Säkerhet Cloud Cybersäkerhet

23 Feb 2021

Virus i organisationens hjärta & lungor

Gästskribent: Martin Lindgren, F-Secure

Vilka system är navet i eran organisation? HR-systemen? Kanske. Faktureringssystemet? Möjligt. De flesta som får den här frågan brukar snabbt komma in på kundvårdssystemen, så kallat CRM-systemet eller kundtjänstsystemet. Det är där vi hittar historiken från våra kunder, där vi vårdar relationen långsiktigt och också där vi som organisation börjar resan att hjälpa de som har problem med våra produkter eller tjänster.


CRM-system var bland de första som erbjöd sina tjänster i molnet. 99.99% tillgänglighet, var som helst och närsomhelst. Sanningen är att de knappt går att få on-prem idag. Fördelen är att inga egna databaser behövs underhållas och det går snabbt att hitta vad den förra säljaren diskuterade med våran guldkund, och på några klick kan vi snabbt se vem som tog kontakt med supporten senast. Eftersom all information ligger i vårt CRM-system leder de till att om informationen inte finns där, då existerar den inte. Det är här det händer! Det här är också ett av de säkraste systemen vi har….. eller?

Ja, det stämmer att eran leverantör av ert kundvårdssystem, exempelvis Salesforce, lägger enormt mycket resurser på säkerhet. Back-up på back-up på back-up samt pen-testar systemet nästan dagligen. Självklart finns MFA och du måste ha ett lösenord som är lika svårt att komma ihåg som dina föräldrars telefonnummer. Men vad som inte kommuniceras lika tydligt, som 99 av 100 som vi talar med tar för givet, är att data som laddas upp eller ner från dessa system aldrig skannas efter skadlig kod. Någonsin.

Alla mail som kommer direkt in till kundtjänsten och hanteras i dessa typer av system, går de verkligen via en Sandbox först eller hanteras de direkt av kundtjänstpersonalen? När en ny säljare börjar och ska titta på de gamla offerterna som är skickade till kunderna i CRM-systemet, tittar någon om de verkligen är fria från skadligkod? Hur ser det ut med listorna med deltagare från webinaret, länkarna till landningssidorna eller mailen från kunderna? Alla har en gemensam nämnare, vilket är att de aldrig inspekteras om de innehåller något skadligt.

Det är detta som kallas Shared Responsibility Model, leverantören av dessa system står för mycket av din säkerhet, men står aldrig för innehållet som laddas upp eller ner. För det är ditt ansvar. Problematiken i dag är också att dessa system kan vi ha tillgång till från vilken enhet vi vill och var ifrån som helst. Data som hamnar här ligger också kvar i flera år. Det ska tilläggas att detta inte är unikt för Salesforce, utan valfritt SaaS system fungerar så här. Till exempel HR-systemet Workday, hur många CVs som kommer in tror ni kontrolleras om de innehåller skadligkod? Svaret är Noll. Din data är ditt ansvar.

 

Här är ett exempel på hur det fungerar

 

För ca 5 år sedan stod vi på F-Secure inför den här problematiken. Ett nytt kundvårdssystem skulle inskaffas. För oss var det aldrig en fråga om att vi inte skulle ha kontrollpunkter i vårat kundvårdsystem. Vi hittade en lösning på detta och har nu gjort den tillgänglig för hela världen. Tillsammans med IT-Total kan vi utan att behöva installera extra mjukvara eller hårdvara för era användare sänka riskerna att skadlig kod hamnar i organisationens hjärta och lungor.

 

Läs mer om hur du skyddar molnet:

Ladda ner vårt whitepaper

 

Läs mer om

Om vår partner F-Secure

F-Secure Consulting är sammanslagningen av fyra prestigefyllda cybersäkerhetsföretag som kombinerar årtionden av expertis med otaliga specialiteter till ett globalt, forskningslett tekniskt konsultföretag. Vi designar lösningar och tillhandahåller skräddarsydda råd inom alla områden inom cybersäkerhet. F-secure.se.

 

Läs mer om allt vi bryr oss om på

 

 

Martin Lindgren

Skriven av Martin Lindgren

Martin Lindgren är Sverigechef på F-Secure som har funnits i Sverige i över tjugo år och har ca trettio anställda i Sverige. Martin har de senaste 10 åren haft ledande roller hos flera globala säkerhetsföretag.

Fördjupa din kunskap i MITRE ATT&CK

Ta del av praktiska mikrokurser inom Red, Blue och Purple Teaming. Vi tror att Purple Academy från Picus kommer att öka medvetenheten kring…

10 tips för ett vinnande Tech-CV

Inte alla men de flesta företag letar, som vi, efter både kompetens och personliga egenskaper när de scannar ett CV och träffar kandidater. Hur ska du…

Virus i organisationens hjärta & lungor

Gästskribent: Martin Lindgren, F-Secure

Vilka system är navet i eran organisation? HR-systemen? Kanske. Faktureringssystemet? Möjligt. De flesta som…

Prenumerera på bloggen: