Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Låt inte NIS-direktivet bli din semestersabotör

|

Förhoppningsvis väntar snart några lediga sommarveckor för de flesta av oss. Men innan dess behöver många företag skapa förberedelse för ytterligare en regelförändring inom säkerhetsområdet. Den 13 juni antog nämligen Riksdagen en ny lag, Informationssäkerhet för samhällsviktiga och digitala tjänster, vilket bland annat innebär att EU-direktivet NIS (Network and Information Security) införlivas i svenska lag redan från och med 1 augusti i år. Lagen gäller företag verksamma inom branscher som energi, transport, bank- och finans, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur och är primärt riktad mot leverantörer av kritisk infrastruktur, det vill säga de som får vårt samhälle att fungera.

Richard Oehme, Director PwC – Cybersäkerhet och kritisk infrastruktur (samhällssäkerhet)

I praktiken innebär det här att tekniska och organisatoriska säkerhetsåtgärder måste införas och att allvarliga IT-incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap. En tillsynsmyndighet för varje sektor kommer att ansvara för att regelverket följs och de kommer även att ha behörighet att besluta om sanktioner och viten. Bötesbelopp på upp till 10 miljoner kronor kan drabba ett bolag som inte följer lagen.

När PwC i våras gjorde en temperaturmätning av förberedelsen för NIS var resultaten oroväckande. Undersökningen Digital hållbarhet 2025 visade nämligen att knappt hälften (48 procent) av de bolag som berörs av NIS ansåg sig vara positionerade för förändringen. Motsvarande siffra för GDPR var hela 91 procent. Frågan är då om det helt enkelt har funnits en slagsida mot GDPR när det gäller bolagens förhållningssätt till 2018 års två stora säkerhetsförändringar? Än mer komplext blir läget våren 2019 då vi kan lägga till en tredje utmaning i och med att den nya svenska säkerhetsskyddslagen träder i kraft, en lag som klubbades av riksdagen för några veckor sedan. Spelreglerna förändras då ytterligare och det gäller att redan nu analysera vilken eller vilka av lagarna som då omfattar den egna verksamheten så att inte onödiga kostnader uppstår.

Många verksamheter behöver nu inse att de här säkerhetsförändringarna är verksamhetskritiska och att de måste lyftas in i ledningsgrupper och styrelserum. Därför är det oroande att vår undersökning kom fram till att bara 20 procent av de svenska bolagens IT-säkerhetsansvariga rapporterar direkt till företagsledning eller styrelse. En avsevärd skillnad mot omvärlden där 67 procent gör motsvarande rapportering enligt en global undersökning från PwC.

Än finns det tid till förberedelse för den förändring som NIS innebär – Men sommaren är kort i detta fall – Så innan du tar ett dopp i det blå och sköljer bort sanden mellan tårna – Se till att ert företag har beredskap inför den nya lagstiftningen som börjar gälla 1 augusti.

Naiviteten – ett hot mot demokratin

|

Den politiska debatten om brottslighet och otrygghet handlar nästan uteslutande om fler poliser, ny lagstiftning, hårdare tag och behov av militären i utsatta områden. Många av de förslag som diskuteras går dock på tvärs med internationell forskning. Nu krävs en parlamentarisk förnyelsekommission för rättsstaten.

Under den senaste tiden har flera politiker konstaterat att de varit naiva när det gäller synen på brottsligheten och otryggheten i Sverige. Det gäller inte minst beträffande situationen med ett 60-tal utsatta områden med påtaglig brottslighet, stor otrygghet och parallella samhällsstrukturer.

Problemet är dock att partierna inte verkar har lärt sig särskilt mycket och att naiviteten tycks kvarstå. Det framgår inte minst av den politiska debatten som i princip uteslutande handlar om fler poliser, ny lagstiftning, hårdare tag, behov av militären i utsatta områden etc.

Eftersom det saknas en ordentlig analys av orsakerna bakom polisens problem vet vi inte ens om fler poliser är lösningen. Och hur ska vi snabbt få fram fler poliser när det tar minst fem år att rekrytera, utbilda och få ut effekt av en nyutbildad polis? Inte heller de straffskärpningar som nu föreslås kommer att få omedelbara effekter eftersom lagstiftningsprocessen är ett trubbigt vapen som tar tid. Att därefter i praktiken få landets domare att börja tillämpa straffskärpningarna kommer inte heller gå över en natt.

Ovanstående förslag går dessutom på tvärs med internationell forskning och erfarenhet där istället andra faktorer lyfts fram som viktiga i kampen mot brottsligheten. Det handlar främst om:

  • Betydelsen av en lokalt förankrad polis och arbetet med att bygga tillit och legitimitet. Ett viktigt begrepp i detta sammanhang är processuell rättvisa (Procedural Justice) som handlar om att polisen alltid måste vara rättvis, delaktig, transparent, opartisk och ha en öppenhet i processen.
  • Insikten om att vi inte kan ”arrestera” oss ur den aktuella situationen; brottsligheten är alldeles för omfattande. Fokus måste istället vara på att förebygga och förhindra att brott överhuvudtaget uppstår genom både sociala insatser och så kallad situationell brottsprevention. Situationell brottsprevention handlar om att minska sannolikheten för att ett brott ska begås genom att göra brotten mindre lönsamma, mer riskabla och svårare att utföra. Exempel på sådana åtgärder är olika tekniska lösningar för att göra stöldbegärliga objekt mindre tillgängliga och attraktiva, t.ex. genom lås, larm, kameror och DNA-märkning. Andra exempel är att öka den formella och informella sociala kontrollen, t.ex. genom hur vi utformar den fysiska miljön i bostadsområden, offentliga rum och skolor.
  • Förståelsen för att brottsbekämpningen bara till en begränsad del bedrivs av polisen. Den verksamhet som slår vakt om rättssamhället kallas för ”law enforcement”. Självklart är polisen ofta den viktigaste myndigheten i detta sammanhang, men det finns även andra aktörer som är viktiga för att upprätthålla lagarna, t.ex. kommunerna.
  • Behovet av ett evidensbaserat arbetssätt, med betoning av kontextuella aspekter, d.v.s. att arbetssätten anpassas efter den aktuella situationen (bara för att en modell fungerat i Amsterdam behöver den per automatik inte fungera i Malmö). En viktig del i detta sammanhang är vikten av ”prakademiker”, dvs. personer som förstår både forskningen och de praktiska förutsättningarna.
  • Vetskapen om att vi aldrig får tala om poliser i termer av ”krigare” eller i termer som ”vi” och ”dem” (och självklart heller aldrig skicka in militär i utsatta områden).

Vad kan då göras för att vända det utsatta läge som vi hamnat i? På en övergripande nivå handlar det om tre åtgärder för att i en mer samlad form effektivisera landets förmåga att stå emot brottsligheten.

  • Tillsätt en parlamentarisk förnyelsekommission för hela rättsstaten
    Regeringen bör snarast tillsätta en parlamentarisk ”Förnyelsekommission för rättsstaten” för att klara ut hur landets samlade brottsbekämpande verksamhet ska vara beskaffad för att kunna möta dagens och morgondagens brottslighet. Viktiga frågor att besvara, med ett kritiskt tänkande som grund, är hur uppgifts- och ansvarsfördelningen ska vara mellan staten och kommunerna och vad andra aktörer, främst näringslivet, kan göra. Den moderna evidensbaserade polisforskningen måste på allvar ges möjlighet att påverka utvecklingen, till skillnad mot vad som var fallet i den nyss genomförda polisreformeringen. Andra viktiga frågor handlar om demografin, möjligheterna att få tag på kompetent personal, integrationen, den organiserade brottsligheten, internationaliseringen, terrorismen, skyddet av demokratin etc.
  • Tillsätt en särskilt genomförandemyndighet
    Efter snabb remissbehandling av Förnyelsekommissionens förslag bör regeringen tillsätta en särskild genomförandemyndighet som, vid sidan av befintliga myndigheter, tar hand om och genomför de förslag som riksdagen beslutar. En sådan genomförandemyndighet bör verka i vart fall i fem år och ska bemannas med landets främsta seniora experter, men även av de främsta utländska experterna och forskarna.
  • Inrätta en beredning för inrikes säkerhet
    Dessutom bör regeringen snarast inrätta en särskild ”Beredning för inrikes säkerhet” så att våra politiska partier ges möjlighet att, likt vad som gäller för hur den sittande Försvarsberedningen hanterar frågorna om det militära försvaret, mer långsiktigt kunna ta ställning till frågorna om hela rättsstatens förmåga. Dessa frågor måste tas om hand mycket mer professionellt av det politiska systemet för att undvika kortsiktig överbudspolitik och naivitet. Den föreslagna beredningen ska självklart noga följa arbetet i den ovan föreslagna kommissionen. Alla möjligheter att komma fram till konsensuslösningar som kan gälla över flera mandatperioder ska tas tillvara, allt för att öka förmågan att på sikt skydda landet mot brottsligheten.

Ytterst handlar dessa rättsstatsfrågor om skyddet av demokratin och vårt demokratiska styrelseskick. Det finns därför all anledning att inte enbart överlåta utvecklingen till enskilda myndigheter och myndighetschefer. Situationen är så allvarlig att frågorna måste hanteras av våra parlamentariker i samarbete med de mest erfarna experterna.

Magnus Lindgren
Generalsekreterare
Stiftelsen Tryggare Sverige

Rättsväsendet måste vinna tillbaka handlarnas förtroende

|

Enligt statistik från Brottsförebyggande rådet minskade stölderna i butik under 2017. På 10 år har antalet polisanmälda butiksstölder minskat med nära 30 procent. Svensk Handels egna undersökningar talar dock ett annat språk. När vi frågar våra medlemmar om deras utsatthet för brott kan vi konstatera att stölderna tvärtom ökat med cirka 30 procent de senaste tre åren. Det är ett resultat av att många handlare givit upp och slutat att anmäla brotten.

När polis och åklagare meddelar brottsoffren ”stölder under 60 kronor utreder vi inte”, ”ger inte brottet fängelse lägger vi ner utredningen” eller ”personen kommer troligen att dömas för andra brott, så vi släpper det” sänder det signalen att rättsväsendet inte tar brott som drabbar handeln på allvar.

Det i kombination med en polismyndighet i fritt fall, som inte ens mäktar med att utreda allvarliga övergrepp, har resulterat i att förtroendet för polis och åklagare är oroväckande lågt. Andelen sexualbrott och personrån har mer än fördubblats de senaste åren. Även antalet fall av misshandel, hot och trakasserier ökar också kraftigt (NTU 2016).

