Samlade tankar inom cybersäkerhet & juridik

Det blåser dataskyddsvänliga och blocköverskridande vindar på andra sidan Atlanten, men vi är fortfarande långt ifrån en amerikansk federal dataskyddslag. I detta blogginlägg sammanfattar vi vad vi vet om det senaste lagförslaget på en amerikansk GDPR, American Data Privacy and Protection Act (ADPPA). I korthet innebär ADPPA förslag på nya nationella standarder för företags behandling av konsumentdata, i bland annat dataminimeringssyfte. 

Den europeiska marknaden för medicinteknik regleras sedan 26 maj 2021 av förordningen för medicintekniska produkter (Medical Device Regulation, MDR) och förordningen för in-vitrodiagnostik (In-vitro Diagnostic Regulation, IVDR). MDR och IVDR syftar båda till att uppnå hög säkerhet och kvalitet hos medicintekniska produkter som tillverkas, importeras till eller säljs inom EU. Hur påverkas ni och era produkter av det nya regelverket? 

För tillfället pågår en stark innovationstrend inom banksektorn, till exempel ökar användningen av artificiell intelligens (AI) som ett verktyg för att effektivisera dagliga aktiviteter hos aktörerna. Användningen påverkas av en ökad frekvens av cyberattacker, uppkomsten av DORA och AI Act, och mer kraftfulla AI-drivna system. Banksektorns roll i samhället gör att det är viktigt att förstå hur aktörer hanterar risker relaterade till AI. Vår studie analyserar hur organisationer kan minska dessa risker och hur det påverkar riskhanteringsprocessen. För att undersöka implementeringen av AI i banksektorn genomförde vi intervjuer med konsulter på Knowit och personer som arbetar i branschen, alla med erfarenhet av AI, cybersäkerhet och/eller riskhantering.

Det finns ett välkänt uttryck inom kryptografi som lyder: “don’t roll your own crypto”. Uttrycket handlar inte nödvändigtvis om att man inte ska skriva egna krypteringsalgoritmer (även om det oftast är en dum idé) utan om att man inte ska försöka sig på att implementera krypteringsscheman själv. För att illustrera riskerna med detta kommer jag i detta blogginlägg ge exempel på en enkel attack på en fortfarande vanlig implementation av AES.

eHälsa och forskning är områden som vi på Knowit Cybersecurity & Law är lite extra intresserade av eftersom framsteg på området ger stor samhällsnytta (vem vill inte bidra till att bota våra allvarligaste sjukdomar?!) och dessutom ger upphov till många intressanta frågor både när det gäller juridik och säkerhet. I den här bloggen utforskar vi en av de juridiska frågorna lite närmare, nämligen den om fördelningen av personuppgiftsansvaret i samband med kliniska studier.

Ni dataskyddsnördar som flitigt scrollar flödet på dataskyddsnyheterna på LinkedIn, kan ha gjort samma observation som jag har gjort; nämligen alla oändliga inlägg om alla tillsynsbeslut som tillsynsmyndigheterna i EU producerar i högt tempo. Ibland känner man som dataskyddsjurist att man behöver be sin arbetsgivare om en halvtidstjänst bara för att kunna hålla sig uppdaterad inom området.

En stor utmaning för de allra flesta är att vi idag har mängder av olika konton online. Samtidigt är det viktigt att välja ett unikt och starkt lösenord till respektive tjänst, för att skydda sig mot intrång. Men hur ska vi kunna komma ihåg alla dessa lösenord? Det går ju inte?

Det har gått snart två år sedan EU-domstolen ogiltigförklarade det vanligaste verktyget för lagliga dataöverföringar mellan EU och USA och samtidigt uttalade att Standardavtalsklausuler (SCC:er) kräver ytterligare åtgärder för överföringar till specifikt USA. För att, på laglig väg, använda molnbaserade HR-system behöver ni genomföra en djupare analys enligt de obligatoriska steg som vi, i detta blogginlägg, går igenom. 

I april 2021 kom Europeiska kommissionen med förslag till förordning om harmoniserade regler för artificiell intelligens (AI-förordningen).¹ I det här inlägget presenteras en översiktlig granskning av förslaget och Europaparlamentets resolution om en skadeståndsordning för artificiell intelligens. Utgångspunkten i granskningen är frågan om ansvarsfördelning vid utomobligatoriska sakskador relaterade till AI och huruvida förslagen kan bidra till ett klart, tydligt och förutsebart rättsläge i fråga om ansvarsfördelning. Inlägget är baserat på min nyligen publicerade masteruppsats på ämnet.²

I januari i år flög ett antal drönare in och över kärnkraftverk runt om i Sverige och blev omedelbart riksnyheter. Drönarna som setts över Ringhals, Forsmark och Oskarshamn gav upphov till frågor avseende vem som styrde dem och varför de flög över svenska kärnkraftverk – frågor som allmänheten ännu inte fått svar på. Det kanske inte förefaller som en stor grej för vissa av oss. Vad är skadan med att flyga en drönare över några byggnader?

