igen oss i Aris pedagogiska beskrivning av att det helt enkelt var en väldigt långsam datatrafik för inte så länge sedan. Det är lätt att glömma bort det nu när allt ska gå så otroligt snabbt. I Internets barndom var det ingen som visste hur mycket trafik som faktiskt skulle skapas. Idag har man bättre koll men det är fortfarande en utmaning att bygga ut kapaciteten och Akamai är en av aktörerna i detta viktiga arbete.

Ari menar att bortsett från den ökade hastigheten i Internet är det en annan hastighet som skapar säkerhetsutmaningar och det är att produktionssättningar går fortare och fortare. Det gör att vi får system och applikationer som inte är ordentligt testade i produktion. Det är ett växande problem. Den ökade komplexiteten bidrar också till att vi tenderar till att arbeta med brandsläckning istället för en långsiktig säkerhetsstrategi.

Resan till molnet är en berg- och dalbana

De allra flesta organisationerna har en molnstrategi men alla har inte den rätta kompetens avseende molnet. Det gör att resan dit för många blir onödigt jobbig. Han beskriver det som en resa full av toppar och dalar. Först tar man beslutet att gå till molnet och bestämmer sig för vilken molnplattform man ska använda sig av och allt känns bra. Efter ett tag inser man att plattformen inte erbjuder precis allt man behöver och det blir motigt. Aris poäng med denna beskrivning är att oavsett vilken molnplattform vi väljer så har de olika styrkor och det gäller att vara medveten om det.

En annan utmaning när det gäller säkerhet och analys av datatrafiken är att identifiera vilken trafik som är dålig och vilken som är bra. Richard Meeus, Security Technology and Strategy Director EMEA, gav oss ett bra exempel på det. För en tid sedan hackades en uttagsautomat i Singapore och förövaren lyckades komma åt en miljon dollar på två timmar. När detta blev känt började bankens alla kunder att logga in för att kolla om de hade blivit drabbade. På en timme träffades bankens IT-system av lika mycket datatrafik som den normalt sett tar emot under 3 månader. Det var alltså en onormal mängd trafik men inte på grund av en DDOS-attack. Det gäller att kunna skilja farlig trafik från ofarlig trafik.

Ett annat exempel på svårigheten att analysera och identifiera olika typer av hot och intrång är botar som bokar flygbiljetter berättar Richard. Syftet är att driva upp biljettpriset allt eftersom en avgång börjar bli fullbokad. När planet senare lyfter kan kabinen vara halvfull och flygbolaget förlorar både intäkter och kunder som inte är nöjda med priset och tillgängligheten.

Risk vs. Bekvämlighet

Mayur Upadhyaya — Senior Director Identity Cloud, EMEA

Vi pratar med Ari Weil i en av pauserna och frågar honom om hur han ser på riskerna med dagens IT-lösningar?

”Det finns två saker som är svåra att hantera på ett bra sätt. Det ena är att verkligen förstå den nya tekniken. Allting ändras så fort att det är svårt att ta till sig allt nytt. Trycket på att sätta nya system och applikationer i produktion så fort som möjlig ökar konstant. Då finns risken att det inte är ordentligt testat. Kraven på bekväma lösningar för slutanvändarna ökar även de. Ta hotellbranschen till exempel. Där har flera hotellkedjor blivit utsatta för intrång bland annat avseende nyckelsystem. Balansgången mellan att låta gästerna bekvämt kunna låsa upp sina rum med en elektronisk nyckel och samtidigt hålla en hög säkerheten så att inte vem som helst kan kapa den nyckeln är väldig svår. Varje gång som ett företag utsätts för en attack eller ett intrång riskerar de att förlora kundernas förtroende”, förklarar Ari.

Även Mayur Upadhyaya, Senior Director Identity Cloud EMEA, lyfter fram att vår önskan om bekväma lösningar sätter företagens säkerhetslösningar på stora prov.

”Kunderna vill ha full säkerhet och integritet men också möjligheten att bekvämt kunna styra allt i från skrivare och kaffemaskiner till larmanläggningar via sin smartphone. Risken att någon lyckas hacka sig in i denna miljö är inte oväsentlig”, säger Mayur.

