Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Vilka vänner har din organisation egentligen?

|

Våren närmar sig och min favoritårstid vårvintern passerade snabbt förbi. Lika snabbt går det i vår bransch.

För inte så länge sedan hade jag en bra diskussion med en kollega i branschen. Vi konstaterade att man på många företag under långt tid jobbat systematiskt med EHS (miljö, hälsa och säkerhet/safety) bland annat genom aktiv avvikelsehantering, tillbudsrapportering, utredning av incidenter och så vidare. Varför? Därför att vetenskapen säger att man genom att jobba systematiskt med den stora basen av händelser bättre kan undvika de stora incidenterna/katastroferna. Har vi som jobbar med cyber/info/IT-säk jobbat på samma sätt? Egentligen är liknelsen ganska självklar och även svaret. Avsaknaden av dessa arbetssätt inom cybersäkerhet hos många företag och organisationer är också en av anledningarna till att jag ofta trycker så hårt på behovet att bygga ut ”detect&respond”-förmågorna. Genom att upptäcka mer lär vi oss mer och kan därmed bättre förebygga stora incidenter och kriser.

Men vad ska vi leta efter? En sak vi med säkerhet vet är att många attackscenarier innehåller en så kallad indirekt metod där angriparen går via en ”trusted 3rd party” för att komma åt det egentliga målet för attacken. Det finns flera exempel där kanske Cloud Hopper är den mest kända under de senaste åren. En stor utmaning med att kontrollera tredjepartsrisk är att det saknats bra verktyg att arbeta så att värde och verkliga insikter skapas. Det har ofta blivit så kallat ”self-assessment questionaires” som skickats ut till ett urval av kunderna. Urvalet har ofta skett på volym i affärsrelationen och inte främst med tanke på vilken data som leverantören har access till. Så tänk om du som säkerhetsansvarig skulle kunna följa dina leverantörers risk (till exempel läckta credentials på darkweb och så vidare) i nära realtid? Såna verktyg finns idag! Genom att flytta ut dina sensorer skapar du tid att reagera innan skada skett på den egna organisationen. Så vill jag jobba!

För övrigt anser jag att det är väldigt generöst av Norsk Hydro att berätta exakt om vilken påverkan den senaste attacken har haft nedbrutet på affärsområde. Vi får både veta höra om kostnader och med vilken kapacitet produktionen snurrar. Tacksamt för oss som söker datapunkter för stilleståndskostnader men dessvärre kanske också tacksamt för en angripare som vill lära sig mer om hur man designar den ”bästa” attacken?

Slutligen ser jag fram emot att följa tillämpningen av den nya säkerhetsskyddslagen. Ett av syftena med den och NIS-direktivet är som bekant också att stärka AB Sveriges ”supply chain” med fokus t ex på elförsörjning, tele/datakommunikation, transporter och vårt finansiella system. En av mina slutsatser är att vi behöver fortsätta tänka mer holistiskt och också tänka just leveranskedjor. Jag tror att den kloke CISO:n som aktivt jobbar systematiskt och automatiserat med organisationens vänner (leverantörer) kommer gynnas när ”räkenskaperna” för 2019 skall göras.

Until next time!
/Rolf Rosenvinge CEO CyberInsights

Regelexplosionen inom informationssäkerhet får inte hämma tillväxten i svenskt näringsliv

|

Det är bara veckor kvar till den nya säkerhetsskyddslagen träder i kraft. Här diskuterar Jakob Bundgaard och Richard Oehme diskuterar de nya regler och lagar som kommer att gälla för både privat och offentlig sektor.

Jakob Bundegaard, ansvarig Cyber Security, PwC Sverige
Foto: Kristin Lidell

Richard Oehme, Director Director Societal Security, PwC Sverige

På kort tid sker nu många förändringar som kraftigt påverkar såväl offentlig som privat sektors hantering av informationssäkerhet. Först ut var GDPR-regelverket. Därefter införlivades NIS-direktivet i svensk lag, en lagstiftning som framförallt omfattar den privata sektorn och speciellt det som bedöms vara samhällsviktig verksamhet. Den 1 april träder även en ny säkerhetsskyddslag i kraft med högre krav på bland annat informationshanteringen och som berör många samhällsviktiga aktörer. Under loppet av mindre än ett år har därmed tre nya regler och lagar tillkommit som privat och offentlig sektor ska förhålla sig till.