I veckan fick jag frågan från en av Knowits kunder; om man innehar en certifiering för ISO 27001, efterlever man även informationssäkerhetsstandarden TISAX? I texten nedan kan du läsa om mina efterforskningar och vad jag kom fram till.

En stor del av Sveriges säkerhet och bolags säkerhet ligger i vår omvärld; det är inte bara säkerheten inom Sverige eller inom bolaget som avgör. Ett för säkerhetsskydd tangerande område är därför exportkontroll och sanktioner, som stadigt blivit mer och mer aktuellt under senare år och nu nått ytterligare en aktualitetstopp i och med Rysslands invasion av Ukraina. Exportkontroll och sanktioner är begrepp som ofta nämns tillsammans, de har dock olika ändamål, även om de är tätt sammanflätade.

Nu får ni, såsom jag tidigare har lovat er, ett nytt inlägg om det nya spännande regelverket EU Data Act. Ni undrar säkert varför vi ska ha en till reglering som har något med ”Data” att göra. Det är dessutom ett ganska omfattande regelverk som kommer (utifrån utkastet) att bestå av 42 artiklar och 90 skäl. I det här inlägget tänker jag ge er bakgrunden till denna reglering och hur EU-kommissionen har motiverat den, samt hur regleringen förhåller sig till GDPR.

Nedan kommer jag att besvara de vanligaste frågorna vi får om den nya EU-förordningen som är på gång gällande cybersäkerhet och cyberresiliens inom finanssektorn.

Säkerhetspolisens nya föreskrifter om säkerhetsskydd trädde i kraft den 1 mars i år. I detta inlägg presenteras ett urval av de viktigaste förändringarna men det görs inte anspråk på att vara en heltäckande redogörelse över samtliga förändringar.

I detta andra blogginlägg i vår bloggserie om GDPR i relation till HR, djupdyker vi i en av grundprinciperna för dataskydd, nämligen öppenhetsprincipen, och vad det innebär för er HR-funktion i praktiken. För att ta del av vårt första inlägg i serien, som ger en överblick över digitaliseringen av HR, klicka här. 

Många organisationer förlitar sig på tredjepartsleverantörer för att exempelvis leverera produkter eller system. För många företag är detta en stor fördel och ofta även en nödvändighet, men det innebär också minskad säkerhet och kontroll. Nyligen deltog Richard Oehme, senior managementkonsult med fokus på samhällssäkerhet och cybersäkerhetsfrågor på Knowit, i ett seminarium om just tredjepartsrisker hos den Brittiska ambassaden i Stockholm.

Detta är det fjärde och sista blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhetsspecialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv.  

Den 9 mars 2021 presenterade EU-kommissionen sin vision för EU:s digitala omställning fram till 2030. Ett resultat av denna omställning är bl. a. ett antal nya regelverk som kommer att påverka de flesta av oss i Europa. Bland dessa regelverk har vi bland annat förslaget om ett nytt regelverk beträffande AI. I förslaget om den nya AI-förordningen delas AI-system in i olika nivåer beroende på risken för de grundläggande mänskliga rättigheterna. Förslaget är omfattande och innehåller otydligheter mellan tillämpningen av detta regelverk och dataskyddsregleringen i GDPR.

I dagarna har den nya utgåvan av ISO/IEC 27002 publicerats. I detta nu läses och nagelfars den säkerligen världen över av informationssäkerhetsexperter i olika roller. Visst är den efterlängtad och innehåller en hel del modernisering och förändringar, men den kommer också att medföra en hel del arbete och kanske en del förvirring. Här beskriver jag de viktigaste förändringarna gentemot den förra versionen och några av mina reflektioner så här långt.

I egenskap av en, för verksamheten, kritisk funktion, är en välfungerande, GDPR-compliant, HR-funktion ett viktigt steg i rätt riktning mot en, överlag, hygienisk personuppgiftshantering. Den enorma mängd data som anställda genererar och som organisationen ska samla in, bearbeta och spara på ett korrekt sätt, gärna i ett nytt system, innebär nya typer av svårigheter. I denna bloggserie om GDPR och HR-system kommer vi att belysa några av de största juridiska hinder som digitaliseringen av er HR-funktion stöter på och förklara hur ni kan ta er förbi dem. 

