Samlade tankar inom cybersäkerhet & juridik

Cybernode är en svensk nod som arbetar för att accelerera innovation och forskning inom cybersäkerhet. Genom att samla näringsliv, akademi och offentlig sektor kommer projektet att identifiera, prioritera, initiera och driva forsknings- och innovationsaktiviteter inom cybersäkerhetsområdet.

(I detta inlägg refererar jag till vissa engelska definitioner, då svenska saknas) 

Nu när vi är inne på 2021 tänkte jag passa på att sammanställa några nyheter inom säkerhetsskydd från hösten som gått, vilket du inte vill missa!

Att certifiera sig inom ett kompetensområde är ett vanligt sätt att få ett erkänt kvitto på att man har tillskansat sig vissa kunskaper och besitter relevanta erfarenheter. Certifieringar kan jämföras med kvalitetsstämplar som är accepterade av branschen. De är ett sätt för arbetsgivare att säkerställa att personen är den hen påstår och för exempelvis upphandlande myndigheter att säkerställa leverantörens förmåga. Det är naturligtvis inte det viktigaste i en upphandling eller en försäkring mot misstag från den certifierades sida, men det är en viktig komponent som visar både arbetsgivarens och den certifierades engagemang inom området.

Kompetensbristen är en av säkerhetsbranschens största risker, och inte minst i Östergötland är behovet av att samla kraft inom cybersäkerhet stort. I regionen finns flera intressanta verksamheter med behov av säkerhetskompetens; inom den privata sektorn finns företag som SAAB, Holmen, och Stadium och den offentliga sektorn innefattar 13 kommuner, region Östergötland och flera myndigheter. På Knowit arbetar vi idag med ett flertal av dessa organisationer i olika spännande kunduppdrag, men vi ser att behovet av ytterligare kompetens är enormt stort både hos våra kunder och hos andra aktörer.  

Idag är första dagen i cybersäkerhetsmånaden. Det har hänt mycket under det här året och pandemin har också satt stora spår i vårt digitala samhälle. Mest på ett positivt sätt. Vi har digitaliserat och utvecklat våra arbetssätt på bara några månader – något som annars skulle ha tagit åratal. Plötsligt har vi digitala möten och arbetsgrupper med människor över hela världen på ett sätt vi aldrig haft tidigare. Vi sitter på lantstället och utvecklar nya system. Styrelsemöten sker utan många smutsiga flygmil och internationella samarbeten frodas trots att alla medverkande arbetar från sina hem. Företag och myndigheter har tvingats till att ta ett långt steg in i framtiden och utveckla nya tekniska plattformar och stöd för sina medarbetare.

"Let's make Data Privacy great again!" – dessa ord kom från en medlem av Europaparlamentet (”MEP”), Moritz Körner, under mötet den 3 September 2020, i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (det s.k. "LIBE-utskottet"). Mötet hölls för att diskutera framtiden för dataflöden mellan EU och USA efter EU-domstolens uppmärksammade dom i mål C-311/18 (”Schrems II-målet”). Förutom MEP deltog justitiekommissionär Didier Reynders, den europeiska dataskyddsstyrelsens (”EDPB”) ordförande Andrea Jelinek och den österrikiske datasskyddsaktivisten Maximilian Schrems vid mötet. Mötet hölls då det efter domen i Schrems II-målet onekligen råder stor osäkerhet gällande överföringar av personuppgifter till USA och andra tredjeländer.

Till följd av den extraordinära situationen som covid-19 försatt oss i har vi snabbt behövt anpassa oss till ett nytt sätt att arbeta. Hemarbete blev under våren det nya normala och som följd har användandet av videokonferenssystem skjutit i höjden. För många av oss fortsätter nu hemarbetet även under hösten. Lyckligtvis har tekniska framsteg gjort det möjligt för oss att nästintill arbeta som vanligt genom att delta i möten, webinars och annan socialisering online. Det finns många olika videokonferenssystem att välja mellan – i detta inlägg presenterar vi en jämförelse mellan fem olika system utifrån användarvänlighet, funktionalitet och säkerhet. Vi har även listat vad du som användare bör tänka på när du nyttjar systemen eftersom flera av dem har bra säkerhetsfunktioner men som måste aktiveras av användaren själv.

