Akamai´s take on GDPR

När GDPR diskuteras handlar det ofta om vilken data som sparas och hur länge. Vikten av att skydda dina applikationer från angrepp får inte alltid samma fokus. Akamai´s webinar belyste detta på ett bra sätt, nedan följer mina noteringar av innehållet. Kontakta oss om du vill prata mer om Akamai och/eller GDPR (General Data Protection Regulation).

Akamai founded 1998

Security is: Scale, Intelligence and People

Handles roughly 30% of the traffic on the Internet. Gives unique data and insigths
People: World class security personnel

General Data Protection Regulation
Applies to the processing of personal data of EU citizens, both inside and outside EU.

GDPRs risk based apporach
- Better protection af data subjects
- Establishing accountability

Data subject rights
The right to:
- Access
- Rectification (correct data)
- Deletion
- Forgotten

The principle of accountability aims to make ean entity processing personal data responsible for it.
Purpose, where is it stored.

Impact assesment
Assesment of the impact of processing, to the rights and freedom of the data subject.

What is the risk, considering
- type of personal data
- the respective processing activity, and
- the measures in place to protect them

Appropriate measures to protect the personal data
Only limited guidance, as for what is adequate by the GDPR. Encryption, Pseudonnymization (segregatre data so it can not be identified), anonymization.
Examples can be found in the ISO 27001 standard or inte the Annex to section 9 of the German data protection act.

Data breaches, how real are they. (Erik van Veen, CISSP)
Build a bridge between business and IT. Need to talk same language.

Risk = Likelihood * impact
The average network security breach goes undetected for 5-8 months.
201 days, less than 19% of data breaches are self-detected.
80% of IoT and 71% of mobile applications are not tested for security vulnerabilities.
Cost $6 trillion anually 2021.

50% of the cost is brand reputation.

Summary
Evolution and volume of complex targeted threats continue to increase.

Existing security point solutions and applications are often reactive.

Average number of 32 DDoS attacks per client in Q2 2017.

51% SQL injection
33% LFI
9% XSS
Sweden number 6 on top ten list. Count 7192277

Top source of attacks 33.8% from the U.S

Secure password
133 million encrypted credentials published from Adobe.
8% in total had a too simpel password, probably used for other sites as well:
123456 5%
123456789 1.1%
password 0.9%
adobe123 0.5%
qwerty 0.5%
12345678 0.5%
qwerty 0.5%
1234567 0.3%

How can Akamai help customers
Application layer attacks is extremely dangerous, credential attacks as well.

1. Implement "appropriate technical and organisational measures". Risk based and based on indystru best practices to protect web applications and websites.
Example: Broadcaster sends live from sports event.
+1600 networks + 230 000 servers

Delivering content and security from the Edge
Delivering content and security from the Edge

Akamai have loads of information regarding specific IP adresses and tracks unwanted behaviour. Reputation control
Risk based approach demanded by GDPR
Akamai risk based kona rule set helps customers to balance their attacks.

Risc based approach to GDPR
Risc based approach to GDPR

1. Best practices
OWASP++
Distributed/scalable
Personal Data transported via API´s
Know the reputation of who is approaching your internet facing resources to even further improve effectivity

2. Do not your WAF Rules go stale

Common with poorly configured WAF
Common with poorly configured WAF

How many people needed to maintan a WAF? 3 FTE. Common with WAF bought but not implemented.
Akamai can automate deployments for smaller environments.

3. Use "state-of-the-art" technology to precent data theft by using a fully integrated DDoS and Advanced Threat Protection solution.

Mitigation of DDoS and application attacks
Mitigation of DDoS and application attacks

4. Control who has access to what.
Prevent client software installation
Keep track of third party contractors. Kepp single user administration.
Prevent inbound open ports on FW
Create audit trails

Control third party data access
Control third party data access

 

Read more about Akamai Data Protection

/Fredrik Åhlén, CEO - Eastlane Consulting AB


Migrering till Magento

Att byta plattform är ofta ett omfattande projekt. Dels är det en tekniskt krävande uppgift, men också en organisatorisk utmaning. Interna användare tycker sällan att det är roligt att lära sig ännu ett nytt system. Nedan följer våra lärdomar efter ett plattformsbyte till Magento. Nedan är en kort sammanställning och en länk till vår presentation på Meet Magento Sweden 2017.

