Cybersäkerhet & juridik


It-säkerhet

Förföljd på nätet? Vad kan du göra?

Vi på Knowit får allt mer förfrågningar från kvinnor som är övervakade eller förföljda via mobiler och internet. Därför har jag satt ihop denna bloggpost som innehåller information om vad du kan göra om du misstänker att du är förföljd. Jag börjar med att berätta om hur du gör med ditt digitala fingeravtryck, och ger sedan några praktiska råd på slutet. 


Säkerhetsskydd

Knowit utbildar stadsnäten i säkerhetsskydd

Stadsnäten representerar 50% av Sveriges fiberinfrastruktur och är en viktig kugge för att vårt samhälle ska fungera. Genom ett samarbete med Stadsnätsföreningen utbildar Knowit stadsnät från hela landet i säkerhetsskydd så att de inte bara ska kunna svara upp mot den nya säkerhetsskyddslagen utan framför allt göra Sverige robustare och tryggare.


Exjobb

Säkerhetsskyddsanalysen – vad ska göras och vad behöver man tänka på?

Den uppdaterade säkerhetsskyddslagstiftningen kan verka komplex och svår att förstå. Vad är det som ska göras egentligen? Vilka steg ska man utföra på vägen och vilka utmaningar står man inför? Och när vet man att man är klar?  Detta är några av de frågor jag försökt besvara denna vår genom mitt exjobb.


It-säkerhet

Knowit presenterar ny CTF-tävling

Under Security Fest förra veckan släpptes CTF-tävlingen Hack AB som vår kollega Thomas Edoff utvecklat. Nu är den fri för alla att använda.


It-säkerhet

Allvarlig sårbarhet i Windows Remote Desktop

Ett antal versioner av Microsofts operativsystem har en allvarlig sårbarhet. Den kan även utnyttjas till att skapa maskar vilket gör att stora mängder datorer snabbt kan tas över. Uppdatera nu.


It-säkerhet

Kommunerna är bortglömda i arbetet med nya säkerhetsskyddslagen

Jag har tidigare arbetat med säkerhet i kommuner och ser att de återigen glömts bort i det nationella säkerhetsarbetet. Det är av största vikt att vi, både lokalt och nationellt, tillsammans arbetar med Sveriges säkerhet. Jag ska försöka förklara problematiken och föreslå några förändringar.


It-säkerhet

Serious cyber-attack on Norwegian firm Hydro

On Tuesday, it became public that Hydro had suffered from a major cyber security attack – probably the largest in Norwegian history. In this blog post, I will explain the background, what we know today and some lessons learned.


Digital Law

Tyska konkurrensmyndigheten dömer Facebook för konkurrensbrott

Den 7 februari beslutade den tyska konkurrensmyndigheten Bundeskartellamt att förbjuda Facebook från att samla in personuppgifter om tyska användare från andra webbplatser än Facebook.com utan ett frivilligt samtycke från användaren.


Digital Law

Datainspektionen inleder tillsyn i kölvattnet av 1177 Vårdguiden-läckan

Datainspektionen meddelar nu en första inspektion av en av parterna kring rådgivningsnumret 1177 Vårdguiden. Företaget som inspekteras är Voice Integrate Nordic AB som utförde och lagrade de olika röstinspelningarna från sjukvårdsrådgivningen på en server åtkomlig för obehöriga.


Digital Law

Dataflöden till Storbritannien vid en hård Brexit - dags att välja rätt strategi

Med mindre än en månad kvar till Brexit är utträdesavtalets varande eller icke varande fortfarande en öppen fråga. Vad händer om EU och Storbritannien står utan ett avtal efter den 30 mars?

