I juni blev 6 millioner profiler fra staten Louisianas kørekortsregister eksponeret. Oregons tilsvarende register mistede kun 3,5 millioner profiler. Et par amerikanske forsikringsselskaber mistede ligeledes data på et par millioner kunder hver. Det var bare i juni. Og der var mange – mindst 75 andre og større hændelser samt et utal af mindre.
Det burde stå klart, at brugernavn og password ikke længere er sikkerhed nok. 2FA giver bedre sikkerhed, men hvis du tager din sikkerhed lige så seriøst som banker og kreditkortselskaber, har du brug for HSM.
Vi er glade for, at vi har Sascha Dibbern til at fortælle om HSM på næste Faglige Fredag den 18. august. Du lærer blandt andet, hvad HSM er, hvad det kan bruges til, og om det er noget, du har brug for. Læs mere om Saschas indlæg og tilmeld dig her.
Abstract
Dybt inde i et datacenter i specielle overvågede rum, hvor kun de få udvalgte har adgang til, finder vi en sær species af systemer. Dette er særlige maskiner, som sikkerhedsfolkene også ærefrygtigt kalder ”HSM”. I ny og næ besøges også dette hermetisk aflukkede rum af key-management-kultens medlemmer. De såkaldte key-custodians og key-witnesses kommer her for at holde deres hemmelige ritualer …
Der er meget sagn og mytologi omkring brugen af HSM, og de fleste vil nok spørge mange spørgsmål som:
- Hvad er et HSM?
- Hvad kan det?
- Hvad slags HSM findes?
- Hvordan sikrer det vores virksomhed?
- Rygter siger at HSM gør … er det sandt?
- Kan også små og mellemstore virksomheder få glæde af øget sikkerhed ved brug af et HSM?
- Hvorfor kan det være relevant af anskaffe en HSM-løsning og hvor stor?
- Og hvad med HSM og cloud?
Disse og mange andre spørgsmål vil jeg forsøge at besvare med mit indlæg, så du er bedre klædt på den dag, hvor du møder din første HSM, kan forklare den til dine kolleger eller opsætte den.
For den tekniske interesserede tilskuer vil jeg afslutningsvis prøve at vise brugen af HSM i mit egen HSM-laboratorie.
Sascha Dibbern
Konsulent og problemløsnings-katalyst
Med over et kvart århundrede af IT-erfaringer på ryggen fra forskellige discipliner såsom arkitektur, udvikling, test, drift (system-, app-administration & proces-ledelse) og projektledelse, så har Sascha i de sidste par år fokuseret sin karriere på sin hemmelige passion: IT-sikkerheden.Var IT-sikkerhedsrådgivningen i den tidligere i konsulent-karriere kun et biprodukt for kunderne, så er hans fokus nu skiftet til at IT-sikkerheden og kundens IT-discipliner samlet set støtter om hinanden.
I de seneste par år har han derfor været aktiv med f.eks. test- & compliance-arbejde indenfor eIDAS & digital signering, purple teaming (pen-testning & system-hærdning), teknisk ledelse af IT-sikkerhedsprojekter og rollen som (IT-)sikkerheds-chef i en telekom-industri start-up, der kræver højsikkerhedsdrift, da dens kerneprodukt kan tiltrække angreb fra nationalstater.