Cybersäkerhet, det vill säga det samlade skyddet från it- och informationssäkerhet, är den största utmaningen för företagsledningar idag. Trots det saknar 87 procent av företagsledare (CEO, CISO, CFO m.fl.) och styrelseledamöter förtroende för det egna företagets kapacitet inom området cybersäkerhet.

Det ställs ofta höga krav på att verksamheter ska skydda sig mot intrång och att rätten till tillgång till lokaler och utrymmen styrs utifrån behov. För att möta dessa krav finns ofta passersystem och kamerabevakning installerat för att skapa spårbarhet och för att försvåra eller förhindra brott. Kamerabevakningen kan också ge värdefull information vid inträffade brott och kan därmed underlätta polisens utredningsarbete. Inom dessa säkerhetssystem finns personuppgifter lagrade. Personuppgifter som ofta förbises vid företags inventering av personuppgifter.

De sociala robotarna gör nu sitt inträde i vårt samhälle. De är psykologer i USA, barnvakter i Kina och här i Sverige arbetar ett antal spännande start-ups med dem. Men det här kommer innebära helt nya risker och etiska överväganden. Var går egentligen gränsen till vad vi får göra och hur ska vi försäkra oss om att vår framtid inte blir som en science fiction-dystopi?

PCI DSS-efterlevnad som krav ställs på all hantering av betalkortsdata. Som handlare tar du emot betalkortsbetalningar medan tjänsteleverantörer hjälper handlaren med betalningar samt stödjer privatpersoner, handlare eller företag med deras betalkortstransaktioner. Banker ger ut betalkort eller fungerar som inlösare av transaktioner. För dig som har applicerat PCI Data Security Standard (PCI DSS) på alla dina betalkortstransaktioner förväntas dessa hanteras på ett säkert sätt, skyddat mot dagens och morgondagens cyberhot.

Lösenord, lösenord och lösenord. Trots att det nu finns flera alternativ för autentisering är lösenord något vi än så länge inte kommer undan. Men hur är det egentligen med lösenordsrekommendationer – vilka rekommendationer finns, och kan vi lita på dem? Hur ska ett bra lösenord se ut? I denna bloggpost analyserar jag de vanligaste lösenordsrekommendationerna och diskuterar varför långa lösenord inte alltid är bättre.

Enligt en rapport från Juniper Research kommer det år 2023 vara 775 miljoner uppkopplade bilar ute på vägarna - en siffra som kan jämföras med 2018 då det var 330 miljoner¹. Denna utveckling kommer självklart också medföra en ökning av attacker. Under 2019 utfördes ca 160 attacker mot fordon, vilket är en fördubbling mot föregående år då ca 80 attacker utfördes. Vi kan också se att dessa attacker utförs mer och mer av så kallade ”Black Hats”, angripare som avser att skada system eller utföra en kriminell handling.

Arbetssituationen har på kort tid förändrats för många i samhället. Vi är många som försöker anpassa oss och möta de nya kraven och behoven på bästa sätt. Samtidigt har virusspridningen, rädslan för smittan och de konsekvenser den riskerar att medföra, inte minst ekonomiskt, också gett bedragare och andra kriminella nya möjligheter. En ransomwareattack som låser kontorsmiljön eller en falsk faktura som attesteras genom ett intrång riskerar att bli spiken i kistan i en redan ansträngd situation.

Myndigheten för Samhällsskydd och Beredskap (MSB) gav nyligen ut två förslag till nya föreskrifter:

I en allt mer digitaliserad värld kommer snart alla nya fordon att vara uppkopplade via femte generationens telenät (5G). Digitaliseringen av våra fordon är alltså en oundviklig framtid som innebär nya hot mot fordonen, användarna och samhället. Företagen (eller som vi kallar dem, OEMs) måste nu, istället för att vänta och se vad som kommer hända, ta tag i sin produktutveckling och lägga till attributet cybersecurity. I det ingår också underleverantörer och eftermarknadsförmågan. Nedan berättar jag hur.

Vi fick precis reda på att Security Fest är tvunget att ställa in. Det är ett klokt beslut och förståeligt. Men vi vill hålla cybercommunityt igång.

Förmodligen är du som läsare redan väl bekant med din organisations informationssäkerhetspolicy och syftet med den. Frågan är om resterande personal tagit del av och minns vad som står i den? Och vilken inverkan har den egentligen?