Utan ett avtal (no-deal Brexit) kommer Förenade kungadömet England, Skottland, Wales och Nordirland att betraktas som ett tredjeland av EU. Som en följd av detta kommer all laglig överföring av personuppgifter från EES till Storbritannien att behöva behandlas genom antingen godkända skyddsåtgärder eller undantagsbestämmelserna i artikel 49 i GDPR. Detta eftersom Storbritannien i formell mening inte är att betraktas som ett säkert land efter utträdesdagen, trots att UK kommer att fortsätta att tillämpa en variant av GDPR. För att erhålla status som ett säkert land krävs att EU-kommissionen har fattat ett s.k. adekvansbeslut, något som Japan nyligen fick åtnjuta efter flera års förhandlingar. Godkända skyddsåtgärder för överföring till tredjeland vid avsaknad av ett adekvansbeslut är bl. a. standardavtalsklausuler (SCC), bindande företagsbestämmelser samt godkända certifieringar eller uppförandekoder som medger ett adekvat skydd för de registrerades fri- och rättigheter. Personuppgifter från Storbritannien till EES kommer däremot att få flöda fritt, som tidigare, enligt den brittiska regeringen.


It-säkerhet

Vad önskar sig internationella företag inom säker behörighetsstyrning?

Jag var på Axiomatics event i Stockholm den 6e och 7e februari och fick en intressant inblick i hur några stora internationella företag tänker om sina framtida behov inom behörighetsstyrning. De hade nämligen ställt just den frågan till samtliga kunder. 


Frukostseminarium

Höjdpunkter från seminarium: Vad innebär den nya säkerhetsskyddslagen?

Under torsdagsmorgonen, sista dagen i februari, anordnade Knowit Insight – Cybersecurity & Law i Göteborg ett frukostseminarium om Sveriges nya Säkerhetsskyddslag (2018:585) som träder i kraft 2019-04-01. Det var ett välbesökt och uppskattat seminarium vilket visar på hur aktuellt ämnet är för regionens berörda myndigheter och företag. För flera verksamheter kommer de för första gången att träffas direkt av kraven på säkerhetsskydd, vilket förstås engagerar. Det reflekterades av  den uppskattade frågestunden som hölls i slutet av seminariet.


It-säkerhet

När sjukvården drabbas av ransomware

Sjukvård har under senare år ofta angripits av ransomware. Vilka effekter har detta fått för drabbade aktörer? Och finns det några återkommande förklaringsfaktorer – såsom bristande uppföljning, riskbeteende eller teknik? Med anledning av det nyligen införda NIS-direktivet, som berör samhällsviktiga informationssystem, har jag tittat närmare på dessa frågor.


It-säkerhet

Vi fortsätter växla upp inom samhällssäkerhet

Knowit vill vara med i skapandet av ett digitalt samhälle där alla kan känna sig trygga. En del av detta är att stötta de verksamheter som på olika sätt är viktiga för det samhälle vi alla är en del av.


Digital Law

EU-kommissionen godkänner Japan som säkert land för överföring av personuppgifter

Den 23 januari 2019 antog EU-kommissionen ett s.k. adekvansbeslut om att godkänna Japan som ett säkert land för överföring av personuppgifter från EU. Japan har på motsvarande sätt beslutat att tillåta fri överföring av personuppgifter från Japan till EU. De två besluten är resultatet av två års dialog och förhandlingar parterna emellan som öppnar upp för ett fritt flöde av personuppgifter mellan två av världens största ekonomier, utan att ge avkall på grundläggande dataskydd och respekt för enskildas fri och rättigheter.


GDPR

50 miljoner Euro utdöms mot Google för brott mot GDPR

Den 21 januari i år utfärdade den franska tillsynsmyndigheten (CNIL) administrativa sanktionsavgifter på 50 miljoner Euro mot Google LLC. Det är det hittills högst utdömda beloppet sedan GDPR trädde ikraft den 25 maj 2018. Beslutet är en följd av två klagomål som inkommit till myndigheten från None of Your Business (NOYB) och La Quadrature du Net. Båda organisationerna är ideella föreningar som värnar om konsumenters rättigheter och skydd på nätet. Klagomålen handlade om hur Google samlar in och använder platsdata (lokaliseringsuppgifter) från användare av Android-telefoner i Frankrike.