När det gäller den nya säkerhetsskyddslagen finns det en bredare syn på vad som ska omfattas av säkerhetsskydd. Förenklat handlar det nu inte enbart om att skydda uppgifter som omfattas av sekretess, utan också allt mer om verksamhet som av andra anledningar behöver omges med säkerhetsskydd. Till exempel om ett företag har informationssystem eller sammanställningar av uppgifter av central betydelse för ett fungerande samhälle och då även om de inte innehåller sekretessbelagda uppgifter. Här är det alltså systemets tillgänglighet och informationens riktighet som står i fokus snarare än själva innehållet. Konsekvensen som vi redan nu ser är att fler aktörer kommer att omfattas av den nya säkerhetsskyddslagen och inte minst handlar det om företag som är verksamma inom samhällsviktig verksamhet och som nu redan har NIS-direktivet att förhålla sig till.

Ytterligare förändringar som genomförs i den nya säkerhetsskyddslagen är en ny indelning utefter en fyrgradig skala för säkerhetsskyddsklassificerade uppgifter. Graderingen bedöms med utgångspunkt i den skada för Sveriges säkerhet som kan uppstå. I topp hamnar information som bedöms vara kvalificerat hemlig och här placeras uppgifter vars röjande kan medföra konsekvenser i form av synnerlig allvarlig skada för Sveriges säkerhet. Därefter följer nivåerna hemlig och konfidentiell för att sedan avslutas med den fjärde nivån begränsad. I den senare klassen placeras uppgifter vars röjande endast kan medföra ringa skada för Sveriges säkerhet. Här kan vi redan nu se att nivån begränsad i praktiken delvist innebär en utvidgning. Bedömningen är därför att kraven på den lägsta säkerhetsskyddklassen med all sannolikhet kommer att omfatta stora delar av samhällsviktig verksamhet och beröra allt fler företag och verksamheter.

Sammantaget innebär alltså förändringarna att fler omfattas av säkerhetsskyddslagen samtidigt som det nu finns allt fler lagar och regler att förhålla sig till. Företag och organisationer måste säkerställa att det tar ett helhetsgrepp på säkerhetsskyddarbetet och i synnerhet på sitt informations- och cybersäkerhetsarbete. Vi ser en risk för att företag och offentliga verksamheter behöver lägga väldigt mycket tid och kraft från själva verksamheten för att navigera i det nya regellandskap som växer fram. Visst finns det behov av regler och lagar i det nya hotlandskapet, men det är samtidigt centralt att det finns en tydlighet i hur avvägningen mellan dessa olika regelverk ska ske. Inom ramen för detta behövs ytterligare tydlighet från regeringen och ansvariga myndigheter. Behovet av vägledning och tydliggörande har aldrig varit större då hela vårt samhälle nu är digitaliserat och ytterst handlar det om att inte hämma utvecklingen av svenskt näringsliv och offentlig förvaltning.

Jakob Bundgaard, ansvarig Cyber Security, PwC Sverige

Richard Oehme, Director Societal Security, PwC Sverige

Så här övervinner du årets nya utmaningar inom IT-säkerhet

|

Ökade krav på mobilitet, IoT och nya lösningar i kanterna av nätverken ställer nya krav på IT-säkerhet. Säkra mobila lösningar underlättar arbetet med att säkra data, skriver Kenni Ramsell, Nordenchef på Toshiba.
Behovet av mobilitet i yrkeslivet ökar och förändras ständigt. Enligt en undersökning gjord av Microsoft känner sig bara 11,4 procent av de yrkesarbetande i Europa högproduktiva på sina arbetsplatser. Det pekar på ett ökat utnyttjande av ny teknik som 5G för att underlätta mobilt arbete och därigenom förbättra produktiviteten.
Ny mobilitet innebär nya säkerhetsutmaningar, när användningen i nätverken ökar. Med allt mer data tillgängliga ökar kostnaderna för säkerhetsincidenter snabbt. En studie av IBM och Ponemon Institute visar till exempel att medelkostnaden för dataförluster steg med 6,4 procent 2018 jämfört med året innan, till 3,9 miljoner dollar, cirka 36 miljoner kronor.
Lägg till det att antalet helt nya attacker och skadliga mjukvaror ökade med 101,2 procent under 2018, enligt rapporten Cyber Threat Report från SonicWall. Det är inte konstigt att en undersökning gjord av Toshiba visar att 62 procent av personerna med ledande IT-befattningar i Europa ser datasäkerhet som ett viktigt område att investera i.
 