Ett grundfundament i den moderna demokratin är att ordning och trygghet upprätthålls. När medborgarna börjar tvivla på myndigheters och folkvaldas förmåga att skapa ordning riskerar ett frö av tvivel sås kring hela samhällskontraktet. Om de inte ens kan skydda oss mot vanliga gråtjuvar, kan vi då räkna med hjälp vid grövre brottslighet? Och frågan ställs, varför ska medborgaren hedra sin del av kontraktet, genom att betala in skatter och följa lagar och regler, om staten inte hedrar sin?

Svensk Handels undersökningar visar att två av tre stöldbrott begås av vaneförbrytare. Samtidigt verkar rättssystemet vara mer inriktat på dem som begår något enstaka brott. Risken att förlora jobbet eller få en prick i registret avskräcker knappast den som begått brott i hela sitt liv. Om man begår flera brott måste konsekvenserna bli kännbara och därför vara anpassade efter individens förutsättningar. Att 8 av 10 låter bli att betala sina böter visar på hur tandlöst dagens regelverk är.

Svensk Handel vill se fler synliga poliser på gator och torg och en kraftsamling mot vardagsbrott med fokus på vanekriminella. Påföljderna måste skärpas genom att straffrabatterna tas bort för dem som regelbundet begår brott. Politiker och myndighetsföreträdare måste börja visa att de förtjänar det förtroende som de fått och att det finns anledning för skattebetalarna att även fortsättningsvis hedra samhällskontraktet.

Per Geijer, säkerhetschef Svensk Handel

”Säkerheten glöms bort i IoT-projekten”

|

I teorin och i forskningsprojekten kring IoT-standarder är säkerheten en central del, och på agendan redan i ett initialt skede. Men i andra projekt som startar vid ”slöjdbänken” ute på företagen startar projekten med fokus på digitalisering och med att få igång piloter, vilka sväller och sprider sig fort utan att utvecklas tekniskt i någon större grad.

– Tänker man inte på säkerheten från början kan det få mycket oönskade effekter. IoT-säkerhet är både enkelt och smidigt att få till om man planerar för det i början av ett projekt, säger Daniel Hjort ansvarig för Smart ID på identitets- och säkerhetsföretaget Nexus Group.

Daniel Hjort

IoT (Internet of things) har fått ett enormt genomslag. Allt är på väg att bli uppkopplat, och bli en del av smarta system. Alla ser fantastiska möjligheter att öka omsättning, reducera kostnader och effektivisera verksamheten med IoT, och det finns många enkla och tillgängliga plattformar att koda och utveckla tekniken på. Genom att samla in data, och analysera och agera på den datan, kan företag spara pengar, förenkla för kunder, minska miljöpåverkan och strömlinjeforma sin affärsverksamhet.

Teckna din prenumeration på Aktuell Säkerhet här

– Man blir så exalterad när man ser hur platser kan bli säkrare med till exempel kameraövervakning, men man blir också oroad när man inser att enheterna som används oftast är skyddade med enbart lösenord, säger Daniel Hjort.

Man testar utan att tänka skalbarhet och logistik

Industrin och säkerhetsbranschen ser vilka enorma möjligheter som IoT skapar. Ett bilföretag lanserar nästa generations uppkopplade bilar men säkerheten släpar efter. Man kanske testar med en bilmodell eller väljer en säkerhetstjänst baserad på PKI-teknologi (public key infrastructure), men man inser snart att den varken är skalbar eller fungerar för dagens globala tillverkning och logistikprocess.

– Vi ser ett ökat intresse inom fordonsindustrin, till exempel att använda IoT-PKI för till exempel Car2X och Nexus mjukvara är ett smart val för att både lösa säkerhetskrav och en kostnadseffektiv tillverkningsprocess. Vi hjälper även telekomföretag med IoT-interoperabilitet, och vi jobbar redan med en av världens största tågbromstillverkare för säker identifiering och kommunikation med bromsarna på ett tåg, säger Hjort.

Forskningsprojekten ger enorma möjligheter

Nexus sitter med i flera forskningsprojekt; CEBOT, Secure IoT och Secredas. Projekten går ut på att utfärda identiteter till resursbegränsade IoT-enheter, till exempel batteridrivna sensorer. Man säkerställer i varje forsknings- och utvecklingssteg att säkerhetsaspekterna är väl omhändertagna. Forskningen leder fram till fantastiska möjligheter i plattformar, protokoll och standarder där säkerheten redan finns med, men säkerhetstänket måste tas med i början av utvecklingsprojekten, annars riskerar den att bli bortglömd.

– Det är hög tid att förstå de säkerhetsutmaningar som finns, nu när så många IoT-projekt är på gång. Samtidigt som säkerheten ska med från början, måste det även vara enkelt att inkludera en hög säkerhetsnivå. Att till exempel bara tänka användarnamn och lösenord är ingen lösning, det kommer helt enkelt med för stora brister. I den här processen är det viktigt att både värna användarnas likväl som företagens trygghet, säger Daniel Hjort.

På Säkerhetsgalan som tar plats den 15 mars är Daniel Hjort med i branschsvepet som tar avstamp i hur digitalisering och teknologisk utveckling förändrar vår värld. Internetveteranen och rådgivaren Joakim Jardenberg inleder med en högaktuell betraktelse kring digitaliseringen. Därefter ger Daniel Hjort, Sven Klockare, vd för Bravida Fire & Security, Richard Oehme från PwC Sverige, leverantörsperspektivet medan Susan Bergman, säkerhetschef vid Combitech, och Peter LIllius, säkerhetschef vid Apoteket, beskriver utmaningar i sina respektive roller.