It-säkerhet

Knowits pentestare tar en tur förbi Svalbard

Vardagen som pentestare kan vara minst sagt varierande. Den här veckan arbetar Oliver Rickfors, som är en del av Knowit Insights pentestteam, från Svalbard. Han hälsar:


Har Bug Bounty utvecklats till en ny typ av penetrationstest?

Bug Bounty har blivit allt mer populärt, men vad är det egentligen? Och är det någon skillnad mellan det och vad vi penetrationstestare gör? Jag försöker i detta inlägg reda ut begreppen. 


Säkerhet i media

Åsa i SVT Nyheter: ”Smarta” it-produkter i hemmen bör säkerhetsmärkas för att stoppa cyberangrepp

Allt fler hushåll och företag använder produkter som är kopplade till internet. De kan göra både vardagsliv och jobb enklare och mer effektivt, men innebär också säkerhetsrisker.

Vår kollega Åsa Schwarz blev nyligen intervjuad i SVT Nyheter om just riskerna med IoT-produkter. Hon anser att tillverkarna av IoT-produkterna bör säkerhetsmärka dem samt hållas ansvariga för säkerheten i produkterna.

– Vi har inga krav på produkter när det gäller it-säkerhet. Vi behöver en ny lagstiftning och bättre konsumentupplysning. Vi måste ha säkra produkter. Det är ett stort säkerhetsproblem idag, säger Åsa.


It-säkerhet

Vi lägger in en ny växel inom samhällssäkerhet

Vi vill skapa ett digitalt samhälle där alla medborgare känner sig trygga. Tyvärr är det inte så idag. Därför lägger vi i en ny växel. Vill du vara med?


It-säkerhet

Microsoft släpper 0-day-patch till Internet Explorer

Lagom till julledigheterna kommer en extra klapp från Microsoft. De har precis släppt en extra säkerhetsbulletin (out-of-band) (CVE-2018-8653) för en "0-day"-sårbarhet i Internet Explorer som ger möjlighet till remote code execution (vilket innebär möjlighet för en angripare att exekvera godtycklig kod på ett system oavsett vart det befinner sig på Internet). 


Secure Insight

Höjdpunkter från seminarium: Vad innebär den nya säkerhetsskyddslagen?

Fullt hus under seminariet om den nya säkerhetsskyddslagen och utredningen med kompletteringar till densamma.

Igår hölls ett eftermiddagsseminarium hos Knowit i Stockholm på temat ”Vad innebär den nya säkerhetsskyddslagen och hur kan ett nytt tillsyns- och sanktionssystem komma att se ut”. Aldrig tidigare har ett seminarium blivit fullbokat så snabbt, vilket visar hur högaktuellt ämnet säkerhetsskydd är. I april nästa år träder en ny lag och förordning i kraft och många verksamheter kommer då för första gången att träffas direkt av kraven på säkerhetsskydd. Så sent som i fredags, den 30 november, lämnade också den särskilde utredaren Stefan Strömberg in sitt betänkande Kompletteringar till den nya säkerhetsskyddslagen, i vilket han presenterar förslag till en ny tillsynsstruktur, hårdare krav vid utkontraktering av säkerhetskänslig verksamhet samt ett sanktionssystem under nya säkerhetsskyddslagen. Bara några dagar senare kom han till Knowit för att berätta om huvuddragen i sina slutsatser. Här följer en kort summering av höjdpunkterna från seminariet:


Secure Insight

Höjdpunkter från seminarium: En säker digital värld

För att få verkningskraft i sitt säkerhetsarbete krävs engagemang från både ledning och verksamhet - men hur får vi det? Hur får vi ledningen att förstå varför vi behöver lägga tid, pengar och resurser på säkerhet?


Säkerhet i media

Eric i SVT Nyheter: hur skyddar man sig från att övervakas genom telefonen?

Vi arbetar ständigt för att på olika sätt höja samhällets säkerhet. I SVT Nyheter idag delar Eric Stenberg, säkerhetskonsult hos oss på Knowit, med sig av tips på hur man skyddar sig från att bli övervakad genom telefonen.