Börja med enheter och anställda
Det första lagret av skydd mot cyberbrott bör vara de enheter som används. Det kan till exempel handla om att data exponeras på bärbara datorer som glöms på pendeltåg eller att anställda ansluter sig till osäkra nätverk på kaféer.
Enligt IBM och Ponemon Institute inbegriper nästan hälften av alla säkerhetsincidenter skadlig mjukvara eller intrång, medan 27 procent beror på slarv av anställda. En kombination av de två orsakerna ger perfekta förutsättningar för cyberbrottslingar.
Det behövs säkerhetslösningar både i enheterna och i nätverken, som exempelvis biometrifunktioner och inbyggd smart kryptering. Fjärråtkomst till enheter och möjligheter att rensa dem är också viktiga, om enheterna hamnar på vift. Det bör finnas central administration och goda möjligheter att skydda och definiera rättigheter till känslig information. Lägg till det utbildning om IT-säkerhet till de anställda.
 
IoT och edge är nästa utmaning
Den ökade populariteten för IoT och edgelösningar (lösningar i kanten av nätverken) ställer nya krav på dataskydd. Säkerhetsföretag som Avast pekar ut IoT som ett viktigt slagfält vad gäller cyberbrottslighet under 2019.
Bland de nya innovativa säkerhetsstrategier som företag bör överväga finns exempelvis mobila edgelösningar. I sådana kan data krypteras lokalt och översättas enligt kommunikationsprotokoll innan de överförs via molnet. I takt med att nya lösningar som ”wearables”, till exempel smarta kläder och smarta glasögon, blir populära kommer mängden data som behöver skyddas öka, vilket gör mobila edgelösningar ännu mer attraktiva.
Säkerhet är den viktigaste aspekten av ett företags IT-strategi och ett hotlandskap i ständig förändring gör att utmaningarna är större än någonsin. Lösningar kanske bara är säkra några månader, så det krävs ständig övervakning och utveckling. Det räcker inte med säkra centrala delar av nätverken, utan det krävs insatser även i kanterna av nätverken.
Kenni Ramsell, Nordenchef på Toshiba

”Är biometri bra eller dåligt?”

|

I framtiden kommer vi lättare kunna identifiera människor med hjälp av artificiell intelligens (AI) och människors beteenden. Biometrin utvecklas hela tiden. Men är det början på ett avancerat övervakningssystem eller bidrar det bara till bättre och användarvänligare säkerhet?

Text: Sanne Femling, IT-säkerhetskonsult Knowit Secure

Idag finns det många olika sätt att identifiera människor på. Det sägs att 30 procent av alla webbsökningar sker via röst e​ller rörelse, vilket kommer gör​a att vi som arbetar med säkerhet behöver hitta nya sätt att säkerställa vem som interagerar med systemen.

Vi har under de senaste veckorna kunnat läsa om Kinas nya övervakningssystem där man med hjälp av ny AI-teknik utvecklat ett system som identifierar människor genom deras rörelsemönster och gångstil. Utöver detta finns även AI-teknik som identifierar hur människor interagerar med sina personliga enheter och appar. Denna typ av igenkänningsteknik kallas dynamisk biometri och drivs av just artificiell intelligens. Genom att lära sig hur vi använder tangentbordet på vår mobiltelefon, hur hårt vi trycker fingrarna mot pekskärmen, scrollar eller sättet vi håller telefonen kan enheter eller applikationer identifiera användaren.

Detta gör det lättare för människor att autentisera sig mot sina enheter. Tekniken gör det mer användarvänligt och säkrare. En annan fördel med AI är att tekniken hittar och ser nya infallsvinklar som vi människor inte har förmåga att se. Den kan även ta fram unika och säkrare sätt att identifiera och autentisera människor på.Men vad händer när den biometriska informationen hamnar i fel händer?När leksakstillverkaren VTech 2015 hackades kom en angripare åt flera gigabyte av bilder, ljudinspelningar och filmer på barn som företaget lagrat genom sina enheter. Materialet kom från telefoner, laptops och klockor som använts av barn för att delvis kommunicera med sina föräldrar.

Det här är ett exempel på hur lätt biometrisk data kan hamna i fel händer. Ett lösenord är idag utbytbart om vi skulle bli av med det. Men din biometriska information är unik och går inte att byta ut vilket gör den väldigt känslig. Om vi nu skall använda oss av AI för att logga vår biometri och vårt beteende är det viktigt att få användarna att förstå exakt vilken typ av information som lagras och används. Företag som tar fram den här typen av teknik bör prioritera säkerheten vid lagring av dessa uppgifter men också ta fram tydliga och bra policys för användarnas integritet.

