Debatt-arkiv - Aktuell Säkerhet

What will drive cyber security: hacking, crime, warfare and/or terrorism?

2019-07-01 | Kronika

A panel discussion on cyber terrorism opened up a wide range of vital security issues

At first it seems a logical question: understand the enemy and you will understand the threat. If the threat is cyberwar, then military and armaments organizations are an obvious target. If it is cybercrime, then financial institutions should be concerned. If it is hacktivism, then any company with considered malicious by a significant portion of the public should be alert for attacks by campaigners.

Joel Stradling, Research Director, Global Data

But on second thoughts, the scene becomes far more confused. An attack on the national electricity grid could severely compromise military suppliers. One that caused traffic chaos could make it harder for an enemy to mobilise ground forces. Financial companies are already heavily guarded, so it is far easier for criminals to make money by blackmailing hospitals with stolen data. Hacking has always been an irritant, if not a major problem, because the motives can be so arbitrary – maybe an institution was hacked for no other reason than that it claimed to be unhackable?

In the case of hacktivism against a broad target like the present government, then any attack that disrupts the economy or draws attention to the cause could be an effective weapon when followed by a public announcement. Terrorism is similarly almost impossible to predict because the aim is to do absolutely anything that might invoke public terror – and that makes it highly threatening.

Joel Stradling, Research Director for the analyst company GlobalData, chairing a recent NetEvents session, mentioned a call for half a million heart pacemakers in the US to be recalled because of vulnerability to cyberterrorism. That is a very good example, because any family or group with a heart patient that might drop dead will feel threatened, and that fear generates panic that could spread far and wide.

It also raises another key point about cyberterrorism: that the threat can be more effective than the actual attack. Terrorists know that a failed bomb attack can be just as effective as a successful one, because the public starts thinking about all the deaths that might have happened. Terrorist groups have far broader agendas than before, going beyond physically harming civilians.

Roark Pollock, Ziften Technologies; Ray Ottey, Verizon Enterprise Solutions; Andrzej Kawalec, Optiv, Joe Baguley, VMware

Ray Ottey, Fellow Cybersecurity Practitioner at Verizon, responding to Joel Stradling, described two distinct areas: cyberwar is really just another weapon in the evolution of war, while cyberterrorism has a different motive: “It’s a subset of the wider threat, but it’s just coming with a different motive. There’s no different toolset, and it’s not in some cases different people either. So, it can be the same person during the day being a hacker, or having a normal day job, and by evening a gun to hire”. Attacks may have different political or criminal aims, but the symptoms are the same.

The Internet of Things (IoT) adds a major terrorism threat because it brings what was seen as information war down to physical manifestation – like a compromised pacemaker causing a friend to drop dead. A loss of data is one thing, but if it compromises an entire electricity network or water supply, then you have terror potential. Another factor is that it suddenly extends what has become a pretty well secured IT network by added a mass of far less secure endpoints previously air-gapped from the Internet. As Roark Pollock, Chief Marketing Officer, Ziften Technologies put it: “You’re trying to protect a network that’s very different than your IT infrastructure. From a security standpoint it’s 20 years behind traditional IT. We’ve integrated those devices into our traditional IT networks, so they become a big part of what you’re trying to protect now, as opposed to just trying to protect the underlying data”.

Optiv’s European Director of Strategy and Technology, Andrzej Kawalec, explained: “IoT is going to completely explode it, and it forces us to think about devices again – which is something we’ve forgot about for a while. We need to start doing that again… To create physical safety implications on a network, you used to have to have quite specific deep domain capability… the integrated industrial cybercriminal global network allows you to do anything, whether it’s malware as a service, ransomware as a service, being attacked by swarms of kettles” – a reference to the story that the UK company Hargreaves Lansdown was attacked by a botnet of smart kettles last year.

Another factor that blurs the boundaries is the way that cybercrime and drug cartels provide funding for terrorism. IT can also be misused for recruitment and propaganda – as it was recently in New Zealand to amplify the impact of an isolated terrorist incident. Kawalec pointed out that cybercrime had overtaken the global illegal drugs trade: “National crime agency in the UK moved drugs off their top three focus areas, and put online fraud and cybercrime on. I think there’s a lot in there to be unpacked, but I think it’s actually about digital world influencing cyberterrorism, rather than cyberterrorism influencing the digital world”.

Kawalec concluded: “If there’s anything, it’s going to make us focus on the safety component of cybersecurity, rather than the confidentiality, the integrity, the financial impact. It’s the human implication of hacking into an autonomous car via the DAB radio to turn the brakes off. Who thought that was going to be a thing, but it is.” Roark Pollock agreed that the IT fundamentals had not changed as much as the motives for attack. And with IIoT the user is no longer only an office working with years of PC experience: “As we talk about industrial terrorism we’re bringing in a whole new user group. Now you’re talking about a user in some industrial facility, managing the safety and reliability of its devices. That person is not used to talking about cybersecurity”.

For Joe Baguley, VMware’s VP and CTO for EMEA: “The biggest problem is IT meeting OT. I’m seeing fundamental failings in basic principles of security when we get to IT and OT”. He gave the example of ubiquitous security cameras: “I found cheap USB ones of which there is no patching model and no way to update them. It’s just people missing basic fundamental steps in deploying IoT systems. That will set us up for massive failure in the future”.

Ray Ottey pointed out that security for the new users Pollock mentioned was about physical, not cyber, security: “So that MRI scanning machine, or that nuclear control system, whatever it was, the security around that was all entirely physical – you can’t get into it, can’t touch it – security badges etc” He outlined a scenario where the industrial control manager is approached by a the new network manager and says: “So you want to try and connect your IT systems to my control system? But you are the guys that gave me that XP laptop riddled with viruses that never really worked, and you’re now telling me you want to try and connect to my OT system? Get stuffed!”

Adding a more positive note, Roark said: “It’s taken us 20 odd years to get to today’s security perspective. At least we now have mature frameworks we can start to apply to those industrial control networks, whether the NIST framework, or any other framework”. Hopefully we can implement these existing frameworks a lot quicker than it had taken to develop them.

Joe Baguley returned to the prevention theme and the principles of cyber hygeine that are so blindingly obvious to people in the security industry, but not to others: “Things like least privilege, micro segmentation, and encryption. Encryption 10 years ago was a horrible thing, because it was hard. Now it’s really easy and it’s not a burden on processors, so let’s just do it everywhere. Multifactor authentication: Tesla owners are crying out for multifactor authentication on their cars – even Tesla aren’t applying it now – and patching. People are deploying stuff and not thinking about the ongoing lifecycle management”.

Questions from the floor brought the discussion back to the specific issue of cyber terrorism, when the panel was trying more to focus on general prevention. Joe Baguley referred to the Spectre processor issues: “How long had certain nation states known that those vulnerabilities were there, and kept it to themselves, before the wider world found out? You know, it’s those kind of things were actually more worrying… We’re looking again at how do you build a layer on top of that, that almost abstracts you from that threat?”

Andrzej Kawalec said the whole issue is even more blurred when several cybercriminal gangs share malware using an existing vulnerability hijacked through another service to some industrial ecosystem. Hence the need to focus on the continuous hunting and analysis of threat: “You need to go back to what you can control best.” Baguley agreed that there can be too much trying to anticipate what the next big threat is going to be, rather than just going back to base and how the system is built and made rock solid.

For Ray Ottey part of the problem is that people often do not even know they are under attack: “A process running a bit longer every day, because it’s doing something else. A machine occasionally pinging some other machine, which isn’t necessarily out of the ordinary… and many organisations don’t know what their normal is”.

Roark Pollock had the final word in what was a great debate session. He suggested a gaming approach to security training: “These companies need to create some sort of cyber range, where they can play red team, blue team, and train their people, of how to respond when something does occur. Because it’s too late once it happens”.

Lionel Snell, Editor, NetEvents

”Så ligger du steget före bedragaren”

2019-04-24 | Kronika

Visste du att dina betalningsuppgifter kan vara lika användbara för bedragaren som ditt pass? Men att skydda sig själv – eller sin verksamhet – mot bedrägerier kräver ett helhetsgrepp. Runt hörnet kommer samtidigt två relativt okända sätt att ligga steget före bedragaren.

Teckna din prenumeration på Aktuell Säkerhet här

De senaste åren har större regleringar som GDPR och PSD2 genomförts i syfte att bättre skydda personuppgifter. Tyvärr visade dock förra veckans dataläcka av kortuppgifter från ett större bolag i USA att många system fortsatt är sårbara för cyberattacker.

Dessa typer av attacker är inte alltid lätta att förhindra, en fientligt inställd programmerare ligger ofta steget före markandsstandarder. I det amerikanska exemplet var det en malware som fjärrinstallerades på kortterminaler som tillgodogjorde sig uppgifter som sedermera såldes av i omgångar.

Från våra undersökningar på Adyen har två av tre kunder sagt att de skulle undvika att handla på ett företag som blivit utsatt för bedrägerier likt dessa. Kunder är även villiga att söka en högre grad av skydd för sina personuppgifter; mer än hälften av tillfrågade skulle byta bort från deras föredragna betalmetod om det presenterades ett säkrare alternativ.

Det få tänker på är att det sällan är betalmedlet i sig – kort, faktura, eller direktöverföring – utan istället infrastrukturen bakom som avgör hur säker en betalning faktiskt är.

Ny marknadsstandard är på väg

Få har missat att PSD2 träder i kraft i september, och därmed införs också en ny marknadsstandard för hur betalningar på nätet kommer att bli ännu säkrare. Från och med 14 september kommer 3D Secure – steget där konsumenter legitimerar sig på nätet – att krävas på majoriteten av alla köp på nätet.

Det kan låta som dåliga nyheter för handlare som oroar sig över sin konvertering. 3D Secure är nämligen känt för att lägga till ett steg under köpet, som gör att ungefär 4% av alla köp tappas. Den goda nyheten är att PSD2 även innebär en ny standard för 3D Secure – version 2.0. Den nya standarden är mobilanpassad och smälter in i flödet hos e-handlaren, vilket skapar en bättre köpupplevelse.

Med det nya kravet blir det säkrare att handla online och väsentligt svårare för bedragare att använda köpta personuppgifter på nätet.

Ligg steget före

Även om 3D Secure är ett bra verktyg för att säkerställa att det faktiskt är kunden som utför köpet – och inte en bedragare – så utgör det inte ett skydd för personuppgifter.

Så hur förhindrar man att känslig data kapas under ett köp? Genom att hantera uppgifterna annorlunda från början.

Tokenisering innebär att det inte är den känsliga datan i sig som hanteras, utan att den istället krypteras och sparas. Den krypterade informationen kan sedan föras vidare och skickas vidare till fler parter, utan att de någonsin får tillgång till datan.

Det räcker inte att vidta åtgärder för att granska enskilda köp. Handlare som vill ligga steget före bedragare måste granska sin tekniska uppsättning och hitta smartare sätt att skydda sig.

Vad ska man göra?

● Ge sig själv god tid att förstå PSD2 och att implementera lösningar för efterlevnad, som 3D Secure 2.0.

● Automatisera granskningen av transaktioner för att direkt kunna känna igen misstänkta transaktioner, innan de går igenom.

● Tillämpa tokenisering på alla betalmedel för säkrare hantering av känslig data.

Tobias Lindh
Nordenchef
Adyen

Vilka vänner har din organisation egentligen?

2019-04-03 | Linda Kante

Våren närmar sig och min favoritårstid vårvintern passerade snabbt förbi. Lika snabbt går det i vår bransch.

För inte så länge sedan hade jag en bra diskussion med en kollega i branschen. Vi konstaterade att man på många företag under långt tid jobbat systematiskt med EHS (miljö, hälsa och säkerhet/safety) bland annat genom aktiv avvikelsehantering, tillbudsrapportering, utredning av incidenter och så vidare. Varför? Därför att vetenskapen säger att man genom att jobba systematiskt med den stora basen av händelser bättre kan undvika de stora incidenterna/katastroferna. Har vi som jobbar med cyber/info/IT-säk jobbat på samma sätt? Egentligen är liknelsen ganska självklar och även svaret. Avsaknaden av dessa arbetssätt inom cybersäkerhet hos många företag och organisationer är också en av anledningarna till att jag ofta trycker så hårt på behovet att bygga ut ”detect&respond”-förmågorna. Genom att upptäcka mer lär vi oss mer och kan därmed bättre förebygga stora incidenter och kriser.

Men vad ska vi leta efter? En sak vi med säkerhet vet är att många attackscenarier innehåller en så kallad indirekt metod där angriparen går via en ”trusted 3rd party” för att komma åt det egentliga målet för attacken. Det finns flera exempel där kanske Cloud Hopper är den mest kända under de senaste åren. En stor utmaning med att kontrollera tredjepartsrisk är att det saknats bra verktyg att arbeta så att värde och verkliga insikter skapas. Det har ofta blivit så kallat ”self-assessment questionaires” som skickats ut till ett urval av kunderna. Urvalet har ofta skett på volym i affärsrelationen och inte främst med tanke på vilken data som leverantören har access till. Så tänk om du som säkerhetsansvarig skulle kunna följa dina leverantörers risk (till exempel läckta credentials på darkweb och så vidare) i nära realtid? Såna verktyg finns idag! Genom att flytta ut dina sensorer skapar du tid att reagera innan skada skett på den egna organisationen. Så vill jag jobba!

För övrigt anser jag att det är väldigt generöst av Norsk Hydro att berätta exakt om vilken påverkan den senaste attacken har haft nedbrutet på affärsområde. Vi får både veta höra om kostnader och med vilken kapacitet produktionen snurrar. Tacksamt för oss som söker datapunkter för stilleståndskostnader men dessvärre kanske också tacksamt för en angripare som vill lära sig mer om hur man designar den ”bästa” attacken?

Slutligen ser jag fram emot att följa tillämpningen av den nya säkerhetsskyddslagen. Ett av syftena med den och NIS-direktivet är som bekant också att stärka AB Sveriges ”supply chain” med fokus t ex på elförsörjning, tele/datakommunikation, transporter och vårt finansiella system. En av mina slutsatser är att vi behöver fortsätta tänka mer holistiskt och också tänka just leveranskedjor. Jag tror att den kloke CISO:n som aktivt jobbar systematiskt och automatiserat med organisationens vänner (leverantörer) kommer gynnas när ”räkenskaperna” för 2019 skall göras.

Until next time!
/Rolf Rosenvinge CEO CyberInsights

Regelexplosionen inom informationssäkerhet får inte hämma tillväxten i svenskt näringsliv

2019-03-26 | Kronika

Det är bara veckor kvar till den nya säkerhetsskyddslagen träder i kraft. Här diskuterar Jakob Bundgaard och Richard Oehme diskuterar de nya regler och lagar som kommer att gälla för både privat och offentlig sektor.

Jakob Bundegaard, ansvarig Cyber Security, PwC Sverige
Foto: Kristin Lidell

Richard Oehme, Director Director Societal Security, PwC Sverige

På kort tid sker nu många förändringar som kraftigt påverkar såväl offentlig som privat sektors hantering av informationssäkerhet. Först ut var GDPR-regelverket. Därefter införlivades NIS-direktivet i svensk lag, en lagstiftning som framförallt omfattar den privata sektorn och speciellt det som bedöms vara samhällsviktig verksamhet. Den 1 april träder även en ny säkerhetsskyddslag i kraft med högre krav på bland annat informationshanteringen och som berör många samhällsviktiga aktörer. Under loppet av mindre än ett år har därmed tre nya regler och lagar tillkommit som privat och offentlig sektor ska förhålla sig till.

När det gäller den nya säkerhetsskyddslagen finns det en bredare syn på vad som ska omfattas av säkerhetsskydd. Förenklat handlar det nu inte enbart om att skydda uppgifter som omfattas av sekretess, utan också allt mer om verksamhet som av andra anledningar behöver omges med säkerhetsskydd. Till exempel om ett företag har informationssystem eller sammanställningar av uppgifter av central betydelse för ett fungerande samhälle och då även om de inte innehåller sekretessbelagda uppgifter. Här är det alltså systemets tillgänglighet och informationens riktighet som står i fokus snarare än själva innehållet. Konsekvensen som vi redan nu ser är att fler aktörer kommer att omfattas av den nya säkerhetsskyddslagen och inte minst handlar det om företag som är verksamma inom samhällsviktig verksamhet och som nu redan har NIS-direktivet att förhålla sig till.

Ytterligare förändringar som genomförs i den nya säkerhetsskyddslagen är en ny indelning utefter en fyrgradig skala för säkerhetsskyddsklassificerade uppgifter. Graderingen bedöms med utgångspunkt i den skada för Sveriges säkerhet som kan uppstå. I topp hamnar information som bedöms vara kvalificerat hemlig och här placeras uppgifter vars röjande kan medföra konsekvenser i form av synnerlig allvarlig skada för Sveriges säkerhet. Därefter följer nivåerna hemlig och konfidentiell för att sedan avslutas med den fjärde nivån begränsad. I den senare klassen placeras uppgifter vars röjande endast kan medföra ringa skada för Sveriges säkerhet. Här kan vi redan nu se att nivån begränsad i praktiken delvist innebär en utvidgning. Bedömningen är därför att kraven på den lägsta säkerhetsskyddklassen med all sannolikhet kommer att omfatta stora delar av samhällsviktig verksamhet och beröra allt fler företag och verksamheter.

Sammantaget innebär alltså förändringarna att fler omfattas av säkerhetsskyddslagen samtidigt som det nu finns allt fler lagar och regler att förhålla sig till. Företag och organisationer måste säkerställa att det tar ett helhetsgrepp på säkerhetsskyddarbetet och i synnerhet på sitt informations- och cybersäkerhetsarbete. Vi ser en risk för att företag och offentliga verksamheter behöver lägga väldigt mycket tid och kraft från själva verksamheten för att navigera i det nya regellandskap som växer fram. Visst finns det behov av regler och lagar i det nya hotlandskapet, men det är samtidigt centralt att det finns en tydlighet i hur avvägningen mellan dessa olika regelverk ska ske. Inom ramen för detta behövs ytterligare tydlighet från regeringen och ansvariga myndigheter. Behovet av vägledning och tydliggörande har aldrig varit större då hela vårt samhälle nu är digitaliserat och ytterst handlar det om att inte hämma utvecklingen av svenskt näringsliv och offentlig förvaltning.

Jakob Bundgaard, ansvarig Cyber Security, PwC Sverige

Richard Oehme, Director Societal Security, PwC Sverige

Så här övervinner du årets nya utmaningar inom IT-säkerhet

2019-03-05 | Kronika

Ökade krav på mobilitet, IoT och nya lösningar i kanterna av nätverken ställer nya krav på IT-säkerhet. Säkra mobila lösningar underlättar arbetet med att säkra data, skriver Kenni Ramsell, Nordenchef på Toshiba.

Behovet av mobilitet i yrkeslivet ökar och förändras ständigt. Enligt en undersökning gjord av Microsoft känner sig bara 11,4 procent av de yrkesarbetande i Europa högproduktiva på sina arbetsplatser. Det pekar på ett ökat utnyttjande av ny teknik som 5G för att underlätta mobilt arbete och därigenom förbättra produktiviteten.

Ny mobilitet innebär nya säkerhetsutmaningar, när användningen i nätverken ökar. Med allt mer data tillgängliga ökar kostnaderna för säkerhetsincidenter snabbt. En studie av IBM och Ponemon Institute visar till exempel att medelkostnaden för dataförluster steg med 6,4 procent 2018 jämfört med året innan, till 3,9 miljoner dollar, cirka 36 miljoner kronor.

Lägg till det att antalet helt nya attacker och skadliga mjukvaror ökade med 101,2 procent under 2018, enligt rapporten Cyber Threat Report från SonicWall. Det är inte konstigt att en undersökning gjord av Toshiba visar att 62 procent av personerna med ledande IT-befattningar i Europa ser datasäkerhet som ett viktigt område att investera i.

Börja med enheter och anställda

Det första lagret av skydd mot cyberbrott bör vara de enheter som används. Det kan till exempel handla om att data exponeras på bärbara datorer som glöms på pendeltåg eller att anställda ansluter sig till osäkra nätverk på kaféer.

Enligt IBM och Ponemon Institute inbegriper nästan hälften av alla säkerhetsincidenter skadlig mjukvara eller intrång, medan 27 procent beror på slarv av anställda. En kombination av de två orsakerna ger perfekta förutsättningar för cyberbrottslingar.

Det behövs säkerhetslösningar både i enheterna och i nätverken, som exempelvis biometrifunktioner och inbyggd smart kryptering. Fjärråtkomst till enheter och möjligheter att rensa dem är också viktiga, om enheterna hamnar på vift. Det bör finnas central administration och goda möjligheter att skydda och definiera rättigheter till känslig information. Lägg till det utbildning om IT-säkerhet till de anställda.

IoT och edge är nästa utmaning

Den ökade populariteten för IoT och edgelösningar (lösningar i kanten av nätverken) ställer nya krav på dataskydd. Säkerhetsföretag som Avast pekar ut IoT som ett viktigt slagfält vad gäller cyberbrottslighet under 2019.

Bland de nya innovativa säkerhetsstrategier som företag bör överväga finns exempelvis mobila edgelösningar. I sådana kan data krypteras lokalt och översättas enligt kommunikationsprotokoll innan de överförs via molnet. I takt med att nya lösningar som ”wearables”, till exempel smarta kläder och smarta glasögon, blir populära kommer mängden data som behöver skyddas öka, vilket gör mobila edgelösningar ännu mer attraktiva.

Säkerhet är den viktigaste aspekten av ett företags IT-strategi och ett hotlandskap i ständig förändring gör att utmaningarna är större än någonsin. Lösningar kanske bara är säkra några månader, så det krävs ständig övervakning och utveckling. Det räcker inte med säkra centrala delar av nätverken, utan det krävs insatser även i kanterna av nätverken.

Kenni Ramsell, Nordenchef på Toshiba

”Är biometri bra eller dåligt?”

2019-02-04 | Kronika

I framtiden kommer vi lättare kunna identifiera människor med hjälp av artificiell intelligens (AI) och människors beteenden. Biometrin utvecklas hela tiden. Men är det början på ett avancerat övervakningssystem eller bidrar det bara till bättre och användarvänligare säkerhet?

Text: Sanne Femling, IT-säkerhetskonsult Knowit Secure

Idag finns det många olika sätt att identifiera människor på. Det sägs att 30 procent av alla webbsökningar sker via röst eller rörelse, vilket kommer göra att vi som arbetar med säkerhet behöver hitta nya sätt att säkerställa vem som interagerar med systemen.

Vi har under de senaste veckorna kunnat läsa om Kinas nya övervakningssystem där man med hjälp av ny AI-teknik utvecklat ett system som identifierar människor genom deras rörelsemönster och gångstil. Utöver detta finns även AI-teknik som identifierar hur människor interagerar med sina personliga enheter och appar. Denna typ av igenkänningsteknik kallas dynamisk biometri och drivs av just artificiell intelligens. Genom att lära sig hur vi använder tangentbordet på vår mobiltelefon, hur hårt vi trycker fingrarna mot pekskärmen, scrollar eller sättet vi håller telefonen kan enheter eller applikationer identifiera användaren.

Detta gör det lättare för människor att autentisera sig mot sina enheter. Tekniken gör det mer användarvänligt och säkrare. En annan fördel med AI är att tekniken hittar och ser nya infallsvinklar som vi människor inte har förmåga att se. Den kan även ta fram unika och säkrare sätt att identifiera och autentisera människor på.Men vad händer när den biometriska informationen hamnar i fel händer?När leksakstillverkaren VTech 2015 hackades kom en angripare åt flera gigabyte av bilder, ljudinspelningar och filmer på barn som företaget lagrat genom sina enheter. Materialet kom från telefoner, laptops och klockor som använts av barn för att delvis kommunicera med sina föräldrar.

Det här är ett exempel på hur lätt biometrisk data kan hamna i fel händer. Ett lösenord är idag utbytbart om vi skulle bli av med det. Men din biometriska information är unik och går inte att byta ut vilket gör den väldigt känslig. Om vi nu skall använda oss av AI för att logga vår biometri och vårt beteende är det viktigt att få användarna att förstå exakt vilken typ av information som lagras och används. Företag som tar fram den här typen av teknik bör prioritera säkerheten vid lagring av dessa uppgifter men också ta fram tydliga och bra policys för användarnas integritet.

Precis som riktlinjerna för den nya GDPR-lagen specificerar är det också viktigt för AI-tekniker att inte lagra mer än vad som behövs. Ska tekniken användas i syfte att lära sig mer om ett mönster och agera därefter är det viktigt att vi sätter gränser. En tillräckligt bra kamera kan idag avläsa en persons hjärtpuls. Det kommer med andra ord lagras stora mängder personlig data och mycket av denna information behövs inte ens för ändamålet.

Fakta

Identifiering – är processen där en person hävdar eller bekräftar en identitet.

Autentisering – är processen där personen verifierar sin identitet genom att jämföra en eller flera faktorer mot en databas med giltiga identiteter.

