Samlade tankar inom cybersäkerhet & juridik

I vårt förra blogginlägg gick vi genom autentisering och hur vi åstadkommer det på bästa sätt. När vi vet vem du är så kan vi släppa in dig… Eller? Kan vi det? Efter autentisering  kommer nästa steg, auktorisation. Auktorisation innebär att ta reda på vad du får göra och begränsa din åtkomst utifrån det. I detta blogginlägg ska vi guida dig hur detta kan göras och vad man behöver tänka på.

Civil Rights Defenders (CRD) och Knowit har startat ett samarbete för att öka kunskapen om cybersäkerhet för ideella organisationer som arbetar under extrema förhållanden, som t.ex. med säkerhet för aktivister i diktaturer eller krigssituationer som i Ukraina. Det här skapar nya hotbilder och andra förutsättningar än företag och myndigheter i fredstid samtidigt som organisation och resurser är helt annorlunda än t.ex. hos en försvarsmakt.  

Till alla er som ägnar otåliga timmar framför sociala medier (eller andra digitala plattformar), även om ni förnekar det, finns det något att hålla utkik för, nämligen Digital Services Act. Även om vi alla har åsikter om sociala medier – vi hatar dem, vi älskar dem, vi ignorerar dem – så finns de i våra liv och upptar vår tid. Och även om du har slutat använda Facebook för länge sedan, så kanske du i stället skaffat dig ett LinkedIn-beroende.

Autentisering handlar om att tala om vem jag är – jag måste bekräfta att jag är den jag utger mig för att vara. Det finns många olika sätt att göra detta på och flera faktorer styr hur det görs. Dels vill vi göra det på ett säkert sätt, dels vill vi göra det enkelt för slutanvändaren.

Ransomware-attacker blir alltmer vanligt förekommande – den globala volymen attacker ökade med närmare 100% mellan 2020 och 2021 enligt en rapport från nccgroup. En ransomware-attack innebär att en förövare får obehörig tillgång till ett internt nätverk eller system, följt av att skadlig kod exekveras vilket krypterar filer och gör hela eller delar av systemet obrukbart. I det påverkade systemet hittar man ofta ett meddelande som begär att en lösensumma ska betalas i utbyte mot att systemet dekrypteras. Oftast är det större organisationer som har möjlighet att betala ut mer pengar som utsätts för ransomware, men även mindre organisationer samt privatpersoner kan ligga i riskzonen.

IAM (Identity and Access Management) är samlingsbegreppet för hanteringen och kontrollen av identiteter, konton och behörigheter. Det leder oss till frågan: vad är en identitet? Denna fråga besvarar vi i detta blogginlägg, som är del ett i Knowits bloggserie om IAM. I kommande inlägg, som kommer att publiceras på vår blogg under de kommande veckorna, berättar vi bland annat mer om autentisering och auktorisering.

Säkerhetsskyddslagen syftar till att säkerställa att myndigheter, företag, kommuner m.fl. som bedriver säkerhetskänslig verksamhet har ett adekvat säkerhetsskydd. I detta blogginlägg resonerar jag kring vilka hoten som verksamheterna ska skydda sig emot är och ställer mig frågan om det ens är praktiskt möjligt att i alla lägen skydda säkerhetskänslig infrastruktur. 

Ni har hört talas om det nya anpassade tillvägagångssättet i PCI DSS 4.0 som gör det möjligt för organisationer att möta PCI-kraven på ett alternativt sätt. Nu kan er första tanke vara att det bara har blivit lättare att klara PCI, för om något missas kan ett anpassat tillvägagångssätt användas för att komma runt det. Men så enkelt är det inte. “Customized Approach”-metoden är avsedd att uppfylla ett PCI-kravs mål på ett annat sätt än vad som anges i kravet. Snarare än en reaktion på en missad kontroll, är detta en tydligt planerad strategi för organisationen.

I december 2020 publicerade EU-kommissionen ett förslag till direktiv gällande resilience of critical entities, det så kallade CER-direktivet. Än så länge finns ingen ytterligare version att tillgå än det ursprungliga förslaget. Det vi har att förvänta oss, oavsett hur förslaget slipats i de olika instanserna, är emellertid ett direktiv som reglerar just vad namnet antyder: motståndskraften hos kritiska verksamheter. Enligt de senaste uppgifterna förväntas signering och publicering av direktivet ske nu i december.

När man tittar på de risker som finns för bolags säkerhet är det allmänt vedertaget att risken står i korrelation med attackytan. Att bara minska attackytan är dock inte alltid en möjlighet då det kan finnas andra funktionella eller icke funktionella krav. Dock behöver man veta sin risk för att kunna göra en bra avvägning, och tyvärr görs ofta denna avvägning bara en gång och sedan glöms den bort. Hur många IT-avdelningar kan på rak arm säga vad de har för system, och vilka av dessa exponeras mot internet?  

I den ena vågskålen har vi krig, pandemier och energikris. I den andra har vi snabb digitalisering, en teknikutveckling som börjar likna en science fiction-film och kampen för en grönare miljö. Oavsett om det är förskräckliga orsaker eller önskan om att sträva mot en bättre värld, så har cybersäkerhet blivit den viktigaste byggstenen i vår digitala framtid. Den 1 oktober startade cybersäkerhetsmånaden och jag ska försöka sammanfatta var vi står idag och vad som händer runt hörnet.