Moving +800MSEK in sales to Magento
Moving +800MSEK in sales to Magento

Projektorganisation

Beroende på verksamhetens storlek kan detta variera. För medelstora företag är det viktigt att ha en projektledare som håller ihop projektet och snabbt kan sammankalla företagets ledning när det behöver fattas snabba beslut för att komma vidare. Projektledaren hanterar samverkan mellan avdelningar och fungerar som ett filter mot IT. Min erfarenhet är att interna kravställare gärna vill bygga den perfekta plattformen från dag ett. Gör inte det, du riskerar att aldrig bli klar.

Avgränsa projektet och ha en målbild att det ska vara lika bra eller bättre för era kunder. Vissa interna processer kan bli bättre, vissa kan bli mer tidskrävande. Efter att ha jobbat med e-handel och IT i +10 år är rekommendationen att välja ett system som passar ens flöden hyfsat och därefter vara beredd att förändra sina arbetssätt i enlighet med systemet. Att bygga om grundläggande funktionalitet i ett standardsystem kommer att bli resurskrävande och generera problem i framtiden. Håll er till standard och lägg resurserna där de gör mest nytta.

Förhoppningsvis har ni valt ett system som är väl anpassat för uppgiften det skall lösa.

Projektplan

Dela upp arbetet i olika faser för att göra projektet överskådligt och tidigt kunna se om något börjar dra ut på tiden.

Sätt upp miljön

Börja med att sätta upp en testmiljö. En testmiljö med fungerande kopplingar till kringliggande testsystem är en förutsättning för att kontinuerligt kunna testa befintlig och ny funktionalitet och ge de interna användare en möjlighet att lära sig systemet.

Innehåll och konfiguration

Innehåll behöver migreras och kanske i viss mån också skapas. Ett exempel kan vara att de nya kategorisidorna ska ha en SEO-anpassad text. Behöver produkter gås genom? Flera företag har produkttexter som lämnar övrigt att önska. Hur kommer filtreringen fungera i den nya plattformen? Tar vi Magento som exempel med sin layered navigation kan attribut behöva läggas till på dina produkter. På köpet blir söket bättre med en korrekt attributsättning.

Go Live

Ta med pyjamas och tandborste till kontoret när det börjar dra ihop sig. Var beredd att hantera problem, "unknown unknowns", mer om detta senare i klippet nedan.

Lansering av ny plattform bör föregås av en testperiod där manuella tester kompletteras med automatiserade tester med syfte att belasta lösningen för att skapa en ungefärlig bild av framtida kapacitet. Börja gärna med en lätt överdimensionerad miljö, är den virtualiserad går det att justera ned i efterhand. Det är billigare att hyra hårdvara än att anlita personer som arbetar med optimering, även om båda delarna är att föredra.

Gör en checklista för alla moment som skall vara klara före, under samt efter migrering samt vem som är ansvarig för respektive uppgift. Gå genom listan flera gånger tillsammans med de som skall tjänstgöra under migreringsnatten. Uppdatera listan vid behov. Alla bör ha en förståelse för de olika momenten och hur enskilda uppgifter bildar ett recept för framgång. Räkna med att någon kan få förhinder/vara satt ur spel.

Prioritetsmodell

Det kommer komma in många krav, för att säkerställa vad som är viktigt, sortera in dem under nedanstående punkter:

1. Köpflödet

E-handel handlar om försäljning och att sätta kundens intresse framför allt annat. Köpflödet behöver motsvara ditt gamla system och helst överträffa det.

2. SEO

Förmodligen kommer det uppstå en svacka i den organiska trafiken, se till att den blir tillfällig och inte varar mer än ett par veckor. Alla gamla url:er behöver pekas om till motsvarande sida i den nya plattformen. Anlita en expert här, det är väl investerade pengar.

3. Integrationer

Ditt nya e-handelssystem behöver förmodligen kommunicera med affärssystem, betalväxlar och andra system. Detta måste fungera och ett tips är att tidigt i projektet låta olika leverantörer arbeta med varandra. Ofta har man inte samma leverantör för e-handelssystem och affärssystem. För att säkerställa att integrationerna behöver dessa testa mot varandras testinstanser. Att ha egengjorda testfiler som representerar ett annat systems förväntade utdata är inte tillräckligt.

4. Interna arbetsflöden

Manuellt arbete kan lösas med extra personal under en viss tid. Kostnaden för detta jämfört med missnöjda kunder är oftast att föredra.

Vill du veta mer rekommenderar jag att titta på nedanstående klipp från Meet Magento 2017:

Vill du ta ett förutsättningslöst möte kring just ert kommande plattformsbyte? Kontakta oss!

/Fredrik Åhlén, CEO Eastlane Consulting AB