Lyssna

9. Uppgradera mjuk­ och hårdvara

Organisationen bör sträva efter att använda av leverantören supporterad mjuk- och hårdvara. Användning av föråldrad mjuk- och hårdvara kommer att öka antalet sårbarheter i organisationens infrastruktur och informationssystem.

Risken i praktiken

Alla mjuk- och hårdvaror blir med tiden sämre på att ge avsedd funktion och tillräcklig säkerhet. Det kan bero på att upptäckta sårbarheter över huvud taget inte kan hanteras, eller att leverantören slutar att skicka ut uppdateringar eller ge support på produkten. Försämringen av produkten gäller för alla typer av informationssystem, t.ex. klienter, servrar, nätverksutrustning, mobiltelefoner eller IoT-utrustning.

Om digitaliseringen bygger på föråldrade produkter uppstår risker. Alla organisationer behöver efter en viss period byta ut hela, eller delar av, informationssystem och kontinuerligt uppgradera mjuk- och hårdvara i produkter där en angripare kan utnyttja kända sårbarheter. I takt med att nya informationssystem integreras med äldre IT-lösningar som inte har funktioner för en säker integration uppstår stora utmaningar för informationssäkerheten.

Vissa informationssystem kan vara svåra att uppgradera, t.ex. utifrån de störningar själva uppgraderingsarbetet kan innebära eller att det finns beroenden som är svåra att hantera. En angripare tar dock inte hänsyn till detta, utan ser möjligheter i de sårbarheter som kan finnas i föråldrade informationssystem.

Rekommenderat arbetssätt

Vid anskaffning av komponenter till informationssystem (mjuk- och hårdvara, externa tjänster och övrig infrastruktur) behöver organisationen ta fram en omsättningsplan där det framgår när komponenter ska bytas ut. Planen underlättar för planering av vilka resurser (exempelvis pengar och arbetstid) som behövs och ger stöd i att identifiera beroen- den mellan olika informationssystem. En anskaffning av ett informationssystem är inte en engångskostnad, utan ska ses som en kontinuerlig kostnad så länge funktionen behövs.

Ofta innehåller modernare versioner av mjuk- och hårdvara fler och bättre säkerhetsfunktioner. Dessa kan vara avstängda av leverantören vid leverans för att minska risken för kompatibilitetsproblem. Se till att aktivera och använda de säkerhetsfunktioner som ingår i leveransen och som passar in i organisationens säkerhetsarkitektur. Efter uppgradering behöver informationssystemen åter härdas.

Tänk på

  • Många produkter av enklare slag, ex. vissa IoT-enheter kan varken uppgraderas eller uppdateras. Detta måste beaktas vid anskaffning, placering, driftsättning och livscykelplanering.
  • Isolera föråldrad utrustning och komponenter, som inte går att ersätta, i särskilda nätverkssegment som är skilda från övriga delar av it-miljön och som omgärdas av kompenserande säkerhetsåtgärder för att minska risken för angrepp.
  • När nyare produkter med inbyggda säkerhetsåtgärder används bör behovet bedömas om att behålla tredjepartsprodukter som tidigare behövts för att få önskad funktion. Överväg att ta bort de tredjepartsprodukter som blivit onödiga för att minska komplexiteten i it-miljön.

Mer information om uppgradering av mjuk­ och hårdvara finns i

  • (US) Center for Internet Security (CIS) CIS Avsnitt: Continuous Vulnerability Management; CIS Control 7.
  • UK NCSC 10 steps to cyber Avsnitt: Secure Configuration.
  • AU ACSC Essential Eight. Avsnitt: Patch operating