Detta är det tredje blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv. 

1926 avfyrade Robert Goddard, ofta kallad rymdraketens fader, en raket driven med flytande bränsle. 1957 blev dåvarande Sovjetunionen först i världen med att skicka upp en rymdfarkost i omloppsbana runt jorden – Sputnik, sedan har det rullat på. Rymden har alltid fascinerat människan och vi har sett stora möjligheter att nyttja rymden inom olika områden.

Detta är det andra blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv. Här kan du läsa det första inlägget.

I fredags – den 28 januari – firade vi på Knowit dataskyddsdagen för att höja medvetenhet om hur vi som organisation internt och till kunder kan förmedla ett ännu vassare dataskyddsarbete som sträcker sig över flera kompetensområden.

Stoppa pressarna, neka alla cookies och läs mer om hur vi behandlar dina personuppgifter i vår integritetspolicy för idag, den 28 januari, äger den internationella dataskyddsdagen rum. Vi på Knowit vill uppmärksamma denna dag för att påminna om vikten av dataskydd.

I takt med samhällets digitalisering är säkerhet ett område som blir allt mer viktigt. I samband med det är det även av stor vikt att it-och informationssäkerhet är en naturlig och central del av datavetenskapliga utbildningar – vilket tyvärr inte alltid är fallet idag. Därför tycker jag att det är extra kul att ha fått möjligheten att samarbeta och bidra med säkerhetsrelaterade föreläsningar hos Uppsala universitet.

I skrivande stund har två beslut publicerats gällande webbsideansvarigas användning av Google Analytics. I båda besluten kom tillsynsmyndigheten fram till att implementering av Google Analytics på webbplatsen innebar att webbsideansvarige bröt mot kraven på skydd av personuppgifter i GDPR. I detta blogginlägg har besluten sammanfattats och analyserats för att klargöra vad detta betyder för dagens webbanalys.  
 

Det finns flera fördelar med att certifiera sin organisations säkerhetsarbete. Men det är långt ifrån alla som gör det. Varför är det så? Här nedanför går jag igenom sju anledningar till varför du bör certifiera din organisation enligt ISO/IEC 27001.

Svaret är enkelt. Man ser framför sig en enorm byråkrati som ska upprätthållas. Dokument som ska skrivas och förvaltas. Möten och workshops för att komma fram till självklarheter. Drivor av icke-förvaltningsbara excelark för uppföljning. Detaljstyrning. Säkert finns det även en rädsla för att dra på sig åtaganden som kostar mer än de smakar.

Med anledning av de ändringar i säkerhetsskyddslagen (2018:585) som kommer träda i kraft den 1 december 2021, lanserade Knowit i höstas en bloggserie om systematiskt säkerhetsskyddsarbete. I sex inlägg har våra medarbetare redogjort för utvalda delar av ett ledningssystem för säkerhetsskydd samt delat med sig av erfarenheter och råd från fältet. 

Under våren 2021 startade Knowits säkerhetsskyddsteam ett nyhetsbrev om säkerhetsskydd. Vi är glada över att se att detta har mottagits positivt när vi i förra veckan publicerade vårt tredje nyhetsbrev i serien. Syftet med nyhetsbreven är att vi på Knowit vill bidra till kunskap och medvetandehöjning i hela samhället om säkerhetsfrågor generellt och säkerhetsskydd specifikt, vilket vi fortsätter att göra till vår bästa förmåga.

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. Förra gången skrev Victor Langåssve och Christel Manner i blogginlägg fem om säkerhetsskyddsklassificeringar. Denna vecka har vi kommit till inlägg 6 i serien, där Sebastian Tham beskriver hur man skapar goda förutsättningar för utbildning kopplat till säkerhetsskydd och varför detta är så viktigt. Mycket nöje!

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. 

I förra veckan fördjupade sig 17 deltagare i säkerhetsskydd genom Knowits grundläggande tvådagarsutbildning. Utbildningen innehöll allt från säkerhetsskyddsanalysens olika delar, såsom skyddsvärden och säkerhetshot, till säkerhetsskyddets åtgärdsområden och de nya krav som sannolikt kompletterar säkerhetsskyddslagen redan den 1 december i år.

Höstens webbinariumserie om det smarta samhället fortsatte med att Johanna Grundberg och Tomas Rimming berättade om och diskuterade ”Säker och laglig informationsdelning i ett smart samhälle”. I detta inlägg kan du se det inspelade webbinariet och läsa en sammanfattning. 