Precis som riktlinjerna för den nya GDPR-lagen specificerar är det också viktigt för AI-tekniker att inte lagra mer än vad som behövs. Ska tekniken användas i syfte att lära sig mer om ett mönster och agera därefter är det viktigt att vi sätter gränser. En tillräckligt bra kamera kan idag avläsa en persons hjärtpuls. Det kommer med andra ord lagras stora mängder personlig data och mycket av denna information behövs inte ens för ändamålet.

Fakta

Identifiering – är processen där en person hävdar eller bekräftar en identitet.

Autentisering – är processen där personen verifierar sin identitet genom att jämföra en eller flera faktorer mot en databas med giltiga identiteter.

Källa: “Certified Information System Security Professional”, Official Study Guide, SYBEX, Mike Chapple, James Michael Stewart, Darril Gibson, 2018

En årsdag som uppmanar till reflektion och eftertanke

|

I skrivande stund är det årsdagen av 9/11, attackerna som 2001 förändrade inte bara New York och Pentagon men hela världen. Så mycket har hänt sedan dess men samtidigt påverkar händelserna fortfarande skeenden idag.

Vi i västvärlden har både gått i krig och infört nya regelverk för att förhindra att detta avskyvärda dåd skall kunna upprepas. Men har vi lärt oss läxan? Det som hände var ett typiskt så kallad ”Black Swan”-scenario det vill säga en händelse som gick utanför den ”vedertagna” verklighetsuppfattningen hos de flesta ur befolkningen. Effekten av 9/11 blev så stor delvis på grund av den fruktansvärda förlusten av människoliv men också på grund av att den förändrade vår uppfattning om vårt samhälles sårbarhet.

Vilka nya Black Swan-scenarier skall vi oroa oss för idag? Har vi identifierat dessa och är vi bättre förberedda? När jag pratar med mina amerikanska kollegor och vänner i mitt nätverk så upptar dessa frågor ganska mycket av deras tid och tankekraft. Det scenario som ofta återkommer i dessa diskussioner är ett ”Digital 9/11”-scenario där en motståndare (stat eller terrororganisation) slår ut delar av amerikansk kritisk infrastruktur (elförsörjning, transporter, telekommunikationer, finansiella systemet etc.). Inom EU har vi givetvis också tänkt i dessa banor och har som ett resultat bland annat fått det så kallade NIS-direktivet vilket är ett bra första steg för att sätta strålkastarljuset på frågan vårt digitala samhälles sårbarhet. Men är det tillräckligt och implementerar vi tillräckligt fort? Mitt svar är dessvärre nej.

Jag tror att vi fortfarande saknar en viss ”sense of urgency” vilket jag tror beror på att vi underskattar den enorma hastigheten vårt samhälle förändras med genom digitaliseringen. All vår kritiska infrastruktur understöds av IT-system och kan därmed påverkas. När jag träffar beslutsfattare för stora organisationer (såväl inom näringslivet som inom det offentliga) är det ofta som senior rådgivare. Hos många av dessa börjar sårbarhetsinsikten finnas men de saknar ofta lösningarna. Just lösningarna förväntas vi som säkerhetsmänniskor komma med men vi behöver också uppdatera våra svar. Jag tror att många organisationer fortfarande är allt för standard-drivna i sina förhållningssätt. Idag finns helt nya möjligheter att bedriva pro-aktiva säkerhetsprogram genom att göra det ”hotbildsdrivet”.  På marknaden finns kraftfulla verktyg tillgängliga från ett flertal leverantörer av så kallat Threat Intel. Flera av dessa verktyg innehåller inte bara öppen data utan betydligt mer sofistikerat innehåll vilket skapar helt nya förutsättningar att prioritera och agera. Det är dags att varje CSO/CISO tar sig en titt på marknaden och uppdaterar sina program, processer och verktyg! Hotbildsdrivna säkerhetsprogram tror jag är det bästa sättet att undvika vår generations ”Black Swan”-scenarier. Vad tror du?

Until next time!

Rolf Rosenvinge

Reflexiv kontroll riktad mot Sverige inför valet?

|

Karl Lallerstedt, säkerhetsexpert på Svenskt Näringsliv, skriver om påverkanskampanjer som har drabbat svenska partier inför valet den 9 september. 

Socialdemokraternas hemsida utsattes för fyra överbelastningsattacker under augusti månad, den senaste förra veckan, samtidigt som statsministern och finansministern presenterade partiets valmanifest. Anders Ygeman, partiets gruppledare i riksdagen, sade efteråt till Dagens Nyheter att “Det finns ett politiskt syfte. Man vill slå ut vår möjlighet att kommunicera med väljarna via vår hemsida.”

