Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

”Är biometri bra eller dåligt?”

|

I framtiden kommer vi lättare kunna identifiera människor med hjälp av artificiell intelligens (AI) och människors beteenden. Biometrin utvecklas hela tiden. Men är det början på ett avancerat övervakningssystem eller bidrar det bara till bättre och användarvänligare säkerhet?

Text: Sanne Femling, IT-säkerhetskonsult Knowit Secure

Idag finns det många olika sätt att identifiera människor på. Det sägs att 30 procent av alla webbsökningar sker via röst e​ller rörelse, vilket kommer gör​a att vi som arbetar med säkerhet behöver hitta nya sätt att säkerställa vem som interagerar med systemen.

Vi har under de senaste veckorna kunnat läsa om Kinas nya övervakningssystem där man med hjälp av ny AI-teknik utvecklat ett system som identifierar människor genom deras rörelsemönster och gångstil. Utöver detta finns även AI-teknik som identifierar hur människor interagerar med sina personliga enheter och appar. Denna typ av igenkänningsteknik kallas dynamisk biometri och drivs av just artificiell intelligens. Genom att lära sig hur vi använder tangentbordet på vår mobiltelefon, hur hårt vi trycker fingrarna mot pekskärmen, scrollar eller sättet vi håller telefonen kan enheter eller applikationer identifiera användaren.

Detta gör det lättare för människor att autentisera sig mot sina enheter. Tekniken gör det mer användarvänligt och säkrare. En annan fördel med AI är att tekniken hittar och ser nya infallsvinklar som vi människor inte har förmåga att se. Den kan även ta fram unika och säkrare sätt att identifiera och autentisera människor på.Men vad händer när den biometriska informationen hamnar i fel händer?När leksakstillverkaren VTech 2015 hackades kom en angripare åt flera gigabyte av bilder, ljudinspelningar och filmer på barn som företaget lagrat genom sina enheter. Materialet kom från telefoner, laptops och klockor som använts av barn för att delvis kommunicera med sina föräldrar.

Det här är ett exempel på hur lätt biometrisk data kan hamna i fel händer. Ett lösenord är idag utbytbart om vi skulle bli av med det. Men din biometriska information är unik och går inte att byta ut vilket gör den väldigt känslig. Om vi nu skall använda oss av AI för att logga vår biometri och vårt beteende är det viktigt att få användarna att förstå exakt vilken typ av information som lagras och används. Företag som tar fram den här typen av teknik bör prioritera säkerheten vid lagring av dessa uppgifter men också ta fram tydliga och bra policys för användarnas integritet.

Precis som riktlinjerna för den nya GDPR-lagen specificerar är det också viktigt för AI-tekniker att inte lagra mer än vad som behövs. Ska tekniken användas i syfte att lära sig mer om ett mönster och agera därefter är det viktigt att vi sätter gränser. En tillräckligt bra kamera kan idag avläsa en persons hjärtpuls. Det kommer med andra ord lagras stora mängder personlig data och mycket av denna information behövs inte ens för ändamålet.

Fakta

Identifiering – är processen där en person hävdar eller bekräftar en identitet.

Autentisering – är processen där personen verifierar sin identitet genom att jämföra en eller flera faktorer mot en databas med giltiga identiteter.

Källa: “Certified Information System Security Professional”, Official Study Guide, SYBEX, Mike Chapple, James Michael Stewart, Darril Gibson, 2018

En årsdag som uppmanar till reflektion och eftertanke

|

I skrivande stund är det årsdagen av 9/11, attackerna som 2001 förändrade inte bara New York och Pentagon men hela världen. Så mycket har hänt sedan dess men samtidigt påverkar händelserna fortfarande skeenden idag.

Vi i västvärlden har både gått i krig och infört nya regelverk för att förhindra att detta avskyvärda dåd skall kunna upprepas. Men har vi lärt oss läxan? Det som hände var ett typiskt så kallad ”Black Swan”-scenario det vill säga en händelse som gick utanför den ”vedertagna” verklighetsuppfattningen hos de flesta ur befolkningen. Effekten av 9/11 blev så stor delvis på grund av den fruktansvärda förlusten av människoliv men också på grund av att den förändrade vår uppfattning om vårt samhälles sårbarhet.