Du vet vad PCI Data Security Standard (PCI DSS) är och du har redan påbörjat ditt PCI DSS-arbete. I arbetet har du stött på en situation där du har svårt att se hur du skulle kunna uppfylla ett specifikt PCI DSS-krav. Vad kan du göra?

Totalförsvarets Forskningsinstitut (FOI) analyserar i en ny rapport WannaCry- och NotPetya-attackernas konsekvenser i samhällsviktiga sektorer. Rapporten diskuterar också möjligheten att i framtiden förebygga, eller åtminstone hantera konsekvenserna, av liknande attacker. Som medförfattare till rapporten kommer jag diskutera några av de teman kopplade till hantering av moderna cyberhot som rapporten och arbetet med den aktualiserat, som exempelvis cyberhygien, kontinuitetshantering och informationsdelning vid incidenter.

Riksrevisionen har släppt en rapport om hur föråldrade myndigheternas IT-system är, med följdresultat som dålig effektivitet och säkerhet. Det är egentligen ingen nyhet för oss i branschen. Däremot är det ett direkt resultat av dålig styrning. Låt oss ändra på det.

Företag har krav på sig från sina kunder, myndigheter och ägare att skydda sina informationstillgångar på ett mer strukturerat sätt från cyberhot. Allt oftare står det i media om bolag som inte lyckats skydda sin data. För att hantera situationen på ett mer strukturerat sätt rekommenderar jag ofta våra kunder att arbeta med ledningssystem, där standarden ISO 27001 är den mest välkända standarden.

En viktig del när det kommer till att förbättra cybersäkerheten i en organisation är att få med människorna på tåget. Hur ska man förändra hur människor agerar när det kommer till säkerhet? Mitt examensarbete har undersökt detta och utifrån det försökt besvara hur man kan förbättra säkerheten med hjälp av förändringsledning.

Artificiell Intelligens (AI) har blivit en del av vår vardag. Fler och fler organisationer börjar se nyttan av att använda AI. Men är den etisk, säker och hållbar? Och vilket stöd kan du får när du arbetar med frågorna? Vi har tagit en djupdykning i vilka initiativ som finns för att hitta styrande standarder och metoder samt i hur långt arbetsgrupperna kommit i sitt arbete. Vi ser detta som en av de viktigaste frågorna idag.

PCI Data Security Standard (PCI DSS) är ett krav som ställs mot all hantering av betalkortsdata. Som handlare kan du ta emot betalningar via kort. Som tjänsteleverantör kan du hjälpa handlaren med betalningar, stödja privatpersoner, handlare eller företag med deras betalkortstransaktioner. Banker kan ge ut betalkort eller fungera som inlösare av transaktioner. Alla dessa har gemensamt att betalkortstransaktioner behöver hanteras på ett säkert sätt, skyddat mot dagens och morgondagens cyberhot.

Datainspektionen beslutade tidigare i år att gymnasienämnden i Skellefteå kommun ska betala en administrativ sanktionsavgift för att ha behandlat personuppgifter i strid med dataskyddsförordningen, då man använt sig av kamerabevakning och ansiktsigenkänning för att utföra närvarokontroll. I det här blogginlägget utforskar vi om det går att dra några generella slutsatser av tillsynsbeslutet, särskilt avseende ansiktsigenkänningsteknik, eller om det är fråga om ett beslut som fattats utifrån speciella omständigheter i det enskilda fallet. Vi lutar åt det sistnämnda.

Under två dagar lärde sig sjutton personer om säkerhetshot, skyddsvärden, säkerhetsskyddsanalys och andra viktiga ämnen inom säkerhetsskydd. Det var Knowits första öppna kurs som tidigare endast genomförts mot nyckelkunder. Redan i november genomför vi nästa kurs.

Vi på Knowit får allt mer förfrågningar från kvinnor som är övervakade eller förföljda via mobiler och internet. Därför har jag satt ihop denna bloggpost som innehåller information om vad du kan göra om du misstänker att du är förföljd. Jag börjar med att berätta om hur du gör med ditt digitala fingeravtryck, och ger sedan några praktiska råd på slutet. 

Stadsnäten representerar 50% av Sveriges fiberinfrastruktur och är en viktig kugge för att vårt samhälle ska fungera. Genom ett samarbete med Stadsnätsföreningen utbildar Knowit stadsnät från hela landet i säkerhetsskydd så att de inte bara ska kunna svara upp mot den nya säkerhetsskyddslagen utan framför allt göra Sverige robustare och tryggare.