Cyberpropaganda ett av säkerhetshoten 2018

|

I svenska rapporten Radar Cybersecurity 2018 konstateras att det har skett ”en markant förändrad inställning till cybersäkerhet i styrelser och högsta ledningen hos organisationer”. Flera uppmärksammade attacker med allvarliga följder det senaste året har sannolikt bidragit till detta. Säkerhetshot som ransomware kommer att fortsätta öka under 2018, men det enskilt största debattämnet blir cyberpropaganda kring svenska riksdagsvalet.

Förra året avslöjade Trend Micro den dolda marknaden som fungerar som en ”fabrik” för att skapa falska nyheter som väcker misstro mot partier och offentliga personer. Syftet är att påverka till exempel opinionen i ett land – och därmed även eventuella framtida val. Prislappen för en ”färdig kampanj” ligger på runt 3,5 miljoner svenska kronor.

Nya tekniker gör det ännu svårare att upptäcka falsk propaganda, till exempel möjligheten att manipulera bilder och filmer. Men tekniken gör det även enklare att sprida detta innehåll. Fenomenet kommer sannolikt att öka inför det svenska valet, men också i det amerikanska mellanårsvalet till hösten. Det finns ingen enskild teknik som kan stoppa falska nyheter. Däremot kan samlade insatser från sociala mediaplattformar, i kombination med att enskilda individer varnar för falskt innehåll, motverka spridningen.

Cyberpropaganda behöver inte bara handla om falsk information. Ett större hot kan vara spridning av sann information. Avancerade dataintrång kring valen i både USA och Frankrike har gjort att Säpo har fått i uppdrag att utbilda de svenska riksdagspartierna i IT-säkerhet för att förebygga att information stjäls genom nätfiskeattacker. Tyvärr kan ju en sådan stöld redan ha inträffat, där angriparna bara inväntar rätt tillfälle att sprida den stulna informationen när den slår som hårdast mot offret.

Ett annat hot som fortsätter att växa är ransomware, det vill säga kidnappningsprogram som krypterar data på offrets dator (eller andra enheter) och kräver en lösensumma för att låsa upp den. Förra året skapade exempelvis attackerna WannaCry och Petya stora rubriker världen över. Bland annat slog attackerna ut verksamheterna hos både sjukhus och företag. Under 2018 kommer cyberbrottslingarna rikta in sig mer på att blockera viktiga funktioner i verksamheter och därmed kunna tjäna stora pengar på varje incident, snarare än att angripa stora volymer av enskilda datorer.

En möjlighet är även att GDPR spelar förövarna i händerna. Cyberbrottslingar skulle kunna stjäla data och sedan förhandla om en lösensumma med den drabbade organisationen som enligt de nya EU-direktiven kan riskera upp till fyra procent av årsomsättningen.

Det växande antalet uppkopplade saker – allt från bilar till hus och fabriker – innebär nya möjligheter för cyberbrottslingar att skapa kaos. Eftersom det är mer komplicerat att uppdatera programvarorna i uppkopplade prylar än exempelvis en dator kan det vara en utmaning att hålla jämna steg med utvecklingen av säkerhetshoten. När Trend Micro förra året granskade tio huvudstäder i Västeuropa (däribland Stockholm) hittades över tio miljoner uppkopplade enheter som var öppna och därmed sårbara för attacker. Ett annat säkerhetshot på uppgång är attacker mot medicinsk utrustning, till exempel livsuppehållande enheter som pacemakers, som har visat sig öppna för sårbarheter.

Till sist kommer vi att se en fortsatt stark ökning av VD-mejlbedrägerier, en metod som tyvärr alltför ofta lyckas. Bedrägerierna bygger på ”social ingenjörskonst”, där angriparna samlar in uppgifter om företagsledningar och dess medarbetare för att kunna lura ekonomiavdelningen att betala falska fakturor. Ofta kommer förövarna över sexsiffriga belopp vid varje tillfälle. Trend Micro förutspår att fenomenet kommer att fördubblas under 2018, till ett samlat globalt värde av 9,1 miljarder dollar.

Utvecklingen inom cybersäkerhet kan verka dyster men ju högre upp i företag och organisationer dessa utmaningar diskuteras, desto svårare gör vi det för angriparna. Några grundläggande säkerhetstips är att använda säkerhet i flera lager, starka lösenord som ofta byts ut, uppdaterade programvaror och framför allt ett sunt förnuft: öppna inte mejl och klicka inte på länkar som verkar misstänksamma, oavsett vem de kommer från.

Johan Jarl, it-säkerhetsexpert Trend Micro

Cyberpropaganda ett av säkerhetshoten 2018

|

I svenska rapporten Radar Cybersecurity 2018 konstateras att det har skett ”en markant förändrad inställning till cybersäkerhet i styrelser och högsta ledningen hos organisationer”. Flera uppmärksammade attacker med allvarliga följder det senaste året har sannolikt bidragit till detta. Säkerhetshot som ransomware kommer att fortsätta öka under 2018, men det enskilt största debattämnet blir cyberpropaganda kring svenska riksdagsvalet.