Vilka nya Black Swan-scenarier skall vi oroa oss för idag? Har vi identifierat dessa och är vi bättre förberedda? När jag pratar med mina amerikanska kollegor och vänner i mitt nätverk så upptar dessa frågor ganska mycket av deras tid och tankekraft. Det scenario som ofta återkommer i dessa diskussioner är ett ”Digital 9/11”-scenario där en motståndare (stat eller terrororganisation) slår ut delar av amerikansk kritisk infrastruktur (elförsörjning, transporter, telekommunikationer, finansiella systemet etc.). Inom EU har vi givetvis också tänkt i dessa banor och har som ett resultat bland annat fått det så kallade NIS-direktivet vilket är ett bra första steg för att sätta strålkastarljuset på frågan vårt digitala samhälles sårbarhet. Men är det tillräckligt och implementerar vi tillräckligt fort? Mitt svar är dessvärre nej.

Jag tror att vi fortfarande saknar en viss ”sense of urgency” vilket jag tror beror på att vi underskattar den enorma hastigheten vårt samhälle förändras med genom digitaliseringen. All vår kritiska infrastruktur understöds av IT-system och kan därmed påverkas. När jag träffar beslutsfattare för stora organisationer (såväl inom näringslivet som inom det offentliga) är det ofta som senior rådgivare. Hos många av dessa börjar sårbarhetsinsikten finnas men de saknar ofta lösningarna. Just lösningarna förväntas vi som säkerhetsmänniskor komma med men vi behöver också uppdatera våra svar. Jag tror att många organisationer fortfarande är allt för standard-drivna i sina förhållningssätt. Idag finns helt nya möjligheter att bedriva pro-aktiva säkerhetsprogram genom att göra det ”hotbildsdrivet”.  På marknaden finns kraftfulla verktyg tillgängliga från ett flertal leverantörer av så kallat Threat Intel. Flera av dessa verktyg innehåller inte bara öppen data utan betydligt mer sofistikerat innehåll vilket skapar helt nya förutsättningar att prioritera och agera. Det är dags att varje CSO/CISO tar sig en titt på marknaden och uppdaterar sina program, processer och verktyg! Hotbildsdrivna säkerhetsprogram tror jag är det bästa sättet att undvika vår generations ”Black Swan”-scenarier. Vad tror du?

Until next time!

Rolf Rosenvinge

Reflexiv kontroll riktad mot Sverige inför valet?

|

Karl Lallerstedt, säkerhetsexpert på Svenskt Näringsliv, skriver om påverkanskampanjer som har drabbat svenska partier inför valet den 9 september. 

Socialdemokraternas hemsida utsattes för fyra överbelastningsattacker under augusti månad, den senaste förra veckan, samtidigt som statsministern och finansministern presenterade partiets valmanifest. Anders Ygeman, partiets gruppledare i riksdagen, sade efteråt till Dagens Nyheter att “Det finns ett politiskt syfte. Man vill slå ut vår möjlighet att kommunicera med väljarna via vår hemsida.”

Ygeman har helt rätt när han säger att det finns ett politiskt syfte med attackerna. Men syftet kan vara det motsatta till vad den mediala rapporteringen ger sken av. Kanske är det just den mediala reaktionen och uppmärksamheten attackerna skapade, snarare än attackernas direkta effekt som var ändamålet med attackerna. I attacken förra veckan låg Socialdemokraterna websida nere i 10 minuter, knappast något av avgörande betydelse.

Enligt den information vi känner till i dagsläget vet vi inte vem som låg bakom attackerna. Men faktum att IP-numren från den senaste attacken bland annat spårades till Ryssland, väcker ett reflexivt sätt att reagera, en automatisk koppling till idén att Ryssland försöker underminera arbetarepartiets förutsättningar i valet.