Ygeman har helt rätt när han säger att det finns ett politiskt syfte med attackerna. Men syftet kan vara det motsatta till vad den mediala rapporteringen ger sken av. Kanske är det just den mediala reaktionen och uppmärksamheten attackerna skapade, snarare än attackernas direkta effekt som var ändamålet med attackerna. I attacken förra veckan låg Socialdemokraterna websida nere i 10 minuter, knappast något av avgörande betydelse.

Enligt den information vi känner till i dagsläget vet vi inte vem som låg bakom attackerna. Men faktum att IP-numren från den senaste attacken bland annat spårades till Ryssland, väcker ett reflexivt sätt att reagera, en automatisk koppling till idén att Ryssland försöker underminera arbetarepartiets förutsättningar i valet.

Om syftet med attackerna verkligen var att underminera Socialdemokraternas förmåga att kommunicera med väljarna var några minuters störning av en websida knappast en framgång. Men om syftet snarare var att hjälpa Socialdemokraterna var attacken framgångsrik. Landets största mediekanaler nappade och rapporterade ivrigt nyheten, och partiet fick gratis reklam där de framstod som ett offer för vad många sannolikt antog var en utländsk attack.

Om det nu var en främmande makt som låg bakom attacken, varför skulle de vilja gynna Socialdemokraterna? Det vekar ju som att påverkansoperationerna riktade mot Sverige i stor utsträckning har handlat om att öka oron kring invandring, brottslighet, och statens hantering av dessa fenomen. Detta är ju knappast något som har gynnat den sittande regeringspartierna, utan snarare Sverigedemokraterna.

Sverigedemokraternas starka ställning innebär att det med stor sannolikhet kommer att fortsätta vara en svag minoritetsregering som kommer att regera efter valet (oavsett färg).

Valet handlar om fortsatt socialistiskt styre med en NATO-skeptisk falang, eller en NATO-vänligare högerregering. Det är uppenbart vad vissa främmande makter skulle föredra.

Låt inte NIS-direktivet bli din semestersabotör

|

Förhoppningsvis väntar snart några lediga sommarveckor för de flesta av oss. Men innan dess behöver många företag skapa förberedelse för ytterligare en regelförändring inom säkerhetsområdet. Den 13 juni antog nämligen Riksdagen en ny lag, Informationssäkerhet för samhällsviktiga och digitala tjänster, vilket bland annat innebär att EU-direktivet NIS (Network and Information Security) införlivas i svenska lag redan från och med 1 augusti i år. Lagen gäller företag verksamma inom branscher som energi, transport, bank- och finans, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur och är primärt riktad mot leverantörer av kritisk infrastruktur, det vill säga de som får vårt samhälle att fungera.

Richard Oehme, Director PwC – Cybersäkerhet och kritisk infrastruktur (samhällssäkerhet)

I praktiken innebär det här att tekniska och organisatoriska säkerhetsåtgärder måste införas och att allvarliga IT-incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap. En tillsynsmyndighet för varje sektor kommer att ansvara för att regelverket följs och de kommer även att ha behörighet att besluta om sanktioner och viten. Bötesbelopp på upp till 10 miljoner kronor kan drabba ett bolag som inte följer lagen.

När PwC i våras gjorde en temperaturmätning av förberedelsen för NIS var resultaten oroväckande. Undersökningen Digital hållbarhet 2025 visade nämligen att knappt hälften (48 procent) av de bolag som berörs av NIS ansåg sig vara positionerade för förändringen. Motsvarande siffra för GDPR var hela 91 procent. Frågan är då om det helt enkelt har funnits en slagsida mot GDPR när det gäller bolagens förhållningssätt till 2018 års två stora säkerhetsförändringar? Än mer komplext blir läget våren 2019 då vi kan lägga till en tredje utmaning i och med att den nya svenska säkerhetsskyddslagen träder i kraft, en lag som klubbades av riksdagen för några veckor sedan. Spelreglerna förändras då ytterligare och det gäller att redan nu analysera vilken eller vilka av lagarna som då omfattar den egna verksamheten så att inte onödiga kostnader uppstår.

Många verksamheter behöver nu inse att de här säkerhetsförändringarna är verksamhetskritiska och att de måste lyftas in i ledningsgrupper och styrelserum. Därför är det oroande att vår undersökning kom fram till att bara 20 procent av de svenska bolagens IT-säkerhetsansvariga rapporterar direkt till företagsledning eller styrelse. En avsevärd skillnad mot omvärlden där 67 procent gör motsvarande rapportering enligt en global undersökning från PwC.