Förra året avslöjade Trend Micro den dolda marknaden som fungerar som en ”fabrik” för att skapa falska nyheter som väcker misstro mot partier och offentliga personer. Syftet är att påverka till exempel opinionen i ett land – och därmed även eventuella framtida val. Prislappen för en ”färdig kampanj” ligger på runt 3,5 miljoner svenska kronor.

Nya tekniker gör det ännu svårare att upptäcka falsk propaganda, till exempel möjligheten att manipulera bilder och filmer. Men tekniken gör det även enklare att sprida detta innehåll. Fenomenet kommer sannolikt att öka inför det svenska valet, men också i det amerikanska mellanårsvalet till hösten. Det finns ingen enskild teknik som kan stoppa falska nyheter. Däremot kan samlade insatser från sociala mediaplattformar, i kombination med att enskilda individer varnar för falskt innehåll, motverka spridningen.

Cyberpropaganda behöver inte bara handla om falsk information. Ett större hot kan vara spridning av sann information. Avancerade dataintrång kring valen i både USA och Frankrike har gjort att Säpo har fått i uppdrag att utbilda de svenska riksdagspartierna i IT-säkerhet för att förebygga att information stjäls genom nätfiskeattacker. Tyvärr kan ju en sådan stöld redan ha inträffat, där angriparna bara inväntar rätt tillfälle att sprida den stulna informationen när den slår som hårdast mot offret.

Ett annat hot som fortsätter att växa är ransomware, det vill säga kidnappningsprogram som krypterar data på offrets dator (eller andra enheter) och kräver en lösensumma för att låsa upp den. Förra året skapade exempelvis attackerna WannaCry och Petya stora rubriker världen över. Bland annat slog attackerna ut verksamheterna hos både sjukhus och företag. Under 2018 kommer cyberbrottslingarna rikta in sig mer på att blockera viktiga funktioner i verksamheter och därmed kunna tjäna stora pengar på varje incident, snarare än att angripa stora volymer av enskilda datorer.

En möjlighet är även att GDPR spelar förövarna i händerna. Cyberbrottslingar skulle kunna stjäla data och sedan förhandla om en lösensumma med den drabbade organisationen som enligt de nya EU-direktiven kan riskera upp till fyra procent av årsomsättningen.

Det växande antalet uppkopplade saker – allt från bilar till hus och fabriker – innebär nya möjligheter för cyberbrottslingar att skapa kaos. Eftersom det är mer komplicerat att uppdatera programvarorna i uppkopplade prylar än exempelvis en dator kan det vara en utmaning att hålla jämna steg med utvecklingen av säkerhetshoten. När Trend Micro förra året granskade tio huvudstäder i Västeuropa (däribland Stockholm) hittades över tio miljoner uppkopplade enheter som var öppna och därmed sårbara för attacker. Ett annat säkerhetshot på uppgång är attacker mot medicinsk utrustning, till exempel livsuppehållande enheter som pacemakers, som har visat sig öppna för sårbarheter.

Till sist kommer vi att se en fortsatt stark ökning av VD-mejlbedrägerier, en metod som tyvärr alltför ofta lyckas. Bedrägerierna bygger på ”social ingenjörskonst”, där angriparna samlar in uppgifter om företagsledningar och dess medarbetare för att kunna lura ekonomiavdelningen att betala falska fakturor. Ofta kommer förövarna över sexsiffriga belopp vid varje tillfälle. Trend Micro förutspår att fenomenet kommer att fördubblas under 2018, till ett samlat globalt värde av 9,1 miljarder dollar.

Utvecklingen inom cybersäkerhet kan verka dyster men ju högre upp i företag och organisationer dessa utmaningar diskuteras, desto svårare gör vi det för angriparna. Några grundläggande säkerhetstips är att använda säkerhet i flera lager, starka lösenord som ofta byts ut, uppdaterade programvaror och framför allt ett sunt förnuft: öppna inte mejl och klicka inte på länkar som verkar misstänksamma, oavsett vem de kommer från.

Johan Jarl, it-säkerhetsexpert Trend Micro

Apropå det privatiserade våldsmonopolet

|

I en krönika publicerad förra söndagen på dagensarena.se, skriver Per Wirtén att han får rysningar av ”det privatiserade våldsmonopolet”. Joachim Källsholm, vd för Securitas Sverige, har publicerat sitt svar på denna.
Som företrädare för ett av de större privata säkerhetsföretagen – som för övrigt inte kör omkring i det Wirtén kallar ”maffiga bilar” eftersom vi använder miljösmarta fordon – känner jag mig tvungen att replikera eftersom han pekar ut såväl branschen som våra medarbetare.

Joachim Källsholm

Min bestämda uppfattning är att vi måste ha en klar och tydlig gränsdragning gällande våldsmonopolet i Sverige – vem som ska göra vad och var och hur det ska utföras. Det här är ett absolut nödvändigt fundament för att upprätthålla en fungerande rättsstat.