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. Förra gången berättade Sven Johnard, i bloggseriens tredje inlägg, bland annat om analys av sårbarheter kopplat till säkerhetsskyddsanalysen. Denna vecka har vi kommit till inlägg 4 i serien, där Sebastian Tham diskuterar effektiv prioritering av säkerhetsskyddsåtgärder. Mycket nöje!

Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler för överföring av personuppgifter till tredje land samt standardavtalsklausuler för personuppgiftsbiträdessituationer. Båda uppsättningarna standardavtalsklausuler började gälla den 27 juni 2021.

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt delar med sig av sina erfarenheter från området. 

Möjligheten att djupdyka i vad som kan upplevas som en oändlig tillgång av webbdata från verktyg som Google Analytics har länge varit en lyx som analytiker och andra intressenter tagit för givet. På senare tid har regleringen på dataskyddsområdet förtydligats och branschen har fått nya regler att förhålla sig till, kort och gott för att värna om besökarnas integritet. Vad innebär de nya reglerna för digital analys? Kommer man inte längre kunna följa upp besökares beteende och utfall av olika kampanjer? Ser vi slutet på ”data-eran”? I del 3 av vår bloggserie försöker vi reda ut en del frågetecken och ge svar på några av de frågor vi fått från både kunder och kollegor den senaste tiden.  

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området.

För att sprida kunskap och belysa området säkerhetsskydd lanserar Knowit en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. 

Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den andra delen i en serie inlägg om cookies där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. vilka tekniker som omfattas av cookielagen, om en cookie kan vara en personuppgift och om Google Analytics är lagligt. Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se.

Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den första delen i en serie inlägg om cookies, där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. hur företag ska hantera dataskyddsreglerna, vilka tekniker omfattas av cookielagen, vad samtyckeskraven innebär för digital analys och hur företag kan jobba datadrivet och samtidigt leva upp till de krav som finns? Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se. 

Under våren har vi analyserat svenska myndigheters skugg-it, närmare bestämt molntjänster som personalen använder utan att de är upphandlade på korrekt sätt. Analysen indikerar på att en stor andel obehöriga molntjänster används, varav 92,5% är amerikanska. Det här innebär i sin tur att till exempel personuppgifter hanteras på ett olagligt och felaktigt sätt. 

”Sverige har nu etablerat sitt nationella cybersäkerhetscenter. Det är bra men det räcker inte. För att skapa ett resilient cyberförsvar i fred, kris och ytterst krig behöver såväl den nationella, regionala och kommunala nivån ta ytterligare steg i att bygga sin cybersäkerhetsförmåga.” Det skriver Richard Oehme, senior rådgivare inom samhällssäkerhet på Knowit, i det senaste numret av Allmänna Försvarsföreningens tidskrift 'Vårt Försvar'. I artikeln belyser Richard vikten av en mer samlad styrning av cybersäkerhetsfrågor, och av att Sverige, som ett av världens mest digitaliserade länder, agerar nu för att trygga vårt samhälle. 

Idag väljer många företag att köpa in tjänster från externa leverantörer. Det har därför uppstått krav på att få en pålitlig, periodisk och transparent granskning av leverantörers processer, tillhörande kontroller och deras förmåga att fullgöra informationssäkerhetskrav. Ofta förekommer det att en kund i sin förfrågan till en leverantör efterfrågar en tredjepartsrapport enligt International Standard on Assurance Engagements. En bra rapport medför att kunden blir försäkrad om att tjänsteleverantören har förmåga att hantera kundens information utan att den förstörs, ändras eller sprids utom kontroll.

Knowits säkerhetsskyddsteam startar i veckan ett nyhetsbrev om säkerhetsskydd. Syftet är att vi på Knowit vill bidra till kunskap och medvetandehöjning i hela samhället om säkerhetsfrågor generellt och säkerhetsskydd specifikt.

Vad innebär kravet på internationellt säkerhetsskyddsåtagande och varför behövs det? Gäller bestämmelsen endast informationsutbyte? Vilka konsekvenser medför bestämmelsen för svenska verksamhetsutövare och gäller villkoret både för allmänna och enskilda verksamhetsutövare? Detta är några av de frågor jag tänkte diskutera och utveckla kring i detta blogginlägg.  

Att vara QSA (Qualified Security Assessor) är en väl bevarad hemlighet som väldigt få i säkerhetsbranschen känner till. Jag är QSA och har världens bästa arbete. I detta blogginlägg får du veta varför.