Syftet med denna text är att mana till förberedelser så att alla intressenter kan vara med och aktivt påverka den svenska utformningen av NIS2. För även om formen för genomförandet i svensk reglering ännu inte är given så kan vi med säkerhet säga att kvalitén på den kommande regleringen är beroende av att den samlade kompetensen inom hela samhället får möjlighet att påverka….

Den uppdaterade PCI DSS 4.0 har förtydligat och utvidgat omfattningen för var standardens krav ska appliceras. Från och med uppdateringen gäller PCI DSS-krav för:
 

Visste du att signifikanta incidenter mot nätverk och informationssystem ska rapporteras in centralt om din verksamhet träffas av det kommande NIS2-direktivet, och i vissa fall måste man även berätta för de som använder tjänsterna vad som hänt och hur de i sin tur kan skydda sig. Här får du reda på vilka incidenter som ska rapporteras, till vem, när, och vad de olika incidentrapporterna ska innehålla. 
 

Nu är den uppdaterade och förbättrade PCI DSS 4.0-standarden gällande. Krav på att uppfylla standarden omfattar alla handlare och deras leverantörer av betalkortlösningar. Kravställande på dessa aktörer är alla kreditkortsföretag tillsammans samt banker som hanterar kortbetalningar.

Kära dataskyddsvänner! Nu är det dags för många att lämna solstolen och börja jobba. Känslan av den nya terminen har i alla fall infunnit sig hos mig, även om solen skiner ute och det är sommar. Jag har ju nu redan arbetat i flera veckor hos en ny kund. För oss konsulter som arbetar hos flera verksamheter kan tre veckors arbete hos en ny kund ibland kännas som om man har varit i den verksamheten i flera år. Det är en av de saker jag uppskattar med att vara konsult. Att komma nära verksamheterna på kort tid.

Det har skrivits mycket om den kommande NIS2.0, men relativt lite om vad regleringen kommer att innebära konkret för de verksamheter som träffas. I och med NIS2s utökade tillämpningsområde kommer antalet organisationer som träffas av bestämmelserna kraftigt att öka – förmodligen minst fördubblas i Sverige. Det har också tillkommit ett större krav på styrelser både när det gäller ansvar och kompetens inom cybersäkerhet. Vi kommer här kort redogöra för de nya kraven och avsluta med några reflektioner. 

Det blåser dataskyddsvänliga och blocköverskridande vindar på andra sidan Atlanten, men vi är fortfarande långt ifrån en amerikansk federal dataskyddslag. I detta blogginlägg sammanfattar vi vad vi vet om det senaste lagförslaget på en amerikansk GDPR, American Data Privacy and Protection Act (ADPPA). I korthet innebär ADPPA förslag på nya nationella standarder för företags behandling av konsumentdata, i bland annat dataminimeringssyfte. 

Den europeiska marknaden för medicinteknik regleras sedan 26 maj 2021 av förordningen för medicintekniska produkter (Medical Device Regulation, MDR) och förordningen för in-vitrodiagnostik (In-vitro Diagnostic Regulation, IVDR). MDR och IVDR syftar båda till att uppnå hög säkerhet och kvalitet hos medicintekniska produkter som tillverkas, importeras till eller säljs inom EU. Hur påverkas ni och era produkter av det nya regelverket? 

För tillfället pågår en stark innovationstrend inom banksektorn, till exempel ökar användningen av artificiell intelligens (AI) som ett verktyg för att effektivisera dagliga aktiviteter hos aktörerna. Användningen påverkas av en ökad frekvens av cyberattacker, uppkomsten av DORA och AI Act, och mer kraftfulla AI-drivna system. Banksektorns roll i samhället gör att det är viktigt att förstå hur aktörer hanterar risker relaterade till AI. Vår studie analyserar hur organisationer kan minska dessa risker och hur det påverkar riskhanteringsprocessen. För att undersöka implementeringen av AI i banksektorn genomförde vi intervjuer med konsulter på Knowit och personer som arbetar i branschen, alla med erfarenhet av AI, cybersäkerhet och/eller riskhantering.

Det finns ett välkänt uttryck inom kryptografi som lyder: “don’t roll your own crypto”. Uttrycket handlar inte nödvändigtvis om att man inte ska skriva egna krypteringsalgoritmer (även om det oftast är en dum idé) utan om att man inte ska försöka sig på att implementera krypteringsscheman själv. För att illustrera riskerna med detta kommer jag i detta blogginlägg ge exempel på en enkel attack på en fortfarande vanlig implementation av AES.

eHälsa och forskning är områden som vi på Knowit Cybersecurity & Law är lite extra intresserade av eftersom framsteg på området ger stor samhällsnytta (vem vill inte bidra till att bota våra allvarligaste sjukdomar?!) och dessutom ger upphov till många intressanta frågor både när det gäller juridik och säkerhet. I den här bloggen utforskar vi en av de juridiska frågorna lite närmare, nämligen den om fördelningen av personuppgiftsansvaret i samband med kliniska studier.