Tack vare GDPR har vi nu en bättre bild

När det gäller antalet lyckade intrång och attacker hos företag och organisationer kan vi tacka införandet av GDPR för att vi nu har en mycket klarare bild av hur vanligt det egentligen är menar han.

I syfte att kunna ge sina kunder ett bättre identitetsskydd förvärvade Akamai bolaget Janrain i januari 2019. Janrain var en av pionjärerna inom säkerhetslösningar avseende användaridentiteter och år 2017 utsågs de till ledare inom Customer Identity and Access Management (CIAM) i Forresters Wave Report. Tack vare det uppköpet har Akamai nu avsevärt stärkt sitt erbjudande inom IT-säkerhet och i sitt föredrag berättade Mayur om Akamai Identity Cloud.

Xavier Daspre, Senior Cloud Security Architect EMEA, gav oss några exempel på en ny trend inom bedrägerier. Det handlar om att de cyberkriminella kommer över mindre summor i samband med till exempel uthyrning av el-scootrar som sedan en tid tillbaka finns i flera svenska städer. Den nya taktiken är att hacka IT-system för att komma över lägre belopp men betydlig fler. På så sätt kan hackarna ändå komma över tillräckligt stora summor för att motivera dem att fortsätta med sina bedrägerier. Ett annat exempel är att man kommer över kunders poäng i flygbolagens poängsystem för att sedan använda dem själva. Tanken är att risken att kunderna upptäcker det är liten om de endast tar en del av poängen istället för att tömma hela poängkontot.

Det är säkrast att inte lita på någon

Om man ska tro Richard Meeus, Security Technology and Strategy Director EMEA, är det gamla synsättet att alla enheter är säkra som finns innanför pedimeterskyddet (skalskyddet) stendött.

”Generellt sett lägger vi mycket resurser på de externa enheterna men inte på de interna enheter och användare som kanske rent fysiskt befinner sig på ett café eller annan offentlig miljö där hotbilden och risknivån kan vara komplicerad. Lösningen är att tankemönstret, tyvärr, måste bli att inte lita på någon enhet, inte ens de interna. Det kallar vi för Zero Trust”, förklarar Richard.

Under dagen får vi även chansen till ett par exklusiva samtal med några av Akamais representanter. Först ut är Erik Henriksson, Senior Strategic Account Executive, och han lyfter fram en annan sida av Akamai, nämligen deras arbete med hållbarhet.

”Vi har ett stort miljöfokus och vi tillverkar till exempel vår egen el. I Texas, USA, har vi en stor solcellspark som ger oss miljövänlig el. Dessutom satsar vi bland annat på energieffektiva servrar. Hållbarhet är helt enkelt en del av vår policy. Vi brukar prata om ljusgrön el som är ett resultat av i grunden positiva insatser men som inte går hela vägen. Ett exempel på det är företag som köper sig fria genom utsläppsrätter och liknande insatser. Vi däremot satsar på mörkgrön el och går All-In när det gäller hållbarhet”, förklarar Erik engagerat.

Vi fick även chansen att prata med Lars Engdahl och vi frågar honom om han är nöjd med dagen?

”Ja, det är jag. Vi har flera budskap som vi vill få ut till marknaden. Identity Cloud är ett av dem. GDPR har bidragit till att medvetenheten om omfattningen av intrång och attacker har ökat. Det är bra. Hanteringen av hotet från botar är ett annat och där kan vi hjälpa våra kunder med effektiva lösningar. Till sist vill jag att vårt varumärke ska bli mer känt. De stora bolagen känner redan till oss och vårt erbjudande men jag vill att vi ska bli kända även utanför den kretsen. Det är ett viktigt mål med dagens event”, avslutar Lars.

Vi kan konstatera att dagens fullmatade event, som avslutades med en guidad visning av Fotografiska, var ett steg i rätt riktning.

Läs mer om säkerhet, prestanda och kapacitet på Internet: www.stateoftheinternet.com
Läs mer om hur man skyddar applikationer och identiteter: www.zerotrust.se