Security

Nu bygger vi Nordens mest spännande penetrationstestgäng!

Vi är redan sexton personer som arbetar med penetrationstest på Knowit. Vi testar allt från självkörande bilar och tåg till affärs- och IAM-system. Nu har vi bestämt oss för att göra en historisk satsning för att inte bara bli störst men också teamet som stöttar vårt samhälle på bästa sätt.


Security

Artificial intelligence: Legislation must mirror existing legislation and methods for cybersecurity

During the Tallinn Digital Summit 2018, I participated in a breakout session on Safety and Security in the age of artificial intelligence along with four ministers and three other specialists in the area. Below is what I highlighted:


It-säkerhet

Cybersäkerhet: minska risker med upp till 90%

En av de bästa cyberskyddsmetoderna i dagsläget är CIS 20 Critical Controls – en uppsättning gemensamma säkerhetsåtgärder skapade av Center for Internet Security. Kontrollerna minskar risker hos organisationer som använder dem med upp till 90% och skyddar från attacker mot IT-system, nätverk och användare. Vi bad Staffan Huslid, senior säkerhetsrådgivare hos oss på Knowit, att berätta mer om kontrollerna och varför organisationer ska använda dem i sitt säkerhetsarbete.


Digital Law

Välkommen Marie Sjöberg!

Knowit Digital Law växer! I mitten av augusti välkomnade vi Marie Sjöberg. Varmt välkommen, Marie!

Digital Law

Knowit Digital Law fyller ett år!

På ett år har vi vuxit från en till sju. Vi har hjälpt fler än 30 kunder att utveckla en laglig, innovativ och mer hållbar digitaliseringsagenda och etablerat oss som en ledande aktör i Sverige inom cyberrisk och regulatorisk compliance. Varje dag bidrar vi till att utveckla ett samhälle som är lite smartare, säkrare och bättre. Det gör oss stolta.


It-säkerhet

Knowit-konsulter om nyupptäckt sårbarhet i Windows

Cert.se har gått ut med en varning om en allvarlig sårbarhet i Windows 10. Det är en så kallad Zero-day, vilket innebär att Microsoft inte har en patch eller annan åtgärd. Idag finns 700 miljoner enheter som har Windows 10.


Digital Law

Ny lag om företagshemligheter - krav på informationssäkerhet

Sedan den 1 juli har vi en ny lag om företagshemligheter (2018:558). Lagen ersätter en befintlig lag om företagshemligheter och innebär att ett EU-direktivet 2016/943/EU genomförs. Den nya lagen innebär ett förstärkt skydd för företagshemligheter som i sin tur ska stärka företagens konkurrenskraft och ger bättre förutsättningar för innovation och ett kunskapsbaserat företagande. I stort ligger den nya lagen i linje med principerna i den gamla, men med vissa ändringar och anpassningar, bl a krav på aktiva åtgärder för hemlighållande.


Digital Law

Ny dom om gemensamt personuppgiftsansvar för register (C-25/17)

Den 10 juli 2018 gav EU-domstolen i mål C-25/17 svar på frågorna om (i) vad som anses utgöra ett register (vid manuell behandling av personuppgifter) och (ii) fördelningen av registeransvaret (personuppgiftsansvaret) vid sådan behandling. Målet var en begäran om förhandsbesked av den finska högsta förvaltningsdomstolen vilken var att pröva ett beslut fattat av den finska dataskyddsombudsmannen. Trots att målet anhängiggjordes före GDPR finns det inget skäl att tro att praxis kommer att ändras. De centrala begreppen i dataskyddsdirektivet 96/46/EG och den allmänna dataskyddsförordningen EU/2016/679 är i allt väsentligt lika.