Teckna din prenumeration av Aktuell Säkerhet här

Det är naivt att påstå att Sveriges mest mörklagda privatisering är den av polisarbetet – det faller på sin egen orimlighet. Privata aktörer finns i såväl Sverige som i övriga delar av världen och har inte med våldsmonopolets ägande att göra men i takt med att den generella osäkerheten ökar, samtidigt som antalet medborgare blir allt fler, är ett samarbete mellan polisorganisationen och säkerhetsbranschen nödvändigt för att kunna uppnå goda resultat. Det här samarbetet pågår i detta nu med det gemensamma målet ett säkrare Sverige. Att splittra Polisen genom att skapa det skribenten kallar ”ett slags lättpoliser” är ingen framkomlig väg och saknar verklighetsförankring. Jag och många av mina kollegor menar att Sverige å det snaraste behöver rekrytera minst 10 000 nya poliser – ändå är det långt ifrån tillräckligt för att kunna hantera säkerhetsbehovet. Vi vet alla 10 000 nyrekryterade poliser inte ligger inom möjlighetens gränser, så varför inte acceptera säkerhet i form av väktare, ordningsvakter, kameror och andra tekniska lösningar? Ja, det kostar pengar men det innebär också en brottsprevention som besparar samhället betydligt större utgifter.

Per Wirtén skriver också att ordningsvakters närvaro på offentliga platser ger honom rysningar av obehag och otrygghet. Jag önskar att han hade kunnat ta del av alla de hyllningar och den tacksamhet som framfördes till mig och mina branschkollegor efter våra ordningsvakters och väktares insatser i samband med terrorattentatet på Drottninggatan i våras. Terrorattentatet den 7 april hanterades skyndsamt och verkligen professionellt av polis och räddningstjänst. En mindre känd faktor är den roll som säkerhetsföretagens medarbetare spelade. Eftersom våra medarbetare är på plats när något inträffar, betyder det att de är ensamma på plats under de första farligaste minuterna innan polis och räddningstjänst anländer. De är dessutom nödvändiga för det fortsatta arbetet med att upprätthålla ordningen på platsen.

I olika enkäter som säkerhetsbranschen har låtit göra i områden där så kallade paragraf 3-platser[1] har upprättats, är handlarna eniga; de upplever att tryggheten har ökat sedan ordningsvakter och kameror har satts in. Det här är en uppfattning som delar med bland annat företag som driver kollektivtrafik och allmänheten. Helt säkert finns det personer som inte borde arbeta som väktare och ordningsvakter – något som vi som bransch har all anledning att se över och göra något åt – men faktum kvarstår att alla som är anställda i ett auktoriserat säkerhetsföretag är godkända av Polismyndigheten och länsstyrelsen.

En fråga som vi också bör diskutera i sammanhanget är den om vilket slags våld och vilka tvångsmedel som väktare och ordningsvakter får använda med hänsyn tagen till deras korta utbildning. Av rädsla för att själva ska bli uthängda, tvekar personal som bevakar viktiga anläggningar inför att använda de tvångsmedel (läs: gripande och omhändertagande) som statsmakten har gett dem. Fokus hamnar ofta på dem som individer och inte på lagstiftaren som har gett dem mandaten. Det är dags att sluta upp bakom personal som anförtros viktiga skyddsuppdrag och istället förstå att konfrontationer kan förekomma som en del av deras arbete. Därmed inte sagt att säkerhetsföretagen någonsin kommer att acceptera övervåld.

Polisen ska vara synlig, ja, men det handlar om att synliggöra å ena sidan vad som är prioriterade uppgifter och vad någon annan kan göra mer kostnadseffektivt, å den andra. Vår bransch vill fortsätta samarbetet med myndigheter för att uppnå bästa möjliga trygghet för Sveriges invånare och jag är både stolt och glad över att få verka inom denna ”industri” som varje dag, i våra kompetenta medarbetares skepnad, gör stor skillnad för samhället – dig inberäknat, Per Wirtén; oaktat om de ger dig rysningar.

Joachim Källström
[1] Platser som är prövade och beslutade av polisen enligt 3 § lagen (1980:578) om ordningsvakter (LOV).

Polisen ger felaktiga och farliga råd vid våld i nära relationer

|

Trots forskning som visar att ingripanden vid våld i nära relationer är mycket osäkra och farliga, uppmanar Polisen grannar att ringa på dörren vid våld i nära relation. Hur ska grannar kunna agera på ett säkert sätt när poliser kan ha svårt att hantera de hotfulla situationer som lätt uppstår? Till skillnad från allmänheten har polisen trots allt både erfarenhet, träning och skydd.

Ett jämställt samhälle utan trakasserier och med offentliga platser som är säkra och trygga för alla kan tyckas som en självklarhet. Rapporterna om näthat och sexuella ofredanden mot kvinnor samt offentliga rum där kvinnor kontrolleras av män har emellertid aldrig tidigare varit så många som nu.

Under uppropet #MeToo vittnar tusentals kvinnor i sociala medier om sina erfarenheter och upprördheten är med rätta stor. Även om problematiken inte har varit okänd sedan tidigare bidrar uppropet till samtal i medier, på arbetsplatser och vid köksbord om det som många kvinnor upplever.

Teckna din prenumeration av Aktuell Säkerhet här

I bästa fall kan detta bidra till ökad uppmärksamhet och medvetenhet om problemen. Men vad händer när debatten ebbat ut och politikernas tal om att sätta ned foten klingat av?

Risken är påtaglig att debatten som vanligt endast leder till vällovliga symbolhandlingar i form av nya armband och påkostade affischkampanjer, fler byggnader som är upplysta i orange etc. Alltså åtgärder som inte förändrar något i praktiken och därmed heller inte hotar någon.

