Säkra integrationer

Fungerande IT-säkerhet är en värdefull försäkring att skaffa sig till sin organisation, då kostnaden av en incident snabbt kan överstiga insatsen det krävs för att bygga ett grundläggande skydd. Vad som är ett grundläggande skydd kan upplevas otydligt, då det ofta kan kännas som en oändlig uppgift att uppnå fullständig IT-säkerhet. För den “vanliga” organisationen räcker ett grundläggande skydd i integrationer långt. I den här artikeln går vi igenom de enkla steg man bör ta i sitt systemintegrationsarbete för att uppnå just en god säkerhetsnivå i integrationer.

Säkra API-integrationer

En API-baserad integration innebär kortfattat att kommunikationen är byggd på nätverksanrop. Integrationen börjar då med att etablera anslutningen till ett systems API-gränssnitt och systemet kommer först säkerställa att just den integrationen har rättighet att hämta eller skriva data till det systemet.

Vid nätverksanrop finns risken att obehöriga parter avlyssnar kommunikationen. Om anslutningen inte är krypterad, exempelvis genom att giltigt HTTPS-certifikat saknas, överförs känslig information som användarnamn, lösenord och API-nycklar i klartext. Detta innebär en direkt risk för datastöld (man-in-the-middle-attacker) där angripare kan stjäla och missbruka organisationens data och rättigheter.

HTTPS-certifikat garanterar att den server du kommunicerar med verkligen är den den utger sig för att vara. Ett giltigt certifikat bekräftas av en tredje part och möjliggör krypterad kommunikation. Med ett giltigt HTTPS-certifikat kan du därmed vara trygg att kommunikationen i API-integrationer är krypterad, och risken för intrång är mycket låg. Beroende på syfte och säkerhetsbehov så kan man köpa olika typer certifikat, men där den lägsta nivån (Domain Validated Certificate) räcker gott för interna integrationer där man själv även har kontroll över de system som anropar och tar emot data från integrationen. Om du har en publik integration (API) eller webbplats/e-handel rekommenderas en högre certifikatnivå. Detta bekräftar att organisationen bakom API:et är äkta, vilket ger den anropande parten större förtroende för att de pratar med rätt part.

Transport Layer Security (TLS) är krypteringsprotokollet som används i HTTPS. Har man ett HTTPS-certifikat kan man alltså vara säker på att kommunikationen är krypterad med någon version av TLS. Den senaste versionen, TLS 1.3, lanserades 2018 och är idag standard för säker datakommunikation. TLS 1.2 kan fortfarande användas då säkerheten även där anses som hög, men bör successivt fasas ut då det finns kända sårbarheter. Det kan vara svårt att identifiera just vilken TLS-version som används vid nätverkskommunikation, men har man en uppdaterad Server/Integrationsplattform, samt en kodbas för integrationen skriven i ett uppdaterat ramverk, så har man ofta rätt förutsättning för att TLS 1.3 används.

Säkra filintegrationer

Filintegrationer, där data skickas via filer mellan system, är fortfarande vanligt förekommande – särskilt i äldre miljöer. Men även i moderna plattformar har filbaserade integrationer ett syfte beroende på vad som ska integreras. Säkerheten beror på vilken teknik som används:

FTP (File Transfer Protocol) utan kryptering bör inte användas. Det är en föråldrad teknik från 1970-talet där all data skickas i klartext. “FTP” som benämning kan fortfarande användas för denna typ av filintegrationer oavsett kryptering och säkerhetsnivå, så man ska inte vara orolig bara för att någon nämner FTP. Men det är värt att undersöka vilken teknik som faktiskt ligger bakom.
FTPS (FTP Secure) lägger till TLS-kryptering ovanpå FTP-tekniken och är därför betydligt säkrare, men kan till följd av den ålderdomliga tekniken bakom FTP vara mer svårkonfigurerat i moderna brandväggar
SFTP (SSH File Transfer Protocol) är den moderna och rekommenderade lösningen. Den använder nyckelbaserad autentisering och erbjuder ett fullgott skydd vid filöverföringar. Även om denna lösning fortfarande har FTP i namnet, så är den bakomliggande tekniken helt skild från FTPS och FTP, där SFTP även vinner i prestanda.

Rättigheter till integrationen

• En integration som endast behöver läsa data ska inte ha rätt att skriva data.

• Integrationen bör bara ha tillgång till relevant informationsmängd, exempelvis medarbetardata men inte ekonomiska uppgifter.
• Skapa dedikerade användarkonton per integration för att förbättra spårbarheten. Då kan man enkelt identifiera vilken integration som använt en specifik access.
• Lagra autentiseringsnycklar säkert, exempelvis i en Key Vault – aldrig i anteckningsfiler eller på lokala datorer.

Social Engineering – En vanlig attackvektor

Modern IT-säkerhet innebär inte längre enbart tekniskt skydd, utan angripare använder numera ofta andra vägar för att komma åt känsliga uppgifter. Social engineering och phishing är de vanligaste av dessa attackmetoder mot organisationer idag. Angripare försöker lura anställda att klicka på länkar, lämna ut inloggningsuppgifter eller installera skadlig kod genom att utge sig för att vara en betrodd part – exempelvis en bank eller leverantör.

För att minska risken:

• Implementera multifaktorautentisering (MFA / 2FA) i er organisation. Även om angriparen får tag på ditt lösenord kan de inte logga in utan tillgång till din mobil eller säkerhetsnyckel.
• Utbilda personalen i hur man känner igen misstänkta mejl och länkar.

• Etablera rutiner för att rapportera misstänkta incidenter internt.

Vägen till en säker IT-miljö

Olika organisationer har olika strikta behov av IT-säkerhet, men följer man åtminstone det vi diskuterat i den här artikeln så har man uppnått ett grundläggande skydd i sina integrationer. 

• Håll system, servrar och kod uppdaterade. De flesta säkerhetsproblem uppstår i föråldrade miljöer.
• Ta regelbundna backuper. Vid exempelvis ransomware-attacker kan ni snabbt återställa systemet.
• Logga aktiviteter. Identifiera vem som hämtat data, när och varför – utan att logga själva innehållet.
• Etablera en strategi för användaraccesser. Bestäm vem som ska ha tillgång till vad och varför.
• Identifiera era mest sårbara dataflöden. Börja förstärka skyddet där risken är störst.
• Utbilda personalen. Löpande internutbildning kring phishing och IT-säkerhet stärker hela organisationen.