Minska risken med ett penetrationstest (eller: ‘Hur man pratar om försäkringar utan att somna’)

Blogg av Andy | (engelska) Publicerad på torsdag 14 april 2022

Ett penetrationstest av era IT-system kan hjälpa er att hitta era svagheter innan någon annan gör det...

Ok, vad är det tråkigaste ämnet på planeten?

Kalkyler för bolån? Storbritanniens rondeller? Skattedeklarationer? Absolut inte politik just nu (men vi ska inte gå in på det).

Jag kommer att välja Insurance

Håll dig vaken
Stanna hos mig

Nu är jag inte ute efter människor som handlar med försäkringar här. Några av mina bästa vänner är underwriters. Men det är ansiktsmältande tråkigt.

Jag är inget fan av matematik i allmänhet. I drabbade snarare än att studera matematik i skolan. Så försäkringsberäkningar, procentuella premier och allt det där är redan på efterkälken hos mig. Dessutom är försäkringar per definition något som man inte vill behöva. Lite som en kärnvapenarsenal. Men den jämförelsen hamnar i det intressanta, så glöm att jag nämnde det.

En försäkring är nämligen inriktad på en summa av negativ. Alla ‘tänk om’ och ‘bara i fall’ sammanfattas i en enda, komplex matematisk beräkning. En beräkning som försöker väga konsekvenserna av alla otaliga möjliga olyckor mot sannolikheten för att de ska inträffa. Ärligt talat, jag håller på att somna när jag skriver det här.

Ok, bara så att jag inte skickar dig att sova också, låt oss titta på frågan från en annan vinkel i ett försök att slå oss alla runt ansiktet.

Risk

Man använder smartphone när han korsar vägen
Det naturliga urvalet tar en oväntad vändning

Åh... Låter lite sexigare, eller hur? När vi börjar prata om risk - i huvudsak den andra sidan av försäkringsmyntet - vi börjar utforska saker som fallskärmar som inte öppnas eller fastnar i växlarna på en skördetröska. Ja: det är det väsentliga i vad som kan gå fel som vi behöver fokusera på. Inte algoritmen som bestämmer hur mycket vi ska betala och vilka villkor som gäller för försäkringen.

Och när vi talar om risker tittar vi också på hur vi kan minska dem och motverka dem. Ja, jag var tvungen att slå upp‘strida’ när jag såg det i min forskning också. Vi är här för att utöka ditt ordförråd också.

För att återgå till det övergripande temat: att vara ‘försiktig’ är tråkigare än att vara ‘jävligt försiktig’. Men det är vårt standardtillstånd. Vi skulle inte komma särskilt långt utan en sund känsla av självbevarelsedrift och riskundvikande. Så vi låser ytterdörren när vi går ut och vi tittar åt båda hållen när vi korsar vägen. Nåväl.., vi brukade.

Begränsning av risken

När det gäller bilförsäkring minskar risken för en kollision om man kör försiktigare. Det finns nu en hel del försäkringsbolag som ger rabatter till försiktiga förare. De använder särskilda enheter eller appar i din mobiltelefon för att logga ditt körbeteende. Det är ett aktivt sätt att se till att riskexponeringen är begränsad. Det innebär också att du sparar pengar i utbyte mot informationen.

Hur är det då med affärsriskerna? Visst är hälsa och säkerhet viktigt, även om det ofta klagas på det. Men när det gäller dåliga saker som kan hända i näringslivet har dataläckage visat sig vara en av de otäckaste händelserna. Och förmodligen en av de mest kostsamma när det gäller gottgörelse och böter.

British Airways bötfälldes med £183 miljoner redan 2019, och det kommer att ha ökat notan för konsulter och IT-personal som arbetar med att åtgärda den sårbarhet som orsakade det. I USA under 2017, kreditföretaget Equifax förlorat personlig och finansiell information om nästan 150 miljoner människor på grund av ouppdaterad programvara i en av sina databaser. Böterna på $575 miljoner var spektakulära eftersom de inte informerade allmänheten under flera veckor.

Dataläckor är vanligtvis resultatet av att svagheter i cybersäkerheten utnyttjas, och precis som Equifax är det sårbarheter som kan upptäckas och åtgärdas om du håller koll på dina system. Regelbundna kontroller av de system som driver ditt företag (låt oss inse det, de är minst lika kritiska för din organisation som den fysiska infrastrukturen) motsvarar att köra försiktigt. Minska riskerna. Försäkringar.

“Vad är det bästa sättet att kontrollera att mitt företags system inte har några svagheter?”, hör jag er ropa.

Fånga mig om du kan filmaffisch

Har du sett filmen ‘Fånga mig om du kan’, med Leonardo di Caprio och Tom Hanks i huvudrollerna? Det är en mycket underhållande och anmärkningsvärd berättelse baserad på livet av Frank Abagnale Jr, Abagnale är en charmig person som dömts för stöld, förfalskning och bedrägeri. Abagnale påstår sig ha utgett sig för att vara advokat, läkare och flygpilot, trots att han inte hade någon utbildning eller kvalifikationer för någon befattning. Hans gåva var förfalskning - och han var aktiv på 1960-70-talen, då pappersdokument var den viktigaste källan till bevis.

När FBI till slut fick tag på Abagnale ställdes han inför rätta och dömdes och avtjänade över tre år i ett federalt fängelse i USA. Hans relation till FBI blev dock ganska intressant. Eftersom han lyckades undvika att bli tillfångatagen av FBI under flera år blev han en viktig informationskälla för dem. Han har hållit föreläsningar på FBI-akademin och hävdar också att han har arbetat direkt för dem (men kan du lita på hans ord om det?).

Lite av en utvikning

Poängen är att ibland är det bästa sättet att testa ett system, oavsett om det gäller dokumentförfalskning eller digital säkerhet, att använda de tekniker som en riktig brottsling eller hackare skulle kunna använda. Och det är vad du kan göra med din IT-säkerhet. Har du stött på något sådant som en penetrationstest?

Medeltida armborst belägring motor
En fysisk manifestation av ett penetrationstest

Penetrationstest? Vad i helvete är att?

Jag vet, det låter verkligen alarmerande. Men i grund och botten handlar ett penetrationstest om att använda en rad tekniker för att försöka hitta vägar in i dina IT-system. Det liknar mycket det som hackare och robotar verkligen använder för att få åtkomst. Där de hittar portar som lämnats öppna eller information som exponerats, höjs flaggorna. Du kan sedan leta efter åtgärder att vidta för att täppa till hålen i ditt system.

Helst ska du köra ett penetrationstest på dina IT-system regelbundet. Nya hot och sätt att utnyttja sårbarheter upptäcks regelbundet, särskilt när det gäller system och programvara som används i stor utsträckning, så du måste se till att du a) regelbundet uppdaterar dina system och b) regelbundet testar dem för att se till att de inte innehåller några nya sårbarheter.

Inte så illa som det låter. Ok, hur får jag ett penetrationstest?

Idency Audit-logotyp med slogan Digital Security Diagnosis

Vi på Idency har en omfattande uppsättning tester och kontroller som vi kan utföra som en del av en tjänst som vi kallar IdencyAudit. Penetrationstester är en del av den tjänsten och vi kan också hjälpa dig att räkna ut vad du behöver göra för att säkra ditt system när svagheter hittas. För låt oss inse det: det är viktigt att du hittar dem innan någon annan gör det.

Ring oss på telefon om du vill diskutera - vi ger gärna råd eller pratar bara igenom processen.

Jag tror att vi alla kan hålla med om att försäkringar är lika tråkiga som dikesvatten (eller är det diskvatten?). När det gäller risker är det dock mycket bättre - och det kan spara dig enorma summor pengar - om du vidtar åtgärder innan katastrofen är ett faktum.

God natt - och ha inga mardrömmar ...

Andy B

Ta kontakt med oss

Sök artiklar

  • Populära kategorier