Som en reaktion mot etablissemangets oförmåga att komma till rätta med sexuella ofredanden och våld mot kvinnor har det runt om i världen startats olika initiativ. I New York City och många andra amerikanska städer arbetar folkrörelsen Hollaback för att uppmärksamma kvinnors utsatthet på stadens gator. Kvinnor som utsätts för sexuella ofredanden uppmuntras att ta foton av gärningspersonen med sina mobiltelefoner och ladda upp på nätet, medan vittnen uppmanas att ingripa för att stoppa trakasserierna. Även om vissa av de strategier som förespråkas (t.ex. “Bystander Intervention”) har visat sig ha viss brottsförebyggande effekt har rekommendationerna lett till ett ökat antal konfrontationer. Det har också bidragit till näthat och en större hotbild för både grundarna av Hollaback och för personer som delar med sig av sina erfarenheter.

Sedan 2014 finns ett liknande initiativ i Sverige kallat Huskurage, där grannar uppmanas att agera vid våld i nära relation genom att ringa på dörren och fråga hur det står till. Bakom Huskurage finns en rad ambassadörer som sprider budskapet, däribland Polismyndigheten, Fastighetsägarna och JM AB. Initiativet innehåller flera inslag som kan bidra till att öka medvetenheten om våld i nära relationer och skapa bättre förutsättningar för drabbade att få hjälp och stöd. Ett bra exempel är att fastighetsägare sätter upp information i trapphus med telefonnummer till kvinno- och tjejjourer.

Det är däremot anmärkningsvärt att Polismyndigheten ställer sig bakom och sprider ett initiativ som uppmanar grannar att ringa på dörren vid våld i nära relationer. Forskning visar nämligen att denna typ av ingripande för poliser är mycket osäkra och farliga situationer.

På grund av de risker som är förknippade med ingripande vid våld i nära relationer indikerar forskning att poliser måste göra strukturerade hot- och riskbedömningar samt är i behov av särskild kunskap och extra träning för att kunna agera professionellt i dessa sammanhang.

Hur ska grannar kunna agera på ett säkert sätt när poliser kan ha svårt att hantera de hotfulla situationer som lätt uppstår? Till skillnad från allmänheten har polisen trots allt både erfarenhet, träning och skydd. Om grannarna till 41-åriga Lotta, som misshandlades till döds av en grovt kriminell man i Stockholm för ett år sedan, följt Huskurages rekommendationer är risken påtaglig att fler hade kommit till skada.

Gemensamt för exempel som Huskurage och Hollaback är alltså att det är de drabbade själva och allmänheten som uppmanas att agera för att förhindra brott i såväl offentlig och privat miljö som på nätet, och visst är det viktigt med civilkurage. Vad gäller våld i nära relation är den stora utmaningen i dagsläget att grannar överhuvudtaget inte ringer polisen vid misstanke om våld i nära relationer. Budskapet borde därför, först och främst, vara att uppmana grannar att höra av sig till polisen.

Precis som vid olycksplatser är det primära att säkra att man själv är skyddad, för annars går det inte att hjälpa någon annan. Sedan ska polisen kontaktas för att få professionella till platsen. Först därefter handlar det om att hjälpa till efter förmåga.

Istället för att uppmana grannar att ringa på dörren borde de få utbildning i hur de ska agera i dessa situationer, både för sin egen och andras säkerhet. En sådan utbildning borde också omfatta hur grannar ska kunna ge relevant information som hjälper polisen i arbetet med att förebygga och klara upp brott. En lösning där grannar uppmanas att ta en del av polisens ansvar är inte vägen framåt vad gäller dessa komplexa och svårlösta samhällsproblem.

Helt klart är att Sverige står inför nya utmaningar där polisen inte längre ensamma kan lösa problemen med brott och otrygghet i samhället. Behovet av nya idéer och nya lösningar är därför stort. I detta sammanhang kan kommuner, näringslivet och, inte minst, ideella organisationer bidra med betydelsefulla insatser. Dessa insatser måste emellertid bygga på aktuell forskning och beprövade erfarenheter, annars är risken stor att arbetet blir kontraproduktivt och istället leder till mer problem och ökade konflikter.

Magnus Lindgren
Generalsekreterare

Greta Åkerlind
Kriminolog

Stiftelsen Tryggare Sverige

Är USA redo för GDPR?

|

Den 25 maj 2018 träder dataskyddsförordningen General Data Protection Regulation (GDPR) i kraft. Företag som verkar inom EU kommer då ha en lagstadgad skyldighet att utefter ett antal regler behandla samtlig information som kan knytas till enskilda personer med största försiktighet. Men det är inte bara företag inom EU som kommer att påverkas av den nya lagen – även deras samarbetspartners utanför EU:s gränser berörs. Frågan är bara hur medvetna de är.

Linda Kante, journalist Aktuell Säkerhet

Under senaste NetEvents som hölls i San José, Kalifornien i september i år – en IT-konferens som kopplar ihop några av branschens viktigaste nyckelspelare med analytiker och press – var en av de mest uppmärksammade paneldebatterna en i vilken representanter från Secret Service, Homeland Security och FBI diskuterade cybersäkerhet ur den amerikanska nationens perspektiv. Men när det ställdes frågor om GDPR samt hur de trodde lagen skulle påverka amerikanska företag och organisationer framkom det att ingen av de deltagande debattörerna var speciellt insatt.

Svar som: ”Jag tror att lagar och regler är en bra väg att gå” och ”Regeringen måste tillsammans med den privata sektorn hitta en gemensam grund för att kunna förhindra cyberbrott”  (MK Palmore, Information Security Risk Management Executive, FBI San Fransisco, Cyber Branch) var vad som gavs – det vill säga rena klyschor. Trots GDPR och dess kommande massiva inverkan på informationshantering var det ingen i paneldebatten som verkade vilja beröra ämnet.