Om syftet med attackerna verkligen var att underminera Socialdemokraternas förmåga att kommunicera med väljarna var några minuters störning av en websida knappast en framgång. Men om syftet snarare var att hjälpa Socialdemokraterna var attacken framgångsrik. Landets största mediekanaler nappade och rapporterade ivrigt nyheten, och partiet fick gratis reklam där de framstod som ett offer för vad många sannolikt antog var en utländsk attack.

Om det nu var en främmande makt som låg bakom attacken, varför skulle de vilja gynna Socialdemokraterna? Det vekar ju som att påverkansoperationerna riktade mot Sverige i stor utsträckning har handlat om att öka oron kring invandring, brottslighet, och statens hantering av dessa fenomen. Detta är ju knappast något som har gynnat den sittande regeringspartierna, utan snarare Sverigedemokraterna.

Sverigedemokraternas starka ställning innebär att det med stor sannolikhet kommer att fortsätta vara en svag minoritetsregering som kommer att regera efter valet (oavsett färg).

Valet handlar om fortsatt socialistiskt styre med en NATO-skeptisk falang, eller en NATO-vänligare högerregering. Det är uppenbart vad vissa främmande makter skulle föredra.

Låt inte NIS-direktivet bli din semestersabotör

|

Förhoppningsvis väntar snart några lediga sommarveckor för de flesta av oss. Men innan dess behöver många företag skapa förberedelse för ytterligare en regelförändring inom säkerhetsområdet. Den 13 juni antog nämligen Riksdagen en ny lag, Informationssäkerhet för samhällsviktiga och digitala tjänster, vilket bland annat innebär att EU-direktivet NIS (Network and Information Security) införlivas i svenska lag redan från och med 1 augusti i år. Lagen gäller företag verksamma inom branscher som energi, transport, bank- och finans, hälso- och sjukvård, dricksvattenförsörjning och digital infrastruktur och är primärt riktad mot leverantörer av kritisk infrastruktur, det vill säga de som får vårt samhälle att fungera.

Richard Oehme, Director PwC – Cybersäkerhet och kritisk infrastruktur (samhällssäkerhet)

I praktiken innebär det här att tekniska och organisatoriska säkerhetsåtgärder måste införas och att allvarliga IT-incidenter ska rapporteras till Myndigheten för samhällsskydd och beredskap. En tillsynsmyndighet för varje sektor kommer att ansvara för att regelverket följs och de kommer även att ha behörighet att besluta om sanktioner och viten. Bötesbelopp på upp till 10 miljoner kronor kan drabba ett bolag som inte följer lagen.

När PwC i våras gjorde en temperaturmätning av förberedelsen för NIS var resultaten oroväckande. Undersökningen Digital hållbarhet 2025 visade nämligen att knappt hälften (48 procent) av de bolag som berörs av NIS ansåg sig vara positionerade för förändringen. Motsvarande siffra för GDPR var hela 91 procent. Frågan är då om det helt enkelt har funnits en slagsida mot GDPR när det gäller bolagens förhållningssätt till 2018 års två stora säkerhetsförändringar? Än mer komplext blir läget våren 2019 då vi kan lägga till en tredje utmaning i och med att den nya svenska säkerhetsskyddslagen träder i kraft, en lag som klubbades av riksdagen för några veckor sedan. Spelreglerna förändras då ytterligare och det gäller att redan nu analysera vilken eller vilka av lagarna som då omfattar den egna verksamheten så att inte onödiga kostnader uppstår.

Många verksamheter behöver nu inse att de här säkerhetsförändringarna är verksamhetskritiska och att de måste lyftas in i ledningsgrupper och styrelserum. Därför är det oroande att vår undersökning kom fram till att bara 20 procent av de svenska bolagens IT-säkerhetsansvariga rapporterar direkt till företagsledning eller styrelse. En avsevärd skillnad mot omvärlden där 67 procent gör motsvarande rapportering enligt en global undersökning från PwC.