Den uppdaterade säkerhetsskyddslagstiftningen kan verka komplex och svår att förstå. Vad är det som ska göras egentligen? Vilka steg ska man utföra på vägen och vilka utmaningar står man inför? Och när vet man att man är klar?  Detta är några av de frågor jag försökt besvara denna vår genom mitt exjobb.

Under Security Fest förra veckan släpptes CTF-tävlingen Hack AB som vår kollega Thomas Edoff utvecklat. Nu är den fri för alla att använda.

Ett antal versioner av Microsofts operativsystem har en allvarlig sårbarhet. Den kan även utnyttjas till att skapa maskar vilket gör att stora mängder datorer snabbt kan tas över. Uppdatera nu.

Jag har tidigare arbetat med säkerhet i kommuner och ser att de återigen glömts bort i det nationella säkerhetsarbetet. Det är av största vikt att vi, både lokalt och nationellt, tillsammans arbetar med Sveriges säkerhet. Jag ska försöka förklara problematiken och föreslå några förändringar.

On Tuesday, it became public that Hydro had suffered from a major cyber security attack – probably the largest in Norwegian history. In this blog post, I will explain the background, what we know today and some lessons learned.

Den 7 februari beslutade den tyska konkurrensmyndigheten Bundeskartellamt att förbjuda Facebook från att samla in personuppgifter om tyska användare från andra webbplatser än Facebook.com utan ett frivilligt samtycke från användaren.

Datainspektionen meddelar nu en första inspektion av en av parterna kring rådgivningsnumret 1177 Vårdguiden. Företaget som inspekteras är Voice Integrate Nordic AB som utförde och lagrade de olika röstinspelningarna från sjukvårdsrådgivningen på en server åtkomlig för obehöriga.

Med mindre än en månad kvar till Brexit är utträdesavtalets varande eller icke varande fortfarande en öppen fråga. Vad händer om EU och Storbritannien står utan ett avtal efter den 30 mars?

Utan ett avtal (no-deal Brexit) kommer Förenade kungadömet England, Skottland, Wales och Nordirland att betraktas som ett tredjeland av EU. Som en följd av detta kommer all laglig överföring av personuppgifter från EES till Storbritannien att behöva behandlas genom antingen godkända skyddsåtgärder eller undantagsbestämmelserna i artikel 49 i GDPR. Detta eftersom Storbritannien i formell mening inte är att betraktas som ett säkert land efter utträdesdagen, trots att UK kommer att fortsätta att tillämpa en variant av GDPR. För att erhålla status som ett säkert land krävs att EU-kommissionen har fattat ett s.k. adekvansbeslut, något som Japan nyligen fick åtnjuta efter flera års förhandlingar. Godkända skyddsåtgärder för överföring till tredjeland vid avsaknad av ett adekvansbeslut är bl. a. standardavtalsklausuler (SCC), bindande företagsbestämmelser samt godkända certifieringar eller uppförandekoder som medger ett adekvat skydd för de registrerades fri- och rättigheter. Personuppgifter från Storbritannien till EES kommer däremot att få flöda fritt, som tidigare, enligt den brittiska regeringen.

Jag var på Axiomatics event i Stockholm den 6e och 7e februari och fick en intressant inblick i hur några stora internationella företag tänker om sina framtida behov inom behörighetsstyrning. De hade nämligen ställt just den frågan till samtliga kunder. 

Under torsdagsmorgonen, sista dagen i februari, anordnade Knowit Insight – Cybersecurity & Law i Göteborg ett frukostseminarium om Sveriges nya Säkerhetsskyddslag (2018:585) som träder i kraft 2019-04-01. Det var ett välbesökt och uppskattat seminarium vilket visar på hur aktuellt ämnet är för regionens berörda myndigheter och företag. För flera verksamheter kommer de för första gången att träffas direkt av kraven på säkerhetsskydd, vilket förstås engagerar. Det reflekterades av  den uppskattade frågestunden som hölls i slutet av seminariet.

Sjukvård har under senare år ofta angripits av ransomware. Vilka effekter har detta fått för drabbade aktörer? Och finns det några återkommande förklaringsfaktorer – såsom bristande uppföljning, riskbeteende eller teknik? Med anledning av det nyligen införda NIS-direktivet, som berör samhällsviktiga informationssystem, har jag tittat närmare på dessa frågor.