Ni dataskyddsnördar som flitigt scrollar flödet på dataskyddsnyheterna på LinkedIn, kan ha gjort samma observation som jag har gjort; nämligen alla oändliga inlägg om alla tillsynsbeslut som tillsynsmyndigheterna i EU producerar i högt tempo. Ibland känner man som dataskyddsjurist att man behöver be sin arbetsgivare om en halvtidstjänst bara för att kunna hålla sig uppdaterad inom området.

En stor utmaning för de allra flesta är att vi idag har mängder av olika konton online. Samtidigt är det viktigt att välja ett unikt och starkt lösenord till respektive tjänst, för att skydda sig mot intrång. Men hur ska vi kunna komma ihåg alla dessa lösenord? Det går ju inte?

Det har gått snart två år sedan EU-domstolen ogiltigförklarade det vanligaste verktyget för lagliga dataöverföringar mellan EU och USA och samtidigt uttalade att Standardavtalsklausuler (SCC:er) kräver ytterligare åtgärder för överföringar till specifikt USA. För att, på laglig väg, använda molnbaserade HR-system behöver ni genomföra en djupare analys enligt de obligatoriska steg som vi, i detta blogginlägg, går igenom. 

I april 2021 kom Europeiska kommissionen med förslag till förordning om harmoniserade regler för artificiell intelligens (AI-förordningen).¹ I det här inlägget presenteras en översiktlig granskning av förslaget och Europaparlamentets resolution om en skadeståndsordning för artificiell intelligens. Utgångspunkten i granskningen är frågan om ansvarsfördelning vid utomobligatoriska sakskador relaterade till AI och huruvida förslagen kan bidra till ett klart, tydligt och förutsebart rättsläge i fråga om ansvarsfördelning. Inlägget är baserat på min nyligen publicerade masteruppsats på ämnet.²

I januari i år flög ett antal drönare in och över kärnkraftverk runt om i Sverige och blev omedelbart riksnyheter. Drönarna som setts över Ringhals, Forsmark och Oskarshamn gav upphov till frågor avseende vem som styrde dem och varför de flög över svenska kärnkraftverk – frågor som allmänheten ännu inte fått svar på. Det kanske inte förefaller som en stor grej för vissa av oss. Vad är skadan med att flyga en drönare över några byggnader?

I veckan fick jag frågan från en av Knowits kunder; om man innehar en certifiering för ISO 27001, efterlever man även informationssäkerhetsstandarden TISAX? I texten nedan kan du läsa om mina efterforskningar och vad jag kom fram till.

En stor del av Sveriges säkerhet och bolags säkerhet ligger i vår omvärld; det är inte bara säkerheten inom Sverige eller inom bolaget som avgör. Ett för säkerhetsskydd tangerande område är därför exportkontroll och sanktioner, som stadigt blivit mer och mer aktuellt under senare år och nu nått ytterligare en aktualitetstopp i och med Rysslands invasion av Ukraina. Exportkontroll och sanktioner är begrepp som ofta nämns tillsammans, de har dock olika ändamål, även om de är tätt sammanflätade.

Nu får ni, såsom jag tidigare har lovat er, ett nytt inlägg om det nya spännande regelverket EU Data Act. Ni undrar säkert varför vi ska ha en till reglering som har något med ”Data” att göra. Det är dessutom ett ganska omfattande regelverk som kommer (utifrån utkastet) att bestå av 42 artiklar och 90 skäl. I det här inlägget tänker jag ge er bakgrunden till denna reglering och hur EU-kommissionen har motiverat den, samt hur regleringen förhåller sig till GDPR.

Nedan kommer jag att besvara de vanligaste frågorna vi får om den nya EU-förordningen som är på gång gällande cybersäkerhet och cyberresiliens inom finanssektorn.

Säkerhetspolisens nya föreskrifter om säkerhetsskydd trädde i kraft den 1 mars i år. I detta inlägg presenteras ett urval av de viktigaste förändringarna men det görs inte anspråk på att vara en heltäckande redogörelse över samtliga förändringar.

I detta andra blogginlägg i vår bloggserie om GDPR i relation till HR, djupdyker vi i en av grundprinciperna för dataskydd, nämligen öppenhetsprincipen, och vad det innebär för er HR-funktion i praktiken. För att ta del av vårt första inlägg i serien, som ger en överblick över digitaliseringen av HR, klicka här. 

Många organisationer förlitar sig på tredjepartsleverantörer för att exempelvis leverera produkter eller system. För många företag är detta en stor fördel och ofta även en nödvändighet, men det innebär också minskad säkerhet och kontroll. Nyligen deltog Richard Oehme, senior managementkonsult med fokus på samhällssäkerhet och cybersäkerhetsfrågor på Knowit, i ett seminarium om just tredjepartsrisker hos den Brittiska ambassaden i Stockholm.

Detta är det fjärde och sista blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhetsspecialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv.  

Den 9 mars 2021 presenterade EU-kommissionen sin vision för EU:s digitala omställning fram till 2030. Ett resultat av denna omställning är bl. a. ett antal nya regelverk som kommer att påverka de flesta av oss i Europa. Bland dessa regelverk har vi bland annat förslaget om ett nytt regelverk beträffande AI. I förslaget om den nya AI-förordningen delas AI-system in i olika nivåer beroende på risken för de grundläggande mänskliga rättigheterna. Förslaget är omfattande och innehåller otydligheter mellan tillämpningen av detta regelverk och dataskyddsregleringen i GDPR.