Än finns det tid till förberedelse för den förändring som NIS innebär – Men sommaren är kort i detta fall – Så innan du tar ett dopp i det blå och sköljer bort sanden mellan tårna – Se till att ert företag har beredskap inför den nya lagstiftningen som börjar gälla 1 augusti.

Naiviteten – ett hot mot demokratin

|

Den politiska debatten om brottslighet och otrygghet handlar nästan uteslutande om fler poliser, ny lagstiftning, hårdare tag och behov av militären i utsatta områden. Många av de förslag som diskuteras går dock på tvärs med internationell forskning. Nu krävs en parlamentarisk förnyelsekommission för rättsstaten.

Under den senaste tiden har flera politiker konstaterat att de varit naiva när det gäller synen på brottsligheten och otryggheten i Sverige. Det gäller inte minst beträffande situationen med ett 60-tal utsatta områden med påtaglig brottslighet, stor otrygghet och parallella samhällsstrukturer.

Problemet är dock att partierna inte verkar har lärt sig särskilt mycket och att naiviteten tycks kvarstå. Det framgår inte minst av den politiska debatten som i princip uteslutande handlar om fler poliser, ny lagstiftning, hårdare tag, behov av militären i utsatta områden etc.

Eftersom det saknas en ordentlig analys av orsakerna bakom polisens problem vet vi inte ens om fler poliser är lösningen. Och hur ska vi snabbt få fram fler poliser när det tar minst fem år att rekrytera, utbilda och få ut effekt av en nyutbildad polis? Inte heller de straffskärpningar som nu föreslås kommer att få omedelbara effekter eftersom lagstiftningsprocessen är ett trubbigt vapen som tar tid. Att därefter i praktiken få landets domare att börja tillämpa straffskärpningarna kommer inte heller gå över en natt.

Ovanstående förslag går dessutom på tvärs med internationell forskning och erfarenhet där istället andra faktorer lyfts fram som viktiga i kampen mot brottsligheten. Det handlar främst om:

  • Betydelsen av en lokalt förankrad polis och arbetet med att bygga tillit och legitimitet. Ett viktigt begrepp i detta sammanhang är processuell rättvisa (Procedural Justice) som handlar om att polisen alltid måste vara rättvis, delaktig, transparent, opartisk och ha en öppenhet i processen.
  • Insikten om att vi inte kan ”arrestera” oss ur den aktuella situationen; brottsligheten är alldeles för omfattande. Fokus måste istället vara på att förebygga och förhindra att brott överhuvudtaget uppstår genom både sociala insatser och så kallad situationell brottsprevention. Situationell brottsprevention handlar om att minska sannolikheten för att ett brott ska begås genom att göra brotten mindre lönsamma, mer riskabla och svårare att utföra. Exempel på sådana åtgärder är olika tekniska lösningar för att göra stöldbegärliga objekt mindre tillgängliga och attraktiva, t.ex. genom lås, larm, kameror och DNA-märkning. Andra exempel är att öka den formella och informella sociala kontrollen, t.ex. genom hur vi utformar den fysiska miljön i bostadsområden, offentliga rum och skolor.
  • Förståelsen för att brottsbekämpningen bara till en begränsad del bedrivs av polisen. Den verksamhet som slår vakt om rättssamhället kallas för ”law enforcement”. Självklart är polisen ofta den viktigaste myndigheten i detta sammanhang, men det finns även andra aktörer som är viktiga för att upprätthålla lagarna, t.ex. kommunerna.
  • Behovet av ett evidensbaserat arbetssätt, med betoning av kontextuella aspekter, d.v.s. att arbetssätten anpassas efter den aktuella situationen (bara för att en modell fungerat i Amsterdam behöver den per automatik inte fungera i Malmö). En viktig del i detta sammanhang är vikten av ”prakademiker”, dvs. personer som förstår både forskningen och de praktiska förutsättningarna.
  • Vetskapen om att vi aldrig får tala om poliser i termer av ”krigare” eller i termer som ”vi” och ”dem” (och självklart heller aldrig skicka in militär i utsatta områden).