Än finns det tid till förberedelse för den förändring som NIS innebär – Men sommaren är kort i detta fall – Så innan du tar ett dopp i det blå och sköljer bort sanden mellan tårna – Se till att ert företag har beredskap inför den nya lagstiftningen som börjar gälla 1 augusti.

Naiviteten – ett hot mot demokratin

|

Den politiska debatten om brottslighet och otrygghet handlar nästan uteslutande om fler poliser, ny lagstiftning, hårdare tag och behov av militären i utsatta områden. Många av de förslag som diskuteras går dock på tvärs med internationell forskning. Nu krävs en parlamentarisk förnyelsekommission för rättsstaten.

Under den senaste tiden har flera politiker konstaterat att de varit naiva när det gäller synen på brottsligheten och otryggheten i Sverige. Det gäller inte minst beträffande situationen med ett 60-tal utsatta områden med påtaglig brottslighet, stor otrygghet och parallella samhällsstrukturer.

Problemet är dock att partierna inte verkar har lärt sig särskilt mycket och att naiviteten tycks kvarstå. Det framgår inte minst av den politiska debatten som i princip uteslutande handlar om fler poliser, ny lagstiftning, hårdare tag, behov av militären i utsatta områden etc.

Eftersom det saknas en ordentlig analys av orsakerna bakom polisens problem vet vi inte ens om fler poliser är lösningen. Och hur ska vi snabbt få fram fler poliser när det tar minst fem år att rekrytera, utbilda och få ut effekt av en nyutbildad polis? Inte heller de straffskärpningar som nu föreslås kommer att få omedelbara effekter eftersom lagstiftningsprocessen är ett trubbigt vapen som tar tid. Att därefter i praktiken få landets domare att börja tillämpa straffskärpningarna kommer inte heller gå över en natt.

Ovanstående förslag går dessutom på tvärs med internationell forskning och erfarenhet där istället andra faktorer lyfts fram som viktiga i kampen mot brottsligheten. Det handlar främst om:

  • Betydelsen av en lokalt förankrad polis och arbetet med att bygga tillit och legitimitet. Ett viktigt begrepp i detta sammanhang är processuell rättvisa (Procedural Justice) som handlar om att polisen alltid måste vara rättvis, delaktig, transparent, opartisk och ha en öppenhet i processen.
  • Insikten om att vi inte kan ”arrestera” oss ur den aktuella situationen; brottsligheten är alldeles för omfattande. Fokus måste istället vara på att förebygga och förhindra att brott överhuvudtaget uppstår genom både sociala insatser och så kallad situationell brottsprevention. Situationell brottsprevention handlar om att minska sannolikheten för att ett brott ska begås genom att göra brotten mindre lönsamma, mer riskabla och svårare att utföra. Exempel på sådana åtgärder är olika tekniska lösningar för att göra stöldbegärliga objekt mindre tillgängliga och attraktiva, t.ex. genom lås, larm, kameror och DNA-märkning. Andra exempel är att öka den formella och informella sociala kontrollen, t.ex. genom hur vi utformar den fysiska miljön i bostadsområden, offentliga rum och skolor.
  • Förståelsen för att brottsbekämpningen bara till en begränsad del bedrivs av polisen. Den verksamhet som slår vakt om rättssamhället kallas för ”law enforcement”. Självklart är polisen ofta den viktigaste myndigheten i detta sammanhang, men det finns även andra aktörer som är viktiga för att upprätthålla lagarna, t.ex. kommunerna.
  • Behovet av ett evidensbaserat arbetssätt, med betoning av kontextuella aspekter, d.v.s. att arbetssätten anpassas efter den aktuella situationen (bara för att en modell fungerat i Amsterdam behöver den per automatik inte fungera i Malmö). En viktig del i detta sammanhang är vikten av ”prakademiker”, dvs. personer som förstår både forskningen och de praktiska förutsättningarna.
  • Vetskapen om att vi aldrig får tala om poliser i termer av ”krigare” eller i termer som ”vi” och ”dem” (och självklart heller aldrig skicka in militär i utsatta områden).

Vad kan då göras för att vända det utsatta läge som vi hamnat i? På en övergripande nivå handlar det om tre åtgärder för att i en mer samlad form effektivisera landets förmåga att stå emot brottsligheten.