GDPR

Nytt rättsfall gällande företags personuppgiftsansvar för fanpages på Facebook

Den 5 juni kom en ny dom från EU-domstolen (mål C-210/16) i vilken rättsläget vad gäller Facebooks cookies förtydligades. Målet rörde ett förhandsavgörande som begärts av Bundesverwaltungsgericht, det vill säga Tysklands federala högsta förvaltningsdomstol. Målet blev aktuellt i och med ett nationellt mål mellan Wirtschaftsakademie, ett privaträttsligt bolag specialiserat på utbildning, och Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (oberoende regional dataskyddsmyndighet i Tyskland).


IAM

Enable dynamic access control for claims aware standard applications

Now that all the GDPR fuzz slowly begins to fade you might think that it's time to put your feet back on the dash and wait 'til it's all back to normal... After all, we did find all that personal data lurking in our shadow IT and we did analyze all the systems and processes handling it and just to put icing on the cake, we also carefully put together new guidelines that defines all the do's and don’ts with all that personal data. All done, right? No, not there yet. Now it's time to start to focus on the many IAM (Identity and Access Management) perspectives such as refine HR processes (onboarding, change and offboarding), implement them in your favorite IGA tool and last but not least, implement an effective and dynamic access control so that we don't have to mind all the exceptions when it comes to permissions and access to our information. 


Digital Law

NIS-lagen – hög tid för ny hype?

Det är fascinerande för en jurist att se hur dataskyddsförordningen (GDPR) har slagit ner som en bomb bland europeiska företag, myndigheter och organisationer. Det är svårt att dra sig till minnes någon ny lagstiftning som fått så mycket och så bred uppmärksamhet. Gott så. Det är en mänsklig rättighet det där med rätten till privatliv.


Digital Law

Dataskyddsombud som tjänst

2018 blir året då EU:s dataskyddsreform träder i kraft och på allvar förändrar förutsättningarna för hur personuppgifter får hanteras inom EU. Den 25 maj kommer dataskyddsförordningen (GDPR) att ersätta nuvarande personuppgiftslag. I och med att GDPR träder i kraft kommer många verksamheter att omfattas av kravet på dataskyddsombud (DSO).


Lediga jobb

Knowit söker nu flera nya nyckelpersoner inom säkerhet

Knowit Insight växer kraftigt inom säkerhetsområdet och söker ytterligare en konsultchef till Stockholm och ansvariga för våra tjänster inom verifiering till Stockholm och Göteborg. I verifiering ingår alla typer av tekniska granskningar såsom arkitekturgranskningar, kodgranskningar och penetrationstester. 


PCI DSS

Är du beredd att följa PCI DSS under 2018?

Den senaste versionen (3.2) av PCI DSS, en säkerhetsstandard inom betalkortsindustrin som syftar till att skydda betalkortsuppgifter, kom ut redan i april 2016. Fram till nu har dock ett flertal krav endast varit rekommendationer, men från den 1 februari 2018 blir dessa krav tvingande. Med andra ord är det hög tid att säkerställa att dessa rutiner är på plats inför kommande PCI DSS-granskningar. För att underlätta detta arbete har vi lyft fram de förändrade och utökade kraven som måste komma på plats innan februari 2018.


Lediga jobb

Studerar och intresserad av cybersäkerhet? Se hit!

Cybersäkerhet är en starkt växande marknad och ibland lika spännande som en spionroman. Vill du också jobba med oss för att säkra upp bolag och våra svenska myndigheter? Vi har ett antal möjligheter för dig som är studerar på universitet och högskola och snart ska ut i arbetslivet. Vi erbjuder exjobb, praktikplatser och sedan hösten 2017 har vi vårt cyberhjälteprogram som ger en kickstart ut i arbetslivet för dig som snabbt vill bli riktigt bra på cybersäkerhet.


Utbildning i säkerhet

Vi utbildar våra barn inom it-säkerhet

Vi ser det som en viktig del i vårt arbete att informera och påverka samhällsdebatten. På senare tid har vi bland annat hjälpt Kamratposten (KP) med något väldigt viktigt - att utbilda våra barn inom it-säkerhet.