I dagarna har den nya utgåvan av ISO/IEC 27002 publicerats. I detta nu läses och nagelfars den säkerligen världen över av informationssäkerhetsexperter i olika roller. Visst är den efterlängtad och innehåller en hel del modernisering och förändringar, men den kommer också att medföra en hel del arbete och kanske en del förvirring. Här beskriver jag de viktigaste förändringarna gentemot den förra versionen och några av mina reflektioner så här långt.

I egenskap av en, för verksamheten, kritisk funktion, är en välfungerande, GDPR-compliant, HR-funktion ett viktigt steg i rätt riktning mot en, överlag, hygienisk personuppgiftshantering. Den enorma mängd data som anställda genererar och som organisationen ska samla in, bearbeta och spara på ett korrekt sätt, gärna i ett nytt system, innebär nya typer av svårigheter. I denna bloggserie om GDPR och HR-system kommer vi att belysa några av de största juridiska hinder som digitaliseringen av er HR-funktion stöter på och förklara hur ni kan ta er förbi dem. 

Detta är det tredje blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv. 

1926 avfyrade Robert Goddard, ofta kallad rymdraketens fader, en raket driven med flytande bränsle. 1957 blev dåvarande Sovjetunionen först i världen med att skicka upp en rymdfarkost i omloppsbana runt jorden – Sputnik, sedan har det rullat på. Rymden har alltid fascinerat människan och vi har sett stora möjligheter att nyttja rymden inom olika områden.

Detta är det andra blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv. Här kan du läsa det första inlägget.

I fredags – den 28 januari – firade vi på Knowit dataskyddsdagen för att höja medvetenhet om hur vi som organisation internt och till kunder kan förmedla ett ännu vassare dataskyddsarbete som sträcker sig över flera kompetensområden.

Stoppa pressarna, neka alla cookies och läs mer om hur vi behandlar dina personuppgifter i vår integritetspolicy för idag, den 28 januari, äger den internationella dataskyddsdagen rum. Vi på Knowit vill uppmärksamma denna dag för att påminna om vikten av dataskydd.

I takt med samhällets digitalisering är säkerhet ett område som blir allt mer viktigt. I samband med det är det även av stor vikt att it-och informationssäkerhet är en naturlig och central del av datavetenskapliga utbildningar – vilket tyvärr inte alltid är fallet idag. Därför tycker jag att det är extra kul att ha fått möjligheten att samarbeta och bidra med säkerhetsrelaterade föreläsningar hos Uppsala universitet.

I skrivande stund har två beslut publicerats gällande webbsideansvarigas användning av Google Analytics. I båda besluten kom tillsynsmyndigheten fram till att implementering av Google Analytics på webbplatsen innebar att webbsideansvarige bröt mot kraven på skydd av personuppgifter i GDPR. I detta blogginlägg har besluten sammanfattats och analyserats för att klargöra vad detta betyder för dagens webbanalys.  
 

Det finns flera fördelar med att certifiera sin organisations säkerhetsarbete. Men det är långt ifrån alla som gör det. Varför är det så? Här nedanför går jag igenom sju anledningar till varför du bör certifiera din organisation enligt ISO/IEC 27001.

Svaret är enkelt. Man ser framför sig en enorm byråkrati som ska upprätthållas. Dokument som ska skrivas och förvaltas. Möten och workshops för att komma fram till självklarheter. Drivor av icke-förvaltningsbara excelark för uppföljning. Detaljstyrning. Säkert finns det även en rädsla för att dra på sig åtaganden som kostar mer än de smakar.

Med anledning av de ändringar i säkerhetsskyddslagen (2018:585) som kommer träda i kraft den 1 december 2021, lanserade Knowit i höstas en bloggserie om systematiskt säkerhetsskyddsarbete. I sex inlägg har våra medarbetare redogjort för utvalda delar av ett ledningssystem för säkerhetsskydd samt delat med sig av erfarenheter och råd från fältet. 

Under våren 2021 startade Knowits säkerhetsskyddsteam ett nyhetsbrev om säkerhetsskydd. Vi är glada över att se att detta har mottagits positivt när vi i förra veckan publicerade vårt tredje nyhetsbrev i serien. Syftet med nyhetsbreven är att vi på Knowit vill bidra till kunskap och medvetandehöjning i hela samhället om säkerhetsfrågor generellt och säkerhetsskydd specifikt, vilket vi fortsätter att göra till vår bästa förmåga.

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. Förra gången skrev Victor Langåssve och Christel Manner i blogginlägg fem om säkerhetsskyddsklassificeringar. Denna vecka har vi kommit till inlägg 6 i serien, där Sebastian Tham beskriver hur man skapar goda förutsättningar för utbildning kopplat till säkerhetsskydd och varför detta är så viktigt. Mycket nöje!

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. 

