Lyssna

9 Uppgradera mjuk-­ och hårdvara

Byt ut och ersätt gammal mjuk- och hårdvara för att minska sårbarheter och säkerställa att systemen fungerar som de ska och har tillräcklig säkerhet.

För att minska sårbarheter i organisationens it-system bör man använda mjuk- och hårdvara som fortfarande får uppdateringar och support från leverantören. Om man använder föråldrad utrustning ökar risken för sårbarheter i systemen.

Risker med gammal mjuk- och hårdvara

All mjuk- och hårdvara blir sämre över tid, både när det gäller funktion och säkerhet. Det kan bero på att sårbarheter inte längre kan åtgärdas eller att leverantören slutar ge support och uppdateringar. Det gäller alla typer av it-system som klienter, servrar, nätverksutrustning och IoT-enheter.

Om en organisation bygger sin digitalisering på gamla produkter uppstår risker. För att undvika detta måste system bytas ut eller uppgraderas regelbundet. När nya system kopplas ihop med äldre, osäkra it-lösningar blir informationssäkerheten svårare att upprätthålla.

Ibland kan det vara svårt att uppgradera system, till exempel på grund av risker för störningar eller beroenden till andra system. Men angripare bryr sig inte om dessa problem utan utnyttjar sårbarheter i gamla system.

Exempel från verkligheten

Den kinesiska hackergruppen APT31 utförde för en tid sedan, en serie cyberangrepp mot europeiska mål, inklusive Sverige. Gruppen, känd för cyberspionage, använde till en början hyrda virtuella servrar för sina attacker, men bytte sedan till att använda hackade routrar från privatpersoner runt om i Europa. Genom att utnyttja sårbarheter i föråldrad programvara kunde de ta kontroll över dessa routrar och bygga ett distribuerat nätverk för sina attacker, vilket gjorde det svårt att spåra dem.

Rekommenderat arbetssätt

När man köper in it-utrustning (mjuk- och hårdvara, externa tjänster och infrastruktur) är det viktigt att ha en plan, livscykelhantering, för när utrustningen ska bytas ut.

Planen hjälper till att förbereda resurser som pengar och arbetstid, och att identifiera beroenden mellan olika system. Att köpa it-utrustning är inte en engångskostnad, utan en kontinuerlig investering så länge systemen behövs.

Nyare versioner av mjuk- och hårdvara har ofta bättre säkerhetsfunktioner. Dessa kan vara avstängda från början för att undvika kompatibilitetsproblem. Se till att aktivera och använda de säkerhetsfunktioner som passar in i organisationens säkerhetsstruktur. Efter uppgradering bör systemen också härdas.

Många leverantörer ger information om hur länge en produkt förväntas fungera. Det hjälper till att i tid hitta rätt ersättningsprodukt.

Tänk på

  • Vissa enklare produkter, som en del IoT-enheter, kan inte uppgraderas eller uppdateras. Dessa bör användas med försiktighet, och om möjligt beaktas vid inköp, placering och drift.
  • Isolera gammal utrustning som inte kan bytas ut till separata nätverkssegment, skilda från övriga it-miljön, och vidta säkerhetsåtgärder för att minska risken för attacker.
  • Nyare produkter har ofta inbyggda säkerhetsfunktioner som kan ersätta tredjepartsprodukter. Genom att använda dessa kan man minska komplexiteten i it-miljön.