It-säkerhet

Knowitkonsult hittar zero-day i elektroniska lås

Zero-day - en ny utmaning inom låsindustrin när de traditionella låsen digitaliseras

It-säkerhetsexperter talar ibland om ”zero-day” eller ”0-day” när de beskriver en säkerhetsbrist eller attack. Zero-day är en sårbarhet i ett system som ännu inte har åtgärdats - det finns alltså ingen säkerhetsuppdatering eller patch tillgänglig. Detta betyder att leverantören måste ta fram en säkerhetsuppdatering samt att systemet sedan måste uppdateras för att hålet ska täppas igen.

Knowits säkerhetskonsult Patrick Mattsson upptäckte ett säkerhetshål i ett system som tillverkats av Aptus Elektronik AB och kontaktade företaget.

– Vi uppskattade informationen som vi fick ifrån Patrick. Han beskrev i detalj vad han hade upptäckt och vi verifierade det senare i vår testmiljö, berättar Peter Johannesson, produktchef hos Aptus Elektronik AB.

Patrick Mattsson och Peter Johannesson.jpg


It- och informationssäkerhet

Sveriges första privat certifierade kontraterrorismexpert?

Knowit genomför ytterligare satsningar inom området för säkerhetsskydd, det vill säga skydd mot spioneri, sabotage och terrorism. Kollegan Victor Langåssve har, som en av få i Sverige, blivit certifierad som cATO (Certified Anti-Terrorism Officer). Antiterrorism, eller som det oftare kallas kontraterrorism, är ett begrepp för skyddsåtgärder mot terrorism.


It-säkerhet

Råd till företag - sårbarheten i trådlösa nätverk

Ett allvarligt säkerhetshål som berör trådlösa nätverk (WiFi) publicerades i måndags 16/10. Mer specifikt handlar det om flera brister i säkerhetsprotokollet WPA2 som i dagsläget används för nästintill all trådlös nätverkstrafik.


Våra medarbetare

Välkommen Jonne Mickelin Sätherblom!

Som ni kanske har märkt växer vi så att det knakar och det är återigen dags att presentera en ny kollega. Jonne Mickelin Sätherblom, varmt välkommen till oss!


Exjobb

Säg hej till vår nya exjobbare!

Från början av september till strax efter årsskiftet har vi en student på plats som skriver sitt exjobb. Säg hej till Madeleine Serenhov!


Våra medarbetare

Välkommen Johan Sällemark!

Det har blivit dags att välkomna en ny kollega: Johan Sällemark! Johan började hos oss i slutet av augusti och redan första veckan var han ute på kunduppdrag. Med 20 år i branschen har han en lång erfarenhet och djup kompetens att dra nytta av när han stöttar våra kunder i deras informationssäkerhetsarbete. Varmt välkommen Johan!


It- och informationssäkerhet

Knowit på SEC-T

Självklart sponsrar vi och är på plats på SEC-T även i år! Kom gärna fram till oss, diskutera säkerhet, prata om hobbies, tävla och ät godis. Portarna öppnar klockan 08:30.


Våra medarbetare

Välkommen Jesper Ström!

Även i Linköping har vi glädjen att välkomna ytterligare en ny kollega: Jesper Ström! Jesper kommer närmast från en roll som pentestare med fokus på webbapplikationer och har en kandidatexamen inom webbutveckling i bagaget. Hos oss kommer han att fokusera på identitets- och behörighetshantering (IAM) samt pentestning.


Utbildning i säkerhet

Knowitkollega håller GDPR-kurs

Den 13-14:e november håller kollegan Maria Mörk en kurs inom operativt arbete med den nya dataskyddsförordningen (GDPR). Syftet är att ge ett konkret stöd och utbyte av erfarenheter i GDPR-införandeprojekt.


Våra medarbetare

Välkommen Andreas Karlsson!

Ytterligare en kollega som under augusti har blivit en del av vårt team inom säkerhet är Andreas Karlsson. Välkommen Andreas!


Prenumerera på vårt nyhetsbrev