I förra veckan fördjupade sig 17 deltagare i säkerhetsskydd genom Knowits grundläggande tvådagarsutbildning. Utbildningen innehöll allt från säkerhetsskyddsanalysens olika delar, såsom skyddsvärden och säkerhetshot, till säkerhetsskyddets åtgärdsområden och de nya krav som sannolikt kompletterar säkerhetsskyddslagen redan den 1 december i år.

Höstens webbinariumserie om det smarta samhället fortsatte med att Johanna Grundberg och Tomas Rimming berättade om och diskuterade ”Säker och laglig informationsdelning i ett smart samhälle”. I detta inlägg kan du se det inspelade webbinariet och läsa en sammanfattning. 

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. Förra gången berättade Sven Johnard, i bloggseriens tredje inlägg, bland annat om analys av sårbarheter kopplat till säkerhetsskyddsanalysen. Denna vecka har vi kommit till inlägg 4 i serien, där Sebastian Tham diskuterar effektiv prioritering av säkerhetsskyddsåtgärder. Mycket nöje!

Den 4 juni 2021 antog EU-kommissionen nya standardavtalsklausuler för överföring av personuppgifter till tredje land samt standardavtalsklausuler för personuppgiftsbiträdessituationer. Båda uppsättningarna standardavtalsklausuler började gälla den 27 juni 2021.

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt delar med sig av sina erfarenheter från området. 

Möjligheten att djupdyka i vad som kan upplevas som en oändlig tillgång av webbdata från verktyg som Google Analytics har länge varit en lyx som analytiker och andra intressenter tagit för givet. På senare tid har regleringen på dataskyddsområdet förtydligats och branschen har fått nya regler att förhålla sig till, kort och gott för att värna om besökarnas integritet. Vad innebär de nya reglerna för digital analys? Kommer man inte längre kunna följa upp besökares beteende och utfall av olika kampanjer? Ser vi slutet på ”data-eran”? I del 3 av vår bloggserie försöker vi reda ut en del frågetecken och ge svar på några av de frågor vi fått från både kunder och kollegor den senaste tiden.  

För att sprida kunskap och belysa området säkerhetsskydd har Knowit lanserat en bloggserie. I sju inlägg redogör våra medarbetare för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området.

För att sprida kunskap och belysa området säkerhetsskydd lanserar Knowit en bloggserie. I sju inlägg kommer våra medarbetare att redogöra för utvalda delar av vad som bör ingå i ett systematiskt säkerhetsskyddsarbete samt dela med sig av sina erfarenheter från området. 

Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den andra delen i en serie inlägg om cookies där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. vilka tekniker som omfattas av cookielagen, om en cookie kan vara en personuppgift och om Google Analytics är lagligt. Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se.

Cookies för webbspårning har under den senaste tiden blivit uppmärksammat av media och Integritetsskyddsmyndigheten (IMY). Höga sanktionsavgifter kan delas ut till företag som inte följer reglerna och samtidigt blir webbspårning allt viktigare för verksamheter. Detta blogginlägg är den första delen i en serie inlägg om cookies, där vi kommer ta upp och svara på en mängd olika frågeställningar, t.ex. hur företag ska hantera dataskyddsreglerna, vilka tekniker omfattas av cookielagen, vad samtyckeskraven innebär för digital analys och hur företag kan jobba datadrivet och samtidigt leva upp till de krav som finns? Serien består av fyra delar och i den avslutande delen kommer vi svara på era frågor. Passa på att mejla oss dina frågor redan nu till johanna.grundberg@knowit.se. 

Under våren har vi analyserat svenska myndigheters skugg-it, närmare bestämt molntjänster som personalen använder utan att de är upphandlade på korrekt sätt. Analysen indikerar på att en stor andel obehöriga molntjänster används, varav 92,5% är amerikanska. Det här innebär i sin tur att till exempel personuppgifter hanteras på ett olagligt och felaktigt sätt. 

”Sverige har nu etablerat sitt nationella cybersäkerhetscenter. Det är bra men det räcker inte. För att skapa ett resilient cyberförsvar i fred, kris och ytterst krig behöver såväl den nationella, regionala och kommunala nivån ta ytterligare steg i att bygga sin cybersäkerhetsförmåga.” Det skriver Richard Oehme, senior rådgivare inom samhällssäkerhet på Knowit, i det senaste numret av Allmänna Försvarsföreningens tidskrift 'Vårt Försvar'. I artikeln belyser Richard vikten av en mer samlad styrning av cybersäkerhetsfrågor, och av att Sverige, som ett av världens mest digitaliserade länder, agerar nu för att trygga vårt samhälle. 

Idag väljer många företag att köpa in tjänster från externa leverantörer. Det har därför uppstått krav på att få en pålitlig, periodisk och transparent granskning av leverantörers processer, tillhörande kontroller och deras förmåga att fullgöra informationssäkerhetskrav. Ofta förekommer det att en kund i sin förfrågan till en leverantör efterfrågar en tredjepartsrapport enligt International Standard on Assurance Engagements. En bra rapport medför att kunden blir försäkrad om att tjänsteleverantören har förmåga att hantera kundens information utan att den förstörs, ändras eller sprids utom kontroll.

Knowits säkerhetsskyddsteam startar i veckan ett nyhetsbrev om säkerhetsskydd. Syftet är att vi på Knowit vill bidra till kunskap och medvetandehöjning i hela samhället om säkerhetsfrågor generellt och säkerhetsskydd specifikt.