Vad kan då göras för att vända det utsatta läge som vi hamnat i? På en övergripande nivå handlar det om tre åtgärder för att i en mer samlad form effektivisera landets förmåga att stå emot brottsligheten.

  • Tillsätt en parlamentarisk förnyelsekommission för hela rättsstaten
    Regeringen bör snarast tillsätta en parlamentarisk ”Förnyelsekommission för rättsstaten” för att klara ut hur landets samlade brottsbekämpande verksamhet ska vara beskaffad för att kunna möta dagens och morgondagens brottslighet. Viktiga frågor att besvara, med ett kritiskt tänkande som grund, är hur uppgifts- och ansvarsfördelningen ska vara mellan staten och kommunerna och vad andra aktörer, främst näringslivet, kan göra. Den moderna evidensbaserade polisforskningen måste på allvar ges möjlighet att påverka utvecklingen, till skillnad mot vad som var fallet i den nyss genomförda polisreformeringen. Andra viktiga frågor handlar om demografin, möjligheterna att få tag på kompetent personal, integrationen, den organiserade brottsligheten, internationaliseringen, terrorismen, skyddet av demokratin etc.
  • Tillsätt en särskilt genomförandemyndighet
    Efter snabb remissbehandling av Förnyelsekommissionens förslag bör regeringen tillsätta en särskild genomförandemyndighet som, vid sidan av befintliga myndigheter, tar hand om och genomför de förslag som riksdagen beslutar. En sådan genomförandemyndighet bör verka i vart fall i fem år och ska bemannas med landets främsta seniora experter, men även av de främsta utländska experterna och forskarna.
  • Inrätta en beredning för inrikes säkerhet
    Dessutom bör regeringen snarast inrätta en särskild ”Beredning för inrikes säkerhet” så att våra politiska partier ges möjlighet att, likt vad som gäller för hur den sittande Försvarsberedningen hanterar frågorna om det militära försvaret, mer långsiktigt kunna ta ställning till frågorna om hela rättsstatens förmåga. Dessa frågor måste tas om hand mycket mer professionellt av det politiska systemet för att undvika kortsiktig överbudspolitik och naivitet. Den föreslagna beredningen ska självklart noga följa arbetet i den ovan föreslagna kommissionen. Alla möjligheter att komma fram till konsensuslösningar som kan gälla över flera mandatperioder ska tas tillvara, allt för att öka förmågan att på sikt skydda landet mot brottsligheten.

Ytterst handlar dessa rättsstatsfrågor om skyddet av demokratin och vårt demokratiska styrelseskick. Det finns därför all anledning att inte enbart överlåta utvecklingen till enskilda myndigheter och myndighetschefer. Situationen är så allvarlig att frågorna måste hanteras av våra parlamentariker i samarbete med de mest erfarna experterna.

Magnus Lindgren
Generalsekreterare
Stiftelsen Tryggare Sverige

Rättsväsendet måste vinna tillbaka handlarnas förtroende

|

Enligt statistik från Brottsförebyggande rådet minskade stölderna i butik under 2017. På 10 år har antalet polisanmälda butiksstölder minskat med nära 30 procent. Svensk Handels egna undersökningar talar dock ett annat språk. När vi frågar våra medlemmar om deras utsatthet för brott kan vi konstatera att stölderna tvärtom ökat med cirka 30 procent de senaste tre åren. Det är ett resultat av att många handlare givit upp och slutat att anmäla brotten.

När polis och åklagare meddelar brottsoffren ”stölder under 60 kronor utreder vi inte”, ”ger inte brottet fängelse lägger vi ner utredningen” eller ”personen kommer troligen att dömas för andra brott, så vi släpper det” sänder det signalen att rättsväsendet inte tar brott som drabbar handeln på allvar.