Källa: “Certified Information System Security Professional”, Official Study Guide, SYBEX, Mike Chapple, James Michael Stewart, Darril Gibson, 2018

En årsdag som uppmanar till reflektion och eftertanke

2018-09-13 | Linda Kante

I skrivande stund är det årsdagen av 9/11, attackerna som 2001 förändrade inte bara New York och Pentagon men hela världen. Så mycket har hänt sedan dess men samtidigt påverkar händelserna fortfarande skeenden idag.

Vi i västvärlden har både gått i krig och infört nya regelverk för att förhindra att detta avskyvärda dåd skall kunna upprepas. Men har vi lärt oss läxan? Det som hände var ett typiskt så kallad ”Black Swan”-scenario det vill säga en händelse som gick utanför den ”vedertagna” verklighetsuppfattningen hos de flesta ur befolkningen. Effekten av 9/11 blev så stor delvis på grund av den fruktansvärda förlusten av människoliv men också på grund av att den förändrade vår uppfattning om vårt samhälles sårbarhet.

Vilka nya Black Swan-scenarier skall vi oroa oss för idag? Har vi identifierat dessa och är vi bättre förberedda? När jag pratar med mina amerikanska kollegor och vänner i mitt nätverk så upptar dessa frågor ganska mycket av deras tid och tankekraft. Det scenario som ofta återkommer i dessa diskussioner är ett ”Digital 9/11”-scenario där en motståndare (stat eller terrororganisation) slår ut delar av amerikansk kritisk infrastruktur (elförsörjning, transporter, telekommunikationer, finansiella systemet etc.). Inom EU har vi givetvis också tänkt i dessa banor och har som ett resultat bland annat fått det så kallade NIS-direktivet vilket är ett bra första steg för att sätta strålkastarljuset på frågan vårt digitala samhälles sårbarhet. Men är det tillräckligt och implementerar vi tillräckligt fort? Mitt svar är dessvärre nej.

Jag tror att vi fortfarande saknar en viss ”sense of urgency” vilket jag tror beror på att vi underskattar den enorma hastigheten vårt samhälle förändras med genom digitaliseringen. All vår kritiska infrastruktur understöds av IT-system och kan därmed påverkas. När jag träffar beslutsfattare för stora organisationer (såväl inom näringslivet som inom det offentliga) är det ofta som senior rådgivare. Hos många av dessa börjar sårbarhetsinsikten finnas men de saknar ofta lösningarna. Just lösningarna förväntas vi som säkerhetsmänniskor komma med men vi behöver också uppdatera våra svar. Jag tror att många organisationer fortfarande är allt för standard-drivna i sina förhållningssätt. Idag finns helt nya möjligheter att bedriva pro-aktiva säkerhetsprogram genom att göra det ”hotbildsdrivet”. På marknaden finns kraftfulla verktyg tillgängliga från ett flertal leverantörer av så kallat Threat Intel. Flera av dessa verktyg innehåller inte bara öppen data utan betydligt mer sofistikerat innehåll vilket skapar helt nya förutsättningar att prioritera och agera. Det är dags att varje CSO/CISO tar sig en titt på marknaden och uppdaterar sina program, processer och verktyg! Hotbildsdrivna säkerhetsprogram tror jag är det bästa sättet att undvika vår generations ”Black Swan”-scenarier. Vad tror du?

Until next time!

Rolf Rosenvinge

Reflexiv kontroll riktad mot Sverige inför valet?

2018-09-07 | Linda Kante

Karl Lallerstedt, säkerhetsexpert på Svenskt Näringsliv, skriver om påverkanskampanjer som har drabbat svenska partier inför valet den 9 september.

Socialdemokraternas hemsida utsattes för fyra överbelastningsattacker under augusti månad, den senaste förra veckan, samtidigt som statsministern och finansministern presenterade partiets valmanifest. Anders Ygeman, partiets gruppledare i riksdagen, sade efteråt till Dagens Nyheter att “Det finns ett politiskt syfte. Man vill slå ut vår möjlighet att kommunicera med väljarna via vår hemsida.”

Ygeman har helt rätt när han säger att det finns ett politiskt syfte med attackerna. Men syftet kan vara det motsatta till vad den mediala rapporteringen ger sken av. Kanske är det just den mediala reaktionen och uppmärksamheten attackerna skapade, snarare än attackernas direkta effekt som var ändamålet med attackerna. I attacken förra veckan låg Socialdemokraterna websida nere i 10 minuter, knappast något av avgörande betydelse.

Enligt den information vi känner till i dagsläget vet vi inte vem som låg bakom attackerna. Men faktum att IP-numren från den senaste attacken bland annat spårades till Ryssland, väcker ett reflexivt sätt att reagera, en automatisk koppling till idén att Ryssland försöker underminera arbetarepartiets förutsättningar i valet.

Om syftet med attackerna verkligen var att underminera Socialdemokraternas förmåga att kommunicera med väljarna var några minuters störning av en websida knappast en framgång. Men om syftet snarare var att hjälpa Socialdemokraterna var attacken framgångsrik. Landets största mediekanaler nappade och rapporterade ivrigt nyheten, och partiet fick gratis reklam där de framstod som ett offer för vad många sannolikt antog var en utländsk attack.