Vad innebär kravet på internationellt säkerhetsskyddsåtagande och varför behövs det? Gäller bestämmelsen endast informationsutbyte? Vilka konsekvenser medför bestämmelsen för svenska verksamhetsutövare och gäller villkoret både för allmänna och enskilda verksamhetsutövare? Detta är några av de frågor jag tänkte diskutera och utveckla kring i detta blogginlägg.  

Att vara QSA (Qualified Security Assessor) är en väl bevarad hemlighet som väldigt få i säkerhetsbranschen känner till. Jag är QSA och har världens bästa arbete. I detta blogginlägg får du veta varför.

Under våren har Militära underrättelse- och säkerhetstjänsten (MUST), Säkerhetspolisen (SÄPO) och Försvarets radioanstalt (FRA) släppt sina årsböcker för 2020, och Nationellt centrum för terrorhotbedömning (NCT) har även släppt sin helårsbedömning för 2021. Därför tänkte jag ta tillfället i akt att sammanfatta dem i detta blogginlägg. Gemensamt för alla årsböcker är att myndigheterna ser en trend där säkerhetshoten ökar – och kommer att fortsätta öka de närmaste åren.

Allt fler applikationer förflyttas från att hanteras lokalt i ett företag till att hamna i molnet. Då antalet applikationer kan bli många så har single sign-on-lösningar (SSO) blivit allt viktigare för att hantera alla användare och deras rättigheter. Med SSO slipper en anställd logga in i varje applikation, så som mail, Office eller användarportal, på sin dator utan behöver endast logga in en gång – därav namnet single sign-on. Detta gör också att det finns en central plats för alla konton, lösenord och användaruppgifter. Men trots de många fördelar som SSO medför är det inte alltid en enkel process att sätta upp ett autentiseringsflöde. 

För några veckor sedan kom det som vi i säkerhetsskyddskretsar väntat så länge på; regeringens förslag med kompletteringar till säkerhetsskyddslagen. Lagrådsremissen innehåller en rad nya krav på verksamhetsutövarna i kombination med större möjligheter för tillsynsmyndigheterna att agera mot de som inte lever upp till kraven.

För några veckor sedan kom det som vi i säkerhetsskyddskretsar väntat så länge på; regeringens förslag med kompletteringar till säkerhetsskyddslagen. Utredningen som ligger till grund för förslagen presenterades redan i slutet av 2018 (SOU 2018:82) och vi har alltså fått vänta i dryga två år på att få närmare inblick i hur regeringen resonerar. Nu är det emellertid tänkt att gå fort; redan den 1 december är förändringarna tänkta att träda i kraft. Det ger verksamhetsutövarna kort om tid för att anpassa verksamheten till kompletterande regler. Det innebär också att tiden är knapp för att komma till rätta med eventuella brister i det existerande säkerhetsskyddet – brister som kan komma att generera sanktioner om förslagen blir verklighet. 

Fram till den 1 januari 2021 innehöll säkerhetsskyddslagstiftningen inte några bestämmelser som innebar en uttrycklig skyldighet för verksamhetsutövare att pröva lämpligheten av en överlåtelse, eller som gav tillsynsmyndigheterna möjlighet att ingripa mot eller förhindra en överlåtelse som är olämplig från säkerhetsskyddssynpunkt. Det har nu införts genom bestämmelser i säkerhetsskyddslagstiftningen.

För några veckor sedan väcktes åtal för spionage mot en person som arbetat som konsult i svensk högteknologisk verksamhet. Personen misstänks för att under flera års tid ha tillhandahållit information om sina kunders verksamhet till rysk underrättelsetjänst. Ärendet är intressant på flera sätt, inte minst eftersom det på ett mycket tydligt sätt illustrerar vikten av att ha kontroll över vilka som släpps in i den egna verksamheten.

Den 16 december 2020 presenterade EU-kommissionen ett förslag¹ till en uppdatering av det s.k. NIS-direktivet. Jag skulle vilja passa på att här dela med mig av några reflektioner från min första genomläsning av förslaget.

Jag hade nyligen förmånen att tillsammans med kravspecialister och jurister, delta i en teamleverans till en av våra svenska myndigheter. Myndigheten ifråga hanterar mycket pengar och bedriver verksamhet i många länder även utanför Europa. Precis som många andra organisationer arbetar man hårt för att digitalisera och effektivisera verksamheten och nu var turen kommen till den kostsamma hanteringen av papper med bläckunderskrifter.

I januari 2021 lämnade Integritetskyddsmyndigheten (tidigare Datainspektionen), IMY, över sin första integritetsskyddsrapport till regeringen. Rapporten är en del av IMY:s nya uppdrag att vart fjärde år lämna en redovisning av utvecklingen inom dataskyddsområdet till regeringen. IMY:s slutsats är att Sveriges ambitiösa digitaliseringspolitik behöver kompletteras med en tydlig och konkret integritetsskyddspolitik. I detta blogginlägg sammanfattar vi några av de viktigaste punkterna som IMY lyfter fram i sin rapport.