  • Tillsätt en parlamentarisk förnyelsekommission för hela rättsstaten
    Regeringen bör snarast tillsätta en parlamentarisk ”Förnyelsekommission för rättsstaten” för att klara ut hur landets samlade brottsbekämpande verksamhet ska vara beskaffad för att kunna möta dagens och morgondagens brottslighet. Viktiga frågor att besvara, med ett kritiskt tänkande som grund, är hur uppgifts- och ansvarsfördelningen ska vara mellan staten och kommunerna och vad andra aktörer, främst näringslivet, kan göra. Den moderna evidensbaserade polisforskningen måste på allvar ges möjlighet att påverka utvecklingen, till skillnad mot vad som var fallet i den nyss genomförda polisreformeringen. Andra viktiga frågor handlar om demografin, möjligheterna att få tag på kompetent personal, integrationen, den organiserade brottsligheten, internationaliseringen, terrorismen, skyddet av demokratin etc.
  • Tillsätt en särskilt genomförandemyndighet
    Efter snabb remissbehandling av Förnyelsekommissionens förslag bör regeringen tillsätta en särskild genomförandemyndighet som, vid sidan av befintliga myndigheter, tar hand om och genomför de förslag som riksdagen beslutar. En sådan genomförandemyndighet bör verka i vart fall i fem år och ska bemannas med landets främsta seniora experter, men även av de främsta utländska experterna och forskarna.
  • Inrätta en beredning för inrikes säkerhet
    Dessutom bör regeringen snarast inrätta en särskild ”Beredning för inrikes säkerhet” så att våra politiska partier ges möjlighet att, likt vad som gäller för hur den sittande Försvarsberedningen hanterar frågorna om det militära försvaret, mer långsiktigt kunna ta ställning till frågorna om hela rättsstatens förmåga. Dessa frågor måste tas om hand mycket mer professionellt av det politiska systemet för att undvika kortsiktig överbudspolitik och naivitet. Den föreslagna beredningen ska självklart noga följa arbetet i den ovan föreslagna kommissionen. Alla möjligheter att komma fram till konsensuslösningar som kan gälla över flera mandatperioder ska tas tillvara, allt för att öka förmågan att på sikt skydda landet mot brottsligheten.

Ytterst handlar dessa rättsstatsfrågor om skyddet av demokratin och vårt demokratiska styrelseskick. Det finns därför all anledning att inte enbart överlåta utvecklingen till enskilda myndigheter och myndighetschefer. Situationen är så allvarlig att frågorna måste hanteras av våra parlamentariker i samarbete med de mest erfarna experterna.

Magnus Lindgren
Generalsekreterare
Stiftelsen Tryggare Sverige

Rättsväsendet måste vinna tillbaka handlarnas förtroende

|

Enligt statistik från Brottsförebyggande rådet minskade stölderna i butik under 2017. På 10 år har antalet polisanmälda butiksstölder minskat med nära 30 procent. Svensk Handels egna undersökningar talar dock ett annat språk. När vi frågar våra medlemmar om deras utsatthet för brott kan vi konstatera att stölderna tvärtom ökat med cirka 30 procent de senaste tre åren. Det är ett resultat av att många handlare givit upp och slutat att anmäla brotten.

När polis och åklagare meddelar brottsoffren ”stölder under 60 kronor utreder vi inte”, ”ger inte brottet fängelse lägger vi ner utredningen” eller ”personen kommer troligen att dömas för andra brott, så vi släpper det” sänder det signalen att rättsväsendet inte tar brott som drabbar handeln på allvar.

Det i kombination med en polismyndighet i fritt fall, som inte ens mäktar med att utreda allvarliga övergrepp, har resulterat i att förtroendet för polis och åklagare är oroväckande lågt. Andelen sexualbrott och personrån har mer än fördubblats de senaste åren. Även antalet fall av misshandel, hot och trakasserier ökar också kraftigt (NTU 2016).

Ett grundfundament i den moderna demokratin är att ordning och trygghet upprätthålls. När medborgarna börjar tvivla på myndigheters och folkvaldas förmåga att skapa ordning riskerar ett frö av tvivel sås kring hela samhällskontraktet. Om de inte ens kan skydda oss mot vanliga gråtjuvar, kan vi då räkna med hjälp vid grövre brottslighet? Och frågan ställs, varför ska medborgaren hedra sin del av kontraktet, genom att betala in skatter och följa lagar och regler, om staten inte hedrar sin?

Svensk Handels undersökningar visar att två av tre stöldbrott begås av vaneförbrytare. Samtidigt verkar rättssystemet vara mer inriktat på dem som begår något enstaka brott. Risken att förlora jobbet eller få en prick i registret avskräcker knappast den som begått brott i hela sitt liv. Om man begår flera brott måste konsekvenserna bli kännbara och därför vara anpassade efter individens förutsättningar. Att 8 av 10 låter bli att betala sina böter visar på hur tandlöst dagens regelverk är.