Om det nu var en främmande makt som låg bakom attacken, varför skulle de vilja gynna Socialdemokraterna? Det vekar ju som att påverkansoperationerna riktade mot Sverige i stor utsträckning har handlat om att öka oron kring invandring, brottslighet, och statens hantering av dessa fenomen. Detta är ju knappast något som har gynnat den sittande regeringspartierna, utan snarare Sverigedemokraterna.

Sverigedemokraternas starka ställning innebär att det med stor sannolikhet kommer att fortsätta vara en svag minoritetsregering som kommer att regera efter valet (oavsett färg).

Valet handlar om fortsatt socialistiskt styre med en NATO-skeptisk falang, eller en NATO-vänligare högerregering. Det är uppenbart vad vissa främmande makter skulle föredra.

Låt inte NIS-direktivet bli din semestersabotör

2018-06-18 | Linda Kante

Förhoppningsvis väntar snart några lediga sommarveckor för de flesta av oss. Men innan dess behöver många företag skapa förberedelse för ytterligare en regelförändring inom säkerhetsområdet. Den 13 juni antog nämligen Riksdagen en ny lag, Informationssäkerhet för samhällsviktiga och digitala tjänster, vilket bland annat innebär att EU-direktivet NIS (Network and Information Security) införlivas i svenska lag redan från och med 1 augusti i år. Lagen gäller företag verksamma inom branscher som energi, transport, bank- och finans, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur och är primärt riktad mot leverantörer av kritisk infrastruktur, det vill säga de som får vårt samhälle att fungera.

Richard Oehme, Director PwC – Cybersäkerhet och kritisk infrastruktur (samhällssäkerhet)

I praktiken innebär det här att tekniska och organisatoriska säkerhetsåtgärder måste införas och att allvarliga IT-incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap. En tillsynsmyndighet för varje sektor kommer att ansvara för att regelverket följs och de kommer även att ha behörighet att besluta om sanktioner och viten. Bötesbelopp på upp till 10 miljoner kronor kan drabba ett bolag som inte följer lagen.

När PwC i våras gjorde en temperaturmätning av förberedelsen för NIS var resultaten oroväckande. Undersökningen Digital hållbarhet 2025 visade nämligen att knappt hälften (48 procent) av de bolag som berörs av NIS ansåg sig vara positionerade för förändringen. Motsvarande siffra för GDPR var hela 91 procent. Frågan är då om det helt enkelt har funnits en slagsida mot GDPR när det gäller bolagens förhållningssätt till 2018 års två stora säkerhetsförändringar? Än mer komplext blir läget våren 2019 då vi kan lägga till en tredje utmaning i och med att den nya svenska säkerhetsskyddslagen träder i kraft, en lag som klubbades av riksdagen för några veckor sedan. Spelreglerna förändras då ytterligare och det gäller att redan nu analysera vilken eller vilka av lagarna som då omfattar den egna verksamheten så att inte onödiga kostnader uppstår.

Många verksamheter behöver nu inse att de här säkerhetsförändringarna är verksamhetskritiska och att de måste lyftas in i ledningsgrupper och styrelserum. Därför är det oroande att vår undersökning kom fram till att bara 20 procent av de svenska bolagens IT-säkerhetsansvariga rapporterar direkt till företagsledning eller styrelse. En avsevärd skillnad mot omvärlden där 67 procent gör motsvarande rapportering enligt en global undersökning från PwC.

Än finns det tid till förberedelse för den förändring som NIS innebär – Men sommaren är kort i detta fall – Så innan du tar ett dopp i det blå och sköljer bort sanden mellan tårna – Se till att ert företag har beredskap inför den nya lagstiftningen som börjar gälla 1 augusti.

Naiviteten – ett hot mot demokratin

2018-04-27 | Linda Kante

Den politiska debatten om brottslighet och otrygghet handlar nästan uteslutande om fler poliser, ny lagstiftning, hårdare tag och behov av militären i utsatta områden. Många av de förslag som diskuteras går dock på tvärs med internationell forskning. Nu krävs en parlamentarisk förnyelsekommission för rättsstaten.

Under den senaste tiden har flera politiker konstaterat att de varit naiva när det gäller synen på brottsligheten och otryggheten i Sverige. Det gäller inte minst beträffande situationen med ett 60-tal utsatta områden med påtaglig brottslighet, stor otrygghet och parallella samhällsstrukturer.

Problemet är dock att partierna inte verkar har lärt sig särskilt mycket och att naiviteten tycks kvarstå. Det framgår inte minst av den politiska debatten som i princip uteslutande handlar om fler poliser, ny lagstiftning, hårdare tag, behov av militären i utsatta områden etc.

Eftersom det saknas en ordentlig analys av orsakerna bakom polisens problem vet vi inte ens om fler poliser är lösningen. Och hur ska vi snabbt få fram fler poliser när det tar minst fem år att rekrytera, utbilda och få ut effekt av en nyutbildad polis? Inte heller de straffskärpningar som nu föreslås kommer att få omedelbara effekter eftersom lagstiftningsprocessen är ett trubbigt vapen som tar tid. Att därefter i praktiken få landets domare att börja tillämpa straffskärpningarna kommer inte heller gå över en natt.

Ovanstående förslag går dessutom på tvärs med internationell forskning och erfarenhet där istället andra faktorer lyfts fram som viktiga i kampen mot brottsligheten. Det handlar främst om:

Betydelsen av en lokalt förankrad polis och arbetet med att bygga tillit och legitimitet. Ett viktigt begrepp i detta sammanhang är processuell rättvisa (Procedural Justice) som handlar om att polisen alltid måste vara rättvis, delaktig, transparent, opartisk och ha en öppenhet i processen.
Insikten om att vi inte kan ”arrestera” oss ur den aktuella situationen; brottsligheten är alldeles för omfattande. Fokus måste istället vara på att förebygga och förhindra att brott överhuvudtaget uppstår genom både sociala insatser och så kallad situationell brottsprevention. Situationell brottsprevention handlar om att minska sannolikheten för att ett brott ska begås genom att göra brotten mindre lönsamma, mer riskabla och svårare att utföra. Exempel på sådana åtgärder är olika tekniska lösningar för att göra stöldbegärliga objekt mindre tillgängliga och attraktiva, t.ex. genom lås, larm, kameror och DNA-märkning. Andra exempel är att öka den formella och informella sociala kontrollen, t.ex. genom hur vi utformar den fysiska miljön i bostadsområden, offentliga rum och skolor.
Förståelsen för att brottsbekämpningen bara till en begränsad del bedrivs av polisen. Den verksamhet som slår vakt om rättssamhället kallas för ”law enforcement”. Självklart är polisen ofta den viktigaste myndigheten i detta sammanhang, men det finns även andra aktörer som är viktiga för att upprätthålla lagarna, t.ex. kommunerna.
Behovet av ett evidensbaserat arbetssätt, med betoning av kontextuella aspekter, d.v.s. att arbetssätten anpassas efter den aktuella situationen (bara för att en modell fungerat i Amsterdam behöver den per automatik inte fungera i Malmö). En viktig del i detta sammanhang är vikten av ”prakademiker”, dvs. personer som förstår både forskningen och de praktiska förutsättningarna.
Vetskapen om att vi aldrig får tala om poliser i termer av ”krigare” eller i termer som ”vi” och ”dem” (och självklart heller aldrig skicka in militär i utsatta områden).

Vad kan då göras för att vända det utsatta läge som vi hamnat i? På en övergripande nivå handlar det om tre åtgärder för att i en mer samlad form effektivisera landets förmåga att stå emot brottsligheten.

Tillsätt en parlamentarisk förnyelsekommission för hela rättsstaten
Regeringen bör snarast tillsätta en parlamentarisk ”Förnyelsekommission för rättsstaten” för att klara ut hur landets samlade brottsbekämpande verksamhet ska vara beskaffad för att kunna möta dagens och morgondagens brottslighet. Viktiga frågor att besvara, med ett kritiskt tänkande som grund, är hur uppgifts- och ansvarsfördelningen ska vara mellan staten och kommunerna och vad andra aktörer, främst näringslivet, kan göra. Den moderna evidensbaserade polisforskningen måste på allvar ges möjlighet att påverka utvecklingen, till skillnad mot vad som var fallet i den nyss genomförda polisreformeringen. Andra viktiga frågor handlar om demografin, möjligheterna att få tag på kompetent personal, integrationen, den organiserade brottsligheten, internationaliseringen, terrorismen, skyddet av demokratin etc.
Tillsätt en särskilt genomförandemyndighet
Efter snabb remissbehandling av Förnyelsekommissionens förslag bör regeringen tillsätta en särskild genomförandemyndighet som, vid sidan av befintliga myndigheter, tar hand om och genomför de förslag som riksdagen beslutar. En sådan genomförandemyndighet bör verka i vart fall i fem år och ska bemannas med landets främsta seniora experter, men även av de främsta utländska experterna och forskarna.
Inrätta en beredning för inrikes säkerhet
Dessutom bör regeringen snarast inrätta en särskild ”Beredning för inrikes säkerhet” så att våra politiska partier ges möjlighet att, likt vad som gäller för hur den sittande Försvarsberedningen hanterar frågorna om det militära försvaret, mer långsiktigt kunna ta ställning till frågorna om hela rättsstatens förmåga. Dessa frågor måste tas om hand mycket mer professionellt av det politiska systemet för att undvika kortsiktig överbudspolitik och naivitet. Den föreslagna beredningen ska självklart noga följa arbetet i den ovan föreslagna kommissionen. Alla möjligheter att komma fram till konsensuslösningar som kan gälla över flera mandatperioder ska tas tillvara, allt för att öka förmågan att på sikt skydda landet mot brottsligheten.

Ytterst handlar dessa rättsstatsfrågor om skyddet av demokratin och vårt demokratiska styrelseskick. Det finns därför all anledning att inte enbart överlåta utvecklingen till enskilda myndigheter och myndighetschefer. Situationen är så allvarlig att frågorna måste hanteras av våra parlamentariker i samarbete med de mest erfarna experterna.

Magnus Lindgren
Generalsekreterare
Stiftelsen Tryggare Sverige

Advertisement