Cybernode är en svensk nod som arbetar för att accelerera innovation och forskning inom cybersäkerhet. Genom att samla näringsliv, akademi och offentlig sektor kommer projektet att identifiera, prioritera, initiera och driva forsknings- och innovationsaktiviteter inom cybersäkerhetsområdet.

(I detta inlägg refererar jag till vissa engelska definitioner, då svenska saknas) 

Nu när vi är inne på 2021 tänkte jag passa på att sammanställa några nyheter inom säkerhetsskydd från hösten som gått, vilket du inte vill missa!

Att certifiera sig inom ett kompetensområde är ett vanligt sätt att få ett erkänt kvitto på att man har tillskansat sig vissa kunskaper och besitter relevanta erfarenheter. Certifieringar kan jämföras med kvalitetsstämplar som är accepterade av branschen. De är ett sätt för arbetsgivare att säkerställa att personen är den hen påstår och för exempelvis upphandlande myndigheter att säkerställa leverantörens förmåga. Det är naturligtvis inte det viktigaste i en upphandling eller en försäkring mot misstag från den certifierades sida, men det är en viktig komponent som visar både arbetsgivarens och den certifierades engagemang inom området.

Kompetensbristen är en av säkerhetsbranschens största risker, och inte minst i Östergötland är behovet av att samla kraft inom cybersäkerhet stort. I regionen finns flera intressanta verksamheter med behov av säkerhetskompetens; inom den privata sektorn finns företag som SAAB, Holmen, och Stadium och den offentliga sektorn innefattar 13 kommuner, region Östergötland och flera myndigheter. På Knowit arbetar vi idag med ett flertal av dessa organisationer i olika spännande kunduppdrag, men vi ser att behovet av ytterligare kompetens är enormt stort både hos våra kunder och hos andra aktörer.  

Idag är första dagen i cybersäkerhetsmånaden. Det har hänt mycket under det här året och pandemin har också satt stora spår i vårt digitala samhälle. Mest på ett positivt sätt. Vi har digitaliserat och utvecklat våra arbetssätt på bara några månader – något som annars skulle ha tagit åratal. Plötsligt har vi digitala möten och arbetsgrupper med människor över hela världen på ett sätt vi aldrig haft tidigare. Vi sitter på lantstället och utvecklar nya system. Styrelsemöten sker utan många smutsiga flygmil och internationella samarbeten frodas trots att alla medverkande arbetar från sina hem. Företag och myndigheter har tvingats till att ta ett långt steg in i framtiden och utveckla nya tekniska plattformar och stöd för sina medarbetare.

"Let's make Data Privacy great again!" – dessa ord kom från en medlem av Europaparlamentet (”MEP”), Moritz Körner, under mötet den 3 September 2020, i utskottet för medborgerliga fri- och rättigheter samt rättsliga och inrikes frågor (det s.k. "LIBE-utskottet"). Mötet hölls för att diskutera framtiden för dataflöden mellan EU och USA efter EU-domstolens uppmärksammade dom i mål C-311/18 (”Schrems II-målet”). Förutom MEP deltog justitiekommissionär Didier Reynders, den europeiska dataskyddsstyrelsens (”EDPB”) ordförande Andrea Jelinek och den österrikiske datasskyddsaktivisten Maximilian Schrems vid mötet. Mötet hölls då det efter domen i Schrems II-målet onekligen råder stor osäkerhet gällande överföringar av personuppgifter till USA och andra tredjeländer.

Till följd av den extraordinära situationen som covid-19 försatt oss i har vi snabbt behövt anpassa oss till ett nytt sätt att arbeta. Hemarbete blev under våren det nya normala och som följd har användandet av videokonferenssystem skjutit i höjden. För många av oss fortsätter nu hemarbetet även under hösten. Lyckligtvis har tekniska framsteg gjort det möjligt för oss att nästintill arbeta som vanligt genom att delta i möten, webinars och annan socialisering online. Det finns många olika videokonferenssystem att välja mellan – i detta inlägg presenterar vi en jämförelse mellan fem olika system utifrån användarvänlighet, funktionalitet och säkerhet. Vi har även listat vad du som användare bör tänka på när du nyttjar systemen eftersom flera av dem har bra säkerhetsfunktioner men som måste aktiveras av användaren själv.

Cybersäkerhet, det vill säga det samlade skyddet från it- och informationssäkerhet, är den största utmaningen för företagsledningar idag. Trots det saknar 87 procent av företagsledare (CEO, CISO, CFO m.fl.) och styrelseledamöter förtroende för det egna företagets kapacitet inom området cybersäkerhet.

Det ställs ofta höga krav på att verksamheter ska skydda sig mot intrång och att rätten till tillgång till lokaler och utrymmen styrs utifrån behov. För att möta dessa krav finns ofta passersystem och kamerabevakning installerat för att skapa spårbarhet och för att försvåra eller förhindra brott. Kamerabevakningen kan också ge värdefull information vid inträffade brott och kan därmed underlätta polisens utredningsarbete. Inom dessa säkerhetssystem finns personuppgifter lagrade. Personuppgifter som ofta förbises vid företags inventering av personuppgifter.