Svensk Handel vill se fler synliga poliser på gator och torg och en kraftsamling mot vardagsbrott med fokus på vanekriminella. Påföljderna måste skärpas genom att straffrabatterna tas bort för dem som regelbundet begår brott. Politiker och myndighetsföreträdare måste börja visa att de förtjänar det förtroende som de fått och att det finns anledning för skattebetalarna att även fortsättningsvis hedra samhällskontraktet.

Per Geijer, säkerhetschef Svensk Handel

”Säkerheten glöms bort i IoT-projekten”

|

I teorin och i forskningsprojekten kring IoT-standarder är säkerheten en central del, och på agendan redan i ett initialt skede. Men i andra projekt som startar vid ”slöjdbänken” ute på företagen startar projekten med fokus på digitalisering och med att få igång piloter, vilka sväller och sprider sig fort utan att utvecklas tekniskt i någon större grad.

– Tänker man inte på säkerheten från början kan det få mycket oönskade effekter. IoT-säkerhet är både enkelt och smidigt att få till om man planerar för det i början av ett projekt, säger Daniel Hjort ansvarig för Smart ID på identitets- och säkerhetsföretaget Nexus Group.

Daniel Hjort

IoT (Internet of things) har fått ett enormt genomslag. Allt är på väg att bli uppkopplat, och bli en del av smarta system. Alla ser fantastiska möjligheter att öka omsättning, reducera kostnader och effektivisera verksamheten med IoT, och det finns många enkla och tillgängliga plattformar att koda och utveckla tekniken på. Genom att samla in data, och analysera och agera på den datan, kan företag spara pengar, förenkla för kunder, minska miljöpåverkan och strömlinjeforma sin affärsverksamhet.

Teckna din prenumeration på Aktuell Säkerhet här

– Man blir så exalterad när man ser hur platser kan bli säkrare med till exempel kameraövervakning, men man blir också oroad när man inser att enheterna som används oftast är skyddade med enbart lösenord, säger Daniel Hjort.

Man testar utan att tänka skalbarhet och logistik

Industrin och säkerhetsbranschen ser vilka enorma möjligheter som IoT skapar. Ett bilföretag lanserar nästa generations uppkopplade bilar men säkerheten släpar efter. Man kanske testar med en bilmodell eller väljer en säkerhetstjänst baserad på PKI-teknologi (public key infrastructure), men man inser snart att den varken är skalbar eller fungerar för dagens globala tillverkning och logistikprocess.

– Vi ser ett ökat intresse inom fordonsindustrin, till exempel att använda IoT-PKI för till exempel Car2X och Nexus mjukvara är ett smart val för att både lösa säkerhetskrav och en kostnadseffektiv tillverkningsprocess. Vi hjälper även telekomföretag med IoT-interoperabilitet, och vi jobbar redan med en av världens största tågbromstillverkare för säker identifiering och kommunikation med bromsarna på ett tåg, säger Hjort.

Forskningsprojekten ger enorma möjligheter

Nexus sitter med i flera forskningsprojekt; CEBOT, Secure IoT och Secredas. Projekten går ut på att utfärda identiteter till resursbegränsade IoT-enheter, till exempel batteridrivna sensorer. Man säkerställer i varje forsknings- och utvecklingssteg att säkerhetsaspekterna är väl omhändertagna. Forskningen leder fram till fantastiska möjligheter i plattformar, protokoll och standarder där säkerheten redan finns med, men säkerhetstänket måste tas med i början av utvecklingsprojekten, annars riskerar den att bli bortglömd.

– Det är hög tid att förstå de säkerhetsutmaningar som finns, nu när så många IoT-projekt är på gång. Samtidigt som säkerheten ska med från början, måste det även vara enkelt att inkludera en hög säkerhetsnivå. Att till exempel bara tänka användarnamn och lösenord är ingen lösning, det kommer helt enkelt med för stora brister. I den här processen är det viktigt att både värna användarnas likväl som företagens trygghet, säger Daniel Hjort.

På Säkerhetsgalan som tar plats den 15 mars är Daniel Hjort med i branschsvepet som tar avstamp i hur digitalisering och teknologisk utveckling förändrar vår värld. Internetveteranen och rådgivaren Joakim Jardenberg inleder med en högaktuell betraktelse kring digitaliseringen. Därefter ger Daniel Hjort, Sven Klockare, vd för Bravida Fire & Security, Richard Oehme från PwC Sverige, leverantörsperspektivet medan Susan Bergman, säkerhetschef vid Combitech, och Peter LIllius, säkerhetschef vid Apoteket, beskriver utmaningar i sina respektive roller.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29