Knowit vill vara med i skapandet av ett digitalt samhälle där alla kan känna sig trygga. En del av detta är att stötta de verksamheter som på olika sätt är viktiga för det samhälle vi alla är en del av.

Den 23 januari 2019 antog EU-kommissionen ett s.k. adekvansbeslut om att godkänna Japan som ett säkert land för överföring av personuppgifter från EU. Japan har på motsvarande sätt beslutat att tillåta fri överföring av personuppgifter från Japan till EU. De två besluten är resultatet av två års dialog och förhandlingar parterna emellan som öppnar upp för ett fritt flöde av personuppgifter mellan två av världens största ekonomier, utan att ge avkall på grundläggande dataskydd och respekt för enskildas fri och rättigheter.

Den 21 januari i år utfärdade den franska tillsynsmyndigheten (CNIL) administrativa sanktionsavgifter på 50 miljoner Euro mot Google LLC. Det är det hittills högst utdömda beloppet sedan GDPR trädde ikraft den 25 maj 2018. Beslutet är en följd av två klagomål som inkommit till myndigheten från None of Your Business (NOYB) och La Quadrature du Net. Båda organisationerna är ideella föreningar som värnar om konsumenters rättigheter och skydd på nätet. Klagomålen handlade om hur Google samlar in och använder platsdata (lokaliseringsuppgifter) från användare av Android-telefoner i Frankrike.

Vardagen som pentestare kan vara minst sagt varierande. Den här veckan arbetar Oliver Rickfors, som är en del av Knowit Insights pentestteam, från Svalbard. Han hälsar:

Allt fler hushåll och företag använder produkter som är kopplade till internet. De kan göra både vardagsliv och jobb enklare och mer effektivt, men innebär också säkerhetsrisker.

Vår kollega Åsa Schwarz blev nyligen intervjuad i SVT Nyheter om just riskerna med IoT-produkter. Hon anser att tillverkarna av IoT-produkterna bör säkerhetsmärka dem samt hållas ansvariga för säkerheten i produkterna.

– Vi har inga krav på produkter när det gäller it-säkerhet. Vi behöver en ny lagstiftning och bättre konsumentupplysning. Vi måste ha säkra produkter. Det är ett stort säkerhetsproblem idag, säger Åsa.

Vi vill skapa ett digitalt samhälle där alla medborgare känner sig trygga. Tyvärr är det inte så idag. Därför lägger vi i en ny växel. Vill du vara med?

Lagom till julledigheterna kommer en extra klapp från Microsoft. De har precis släppt en extra säkerhetsbulletin (out-of-band) (CVE-2018-8653) för en "0-day"-sårbarhet i Internet Explorer som ger möjlighet till remote code execution (vilket innebär möjlighet för en angripare att exekvera godtycklig kod på ett system oavsett vart det befinner sig på Internet). 

Fullt hus under seminariet om den nya säkerhetsskyddslagen och utredningen med kompletteringar till densamma.

Igår hölls ett eftermiddagsseminarium hos Knowit i Stockholm på temat ”Vad innebär den nya säkerhetsskyddslagen och hur kan ett nytt tillsyns- och sanktionssystem komma att se ut”. Aldrig tidigare har ett seminarium blivit fullbokat så snabbt, vilket visar hur högaktuellt ämnet säkerhetsskydd är. I april nästa år träder en ny lag och förordning i kraft och många verksamheter kommer då för första gången att träffas direkt av kraven på säkerhetsskydd. Så sent som i fredags, den 30 november, lämnade också den särskilde utredaren Stefan Strömberg in sitt betänkande Kompletteringar till den nya säkerhetsskyddslagen, i vilket han presenterar förslag till en ny tillsynsstruktur, hårdare krav vid utkontraktering av säkerhetskänslig verksamhet samt ett sanktionssystem under nya säkerhetsskyddslagen. Bara några dagar senare kom han till Knowit för att berätta om huvuddragen i sina slutsatser. Här följer en kort summering av höjdpunkterna från seminariet:

För att få verkningskraft i sitt säkerhetsarbete krävs engagemang från både ledning och verksamhet - men hur får vi det? Hur får vi ledningen att förstå varför vi behöver lägga tid, pengar och resurser på säkerhet?