De sociala robotarna gör nu sitt inträde i vårt samhälle. De är psykologer i USA, barnvakter i Kina och här i Sverige arbetar ett antal spännande start-ups med dem. Men det här kommer innebära helt nya risker och etiska överväganden. Var går egentligen gränsen till vad vi får göra och hur ska vi försäkra oss om att vår framtid inte blir som en science fiction-dystopi?

PCI DSS-efterlevnad som krav ställs på all hantering av betalkortsdata. Som handlare tar du emot betalkortsbetalningar medan tjänsteleverantörer hjälper handlaren med betalningar samt stödjer privatpersoner, handlare eller företag med deras betalkortstransaktioner. Banker ger ut betalkort eller fungerar som inlösare av transaktioner. För dig som har applicerat PCI Data Security Standard (PCI DSS) på alla dina betalkortstransaktioner förväntas dessa hanteras på ett säkert sätt, skyddat mot dagens och morgondagens cyberhot.

Lösenord, lösenord och lösenord. Trots att det nu finns flera alternativ för autentisering är lösenord något vi än så länge inte kommer undan. Men hur är det egentligen med lösenordsrekommendationer – vilka rekommendationer finns, och kan vi lita på dem? Hur ska ett bra lösenord se ut? I denna bloggpost analyserar jag de vanligaste lösenordsrekommendationerna och diskuterar varför långa lösenord inte alltid är bättre.

Enligt en rapport från Juniper Research kommer det år 2023 vara 775 miljoner uppkopplade bilar ute på vägarna - en siffra som kan jämföras med 2018 då det var 330 miljoner¹. Denna utveckling kommer självklart också medföra en ökning av attacker. Under 2019 utfördes ca 160 attacker mot fordon, vilket är en fördubbling mot föregående år då ca 80 attacker utfördes. Vi kan också se att dessa attacker utförs mer och mer av så kallade ”Black Hats”, angripare som avser att skada system eller utföra en kriminell handling.

Arbetssituationen har på kort tid förändrats för många i samhället. Vi är många som försöker anpassa oss och möta de nya kraven och behoven på bästa sätt. Samtidigt har virusspridningen, rädslan för smittan och de konsekvenser den riskerar att medföra, inte minst ekonomiskt, också gett bedragare och andra kriminella nya möjligheter. En ransomwareattack som låser kontorsmiljön eller en falsk faktura som attesteras genom ett intrång riskerar att bli spiken i kistan i en redan ansträngd situation.

Myndigheten för Samhällsskydd och Beredskap (MSB) gav nyligen ut två förslag till nya föreskrifter:

I en allt mer digitaliserad värld kommer snart alla nya fordon att vara uppkopplade via femte generationens telenät (5G). Digitaliseringen av våra fordon är alltså en oundviklig framtid som innebär nya hot mot fordonen, användarna och samhället. Företagen (eller som vi kallar dem, OEMs) måste nu, istället för att vänta och se vad som kommer hända, ta tag i sin produktutveckling och lägga till attributet cybersecurity. I det ingår också underleverantörer och eftermarknadsförmågan. Nedan berättar jag hur.

Vi fick precis reda på att Security Fest är tvunget att ställa in. Det är ett klokt beslut och förståeligt. Men vi vill hålla cybercommunityt igång.

Förmodligen är du som läsare redan väl bekant med din organisations informationssäkerhetspolicy och syftet med den. Frågan är om resterande personal tagit del av och minns vad som står i den? Och vilken inverkan har den egentligen?

Du vet vad PCI Data Security Standard (PCI DSS) är och du har redan påbörjat ditt PCI DSS-arbete. I arbetet har du stött på en situation där du har svårt att se hur du skulle kunna uppfylla ett specifikt PCI DSS-krav. Vad kan du göra?

Totalförsvarets Forskningsinstitut (FOI) analyserar i en ny rapport WannaCry- och NotPetya-attackernas konsekvenser i samhällsviktiga sektorer. Rapporten diskuterar också möjligheten att i framtiden förebygga, eller åtminstone hantera konsekvenserna, av liknande attacker. Som medförfattare till rapporten kommer jag diskutera några av de teman kopplade till hantering av moderna cyberhot som rapporten och arbetet med den aktualiserat, som exempelvis cyberhygien, kontinuitetshantering och informationsdelning vid incidenter.

Riksrevisionen har släppt en rapport om hur föråldrade myndigheternas IT-system är, med följdresultat som dålig effektivitet och säkerhet. Det är egentligen ingen nyhet för oss i branschen. Däremot är det ett direkt resultat av dålig styrning. Låt oss ändra på det.

Företag har krav på sig från sina kunder, myndigheter och ägare att skydda sina informationstillgångar på ett mer strukturerat sätt från cyberhot. Allt oftare står det i media om bolag som inte lyckats skydda sin data. För att hantera situationen på ett mer strukturerat sätt rekommenderar jag ofta våra kunder att arbeta med ledningssystem, där standarden ISO 27001 är den mest välkända standarden.

En viktig del när det kommer till att förbättra cybersäkerheten i en organisation är att få med människorna på tåget. Hur ska man förändra hur människor agerar när det kommer till säkerhet? Mitt examensarbete har undersökt detta och utifrån det försökt besvara hur man kan förbättra säkerheten med hjälp av förändringsledning.