Från vänster: MK Palmore, FBI, Dr. Ronald Layton Secret Service, Michael Levin, Homeland
Foto: Busa

Det informationstekniska rådgivnings- och forskningsföretaget Gartner kunde i maj i år konstatera att bara 50 procent av de amerikanska företag som har samarbetspartners inom EU kommer att vara anpassade efter GDPR, något USA, och i synnerhet de personer som dagligen arbetar med cybersäkerhet högst upp i nationens näringskedja, borde vara angelägna att göra något åt. Företag som inte har en informationshantering som stämmer överens med GDPR kommer nämligen kunna bötfällas rejält; upp till 20 miljoner euro, eller fyra procent av den globala årliga intäkten är det ekonomiska straff som väntar regelbrytarna.

En kan fundera över hur långt Europa kontra USA har kommit i sin kamp mot cyberbrottslighet – det är förstås svårt att mäta. Men när MK Palmore från FBI bekräftar att USA:s senaste nationella lagförändring mot cyberbrott kom 1986 är det kanske inte konstigt att tänka: fördel Europa.

Bristande säkerhetstänk äventyrar framtiden för uppkopplade bilar

|

Internet of Things blir allt mer relevant. Greg Lensch, Nordenchef på AT&T, diskuterar cybersäkerhet när  det kommer till uppkopplade bilar.

När vi tänker på bilsäkerhet handlar det oftast om att förhindra krockar. Men i och med att uppkopplade bilar tar sig ut på vägarna behöver vi också en krockkudde för nätverket. Säkerheten i nätet måste tas på lika stort allvar som förebyggandet av kollisioner. Annars riskerar cybersäkerhetshotet att äventyra framtiden för dessa innovationer.

Teckna din prenumeration av Aktuell Säkerhet här

Lämpliga säkerhetsskydd är nödvändiga för att maximera fördelarna med uppkopplade bilar och hålla förare och passagerare säkra. Varje uppkopplat fordon är knutet till ett nätverk med en mängd värdefull och privat information som måste skyddas.

AT&T har identifierat några saker som biltillverkare och andra intressenter bör tänka på:

Telekomföretag och biltillverkare behöver samarbeta nu mer än någonsin. Allt eftersom bilens funktioner blir mer nätverksanslutna och programuppdateringar och nedladdningar sker via nätverket ökar vikten av ett nära samarbete mellan telekomföretag och biltillverkare. Det är nödvändigt för att leverera en hög plattform-till-plattform-säkerhet likväl som en förbättrad end-to-end-säkerhet. Viktigast av allt är att öka säkerheten för fordonets passagerare och deras omgivande miljö.

Fyra stora risker

Den amerikanska transportmyndigheten NHTSA har identifierat direkta hot mot fyra typer av data eller kontroll:

  1. Sekretess och säkerhet
  2. Oönskade eller otillåtna kommersiella transaktioner
  3. Operativ störning utan säkerhet
  4. Säkerhetsrelaterad driftstörning

Dessa riskmoment kräver säker uppkoppling mellan fordon och telekommunikationsplattformar. Såväl kommunikationsvägarna utanför fordonet som den inre fordonsplattformen måste vara säker. Att tillhandahålla end-to-end-säkerhet omfattar:

  1. End-to-end-säkerhet utanför fordonet, det vill säga bilens anslutning när den kommunicerar med molnet, med specifika servrar eller med individer.
  2. End-to-end-säkerhet inuti fordonet, mellan bilproducenter och deras leverantörer – inklusive programvaru- och hårdvaruleverantörer – längs de kritiska data- och kommunikationsvägarna inom fordonet.

Förutom cyberattacker riktade mot fordonet finns risk för att angrepp riktas mot de molnbaserade plattformarna som erbjuder uppkopplade fordonstjänster. Om dessa tjänster äventyras kan angriparen utnyttja fordonsflottans gränssnitt såväl som externa kommersiella gränssnitt till partnerorganisationer.

Dessa tjänster kommer sannolikt att vara attraktiva mål eftersom de kan innehålla ekonomiska uppgifter om användarna, och kan i slutändan leda till omfattande infektion.

Telekombolagens roll

Telekomoperatörerna spelar en viktig roll för att säkerställa uppkoppling till/från molntjänster, fjärrservrar och privatpersoner.

Nätverkssäkerhet bör vara en kärnkompetens för leverantörer av telekomnät. Säkerhetsfunktioner måste utformas i kommunikationsinfrastrukturen för att kunna erbjuda mycket säkra anslutningar till slutanvändaren.

En effektiv strategi för cybersäkerhet måste ta hänsyn till de många möjliga kommunikationsvägarna till det uppkopplade fordonet, vilket innebär att telekomoperatören behöver ett effektivt skiktat angreppssätt. Genom att operatörer arbetar med fordonstillverkare för att leverera säkrare fordonsstrategier kan ett omfattande end-to-end säkerhetsramverk hjälpa till att säkra alla delar av kommunikationen.

Läs mer om aktuella initiativ inom cybersäkerhet och hur telekommunikationsföretag och OEM-användare kan arbeta tillsammans i Alliance for Telecommunications Industry Solutions (ATIS) senaste whitepaper.

 Greg Lensch, Nordenchef AT&T

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29