Det i kombination med en polismyndighet i fritt fall, som inte ens mäktar med att utreda allvarliga övergrepp, har resulterat i att förtroendet för polis och åklagare är oroväckande lågt. Andelen sexualbrott och personrån har mer än fördubblats de senaste åren. Även antalet fall av misshandel, hot och trakasserier ökar också kraftigt (NTU 2016).

Ett grundfundament i den moderna demokratin är att ordning och trygghet upprätthålls. När medborgarna börjar tvivla på myndigheters och folkvaldas förmåga att skapa ordning riskerar ett frö av tvivel sås kring hela samhällskontraktet. Om de inte ens kan skydda oss mot vanliga gråtjuvar, kan vi då räkna med hjälp vid grövre brottslighet? Och frågan ställs, varför ska medborgaren hedra sin del av kontraktet, genom att betala in skatter och följa lagar och regler, om staten inte hedrar sin?

Svensk Handels undersökningar visar att två av tre stöldbrott begås av vaneförbrytare. Samtidigt verkar rättssystemet vara mer inriktat på dem som begår något enstaka brott. Risken att förlora jobbet eller få en prick i registret avskräcker knappast den som begått brott i hela sitt liv. Om man begår flera brott måste konsekvenserna bli kännbara och därför vara anpassade efter individens förutsättningar. Att 8 av 10 låter bli att betala sina böter visar på hur tandlöst dagens regelverk är.

Svensk Handel vill se fler synliga poliser på gator och torg och en kraftsamling mot vardagsbrott med fokus på vanekriminella. Påföljderna måste skärpas genom att straffrabatterna tas bort för dem som regelbundet begår brott. Politiker och myndighetsföreträdare måste börja visa att de förtjänar det förtroende som de fått och att det finns anledning för skattebetalarna att även fortsättningsvis hedra samhällskontraktet.

Per Geijer, säkerhetschef Svensk Handel

”Säkerheten glöms bort i IoT-projekten”

|

I teorin och i forskningsprojekten kring IoT-standarder är säkerheten en central del, och på agendan redan i ett initialt skede. Men i andra projekt som startar vid ”slöjdbänken” ute på företagen startar projekten med fokus på digitalisering och med att få igång piloter, vilka sväller och sprider sig fort utan att utvecklas tekniskt i någon större grad.

– Tänker man inte på säkerheten från början kan det få mycket oönskade effekter. IoT-säkerhet är både enkelt och smidigt att få till om man planerar för det i början av ett projekt, säger Daniel Hjort ansvarig för Smart ID på identitets- och säkerhetsföretaget Nexus Group.

Daniel Hjort

IoT (Internet of things) har fått ett enormt genomslag. Allt är på väg att bli uppkopplat, och bli en del av smarta system. Alla ser fantastiska möjligheter att öka omsättning, reducera kostnader och effektivisera verksamheten med IoT, och det finns många enkla och tillgängliga plattformar att koda och utveckla tekniken på. Genom att samla in data, och analysera och agera på den datan, kan företag spara pengar, förenkla för kunder, minska miljöpåverkan och strömlinjeforma sin affärsverksamhet.

Teckna din prenumeration på Aktuell Säkerhet här

– Man blir så exalterad när man ser hur platser kan bli säkrare med till exempel kameraövervakning, men man blir också oroad när man inser att enheterna som används oftast är skyddade med enbart lösenord, säger Daniel Hjort.

Man testar utan att tänka skalbarhet och logistik

Industrin och säkerhetsbranschen ser vilka enorma möjligheter som IoT skapar. Ett bilföretag lanserar nästa generations uppkopplade bilar men säkerheten släpar efter. Man kanske testar med en bilmodell eller väljer en säkerhetstjänst baserad på PKI-teknologi (public key infrastructure), men man inser snart att den varken är skalbar eller fungerar för dagens globala tillverkning och logistikprocess.

– Vi ser ett ökat intresse inom fordonsindustrin, till exempel att använda IoT-PKI för till exempel Car2X och Nexus mjukvara är ett smart val för att både lösa säkerhetskrav och en kostnadseffektiv tillverkningsprocess. Vi hjälper även telekomföretag med IoT-interoperabilitet, och vi jobbar redan med en av världens största tågbromstillverkare för säker identifiering och kommunikation med bromsarna på ett tåg, säger Hjort.

Forskningsprojekten ger enorma möjligheter

Nexus sitter med i flera forskningsprojekt; CEBOT, Secure IoT och Secredas. Projekten går ut på att utfärda identiteter till resursbegränsade IoT-enheter, till exempel batteridrivna sensorer. Man säkerställer i varje forsknings- och utvecklingssteg att säkerhetsaspekterna är väl omhändertagna. Forskningen leder fram till fantastiska möjligheter i plattformar, protokoll och standarder där säkerheten redan finns med, men säkerhetstänket måste tas med i början av utvecklingsprojekten, annars riskerar den att bli bortglömd.

– Det är hög tid att förstå de säkerhetsutmaningar som finns, nu när så många IoT-projekt är på gång. Samtidigt som säkerheten ska med från början, måste det även vara enkelt att inkludera en hög säkerhetsnivå. Att till exempel bara tänka användarnamn och lösenord är ingen lösning, det kommer helt enkelt med för stora brister. I den här processen är det viktigt att både värna användarnas likväl som företagens trygghet, säger Daniel Hjort.

På Säkerhetsgalan som tar plats den 15 mars är Daniel Hjort med i branschsvepet som tar avstamp i hur digitalisering och teknologisk utveckling förändrar vår värld. Internetveteranen och rådgivaren Joakim Jardenberg inleder med en högaktuell betraktelse kring digitaliseringen. Därefter ger Daniel Hjort, Sven Klockare, vd för Bravida Fire & Security, Richard Oehme från PwC Sverige, leverantörsperspektivet medan Susan Bergman, säkerhetschef vid Combitech, och Peter LIllius, säkerhetschef vid Apoteket, beskriver utmaningar i sina respektive roller.

Cyberpropaganda ett av säkerhetshoten 2018

|

I svenska rapporten Radar Cybersecurity 2018 konstateras att det har skett ”en markant förändrad inställning till cybersäkerhet i styrelser och högsta ledningen hos organisationer”. Flera uppmärksammade attacker med allvarliga följder det senaste året har sannolikt bidragit till detta. Säkerhetshot som ransomware kommer att fortsätta öka under 2018, men det enskilt största debattämnet blir cyberpropaganda kring svenska riksdagsvalet.

Förra året avslöjade Trend Micro den dolda marknaden som fungerar som en ”fabrik” för att skapa falska nyheter som väcker misstro mot partier och offentliga personer. Syftet är att påverka till exempel opinionen i ett land – och därmed även eventuella framtida val. Prislappen för en ”färdig kampanj” ligger på runt 3,5 miljoner svenska kronor.

Nya tekniker gör det ännu svårare att upptäcka falsk propaganda, till exempel möjligheten att manipulera bilder och filmer. Men tekniken gör det även enklare att sprida detta innehåll. Fenomenet kommer sannolikt att öka inför det svenska valet, men också i det amerikanska mellanårsvalet till hösten. Det finns ingen enskild teknik som kan stoppa falska nyheter. Däremot kan samlade insatser från sociala mediaplattformar, i kombination med att enskilda individer varnar för falskt innehåll, motverka spridningen.

Cyberpropaganda behöver inte bara handla om falsk information. Ett större hot kan vara spridning av sann information. Avancerade dataintrång kring valen i både USA och Frankrike har gjort att Säpo har fått i uppdrag att utbilda de svenska riksdagspartierna i IT-säkerhet för att förebygga att information stjäls genom nätfiskeattacker. Tyvärr kan ju en sådan stöld redan ha inträffat, där angriparna bara inväntar rätt tillfälle att sprida den stulna informationen när den slår som hårdast mot offret.

Ett annat hot som fortsätter att växa är ransomware, det vill säga kidnappningsprogram som krypterar data på offrets dator (eller andra enheter) och kräver en lösensumma för att låsa upp den. Förra året skapade exempelvis attackerna WannaCry och Petya stora rubriker världen över. Bland annat slog attackerna ut verksamheterna hos både sjukhus och företag. Under 2018 kommer cyberbrottslingarna rikta in sig mer på att blockera viktiga funktioner i verksamheter och därmed kunna tjäna stora pengar på varje incident, snarare än att angripa stora volymer av enskilda datorer.

En möjlighet är även att GDPR spelar förövarna i händerna. Cyberbrottslingar skulle kunna stjäla data och sedan förhandla om en lösensumma med den drabbade organisationen som enligt de nya EU-direktiven kan riskera upp till fyra procent av årsomsättningen.

Det växande antalet uppkopplade saker – allt från bilar till hus och fabriker – innebär nya möjligheter för cyberbrottslingar att skapa kaos. Eftersom det är mer komplicerat att uppdatera programvarorna i uppkopplade prylar än exempelvis en dator kan det vara en utmaning att hålla jämna steg med utvecklingen av säkerhetshoten. När Trend Micro förra året granskade tio huvudstäder i Västeuropa (däribland Stockholm) hittades över tio miljoner uppkopplade enheter som var öppna och därmed sårbara för attacker. Ett annat säkerhetshot på uppgång är attacker mot medicinsk utrustning, till exempel livsuppehållande enheter som pacemakers, som har visat sig öppna för sårbarheter.

Till sist kommer vi att se en fortsatt stark ökning av VD-mejlbedrägerier, en metod som tyvärr alltför ofta lyckas. Bedrägerierna bygger på ”social ingenjörskonst”, där angriparna samlar in uppgifter om företagsledningar och dess medarbetare för att kunna lura ekonomiavdelningen att betala falska fakturor. Ofta kommer förövarna över sexsiffriga belopp vid varje tillfälle. Trend Micro förutspår att fenomenet kommer att fördubblas under 2018, till ett samlat globalt värde av 9,1 miljarder dollar.

Utvecklingen inom cybersäkerhet kan verka dyster men ju högre upp i företag och organisationer dessa utmaningar diskuteras, desto svårare gör vi det för angriparna. Några grundläggande säkerhetstips är att använda säkerhet i flera lager, starka lösenord som ofta byts ut, uppdaterade programvaror och framför allt ett sunt förnuft: öppna inte mejl och klicka inte på länkar som verkar misstänksamma, oavsett vem de kommer från.

Johan Jarl, it-säkerhetsexpert Trend Micro

Cyberpropaganda ett av säkerhetshoten 2018

|

I svenska rapporten Radar Cybersecurity 2018 konstateras att det har skett ”en markant förändrad inställning till cybersäkerhet i styrelser och högsta ledningen hos organisationer”. Flera uppmärksammade attacker med allvarliga följder det senaste året har sannolikt bidragit till detta. Säkerhetshot som ransomware kommer att fortsätta öka under 2018, men det enskilt största debattämnet blir cyberpropaganda kring svenska riksdagsvalet.

Förra året avslöjade Trend Micro den dolda marknaden som fungerar som en ”fabrik” för att skapa falska nyheter som väcker misstro mot partier och offentliga personer. Syftet är att påverka till exempel opinionen i ett land – och därmed även eventuella framtida val. Prislappen för en ”färdig kampanj” ligger på runt 3,5 miljoner svenska kronor.

Nya tekniker gör det ännu svårare att upptäcka falsk propaganda, till exempel möjligheten att manipulera bilder och filmer. Men tekniken gör det även enklare att sprida detta innehåll. Fenomenet kommer sannolikt att öka inför det svenska valet, men också i det amerikanska mellanårsvalet till hösten. Det finns ingen enskild teknik som kan stoppa falska nyheter. Däremot kan samlade insatser från sociala mediaplattformar, i kombination med att enskilda individer varnar för falskt innehåll, motverka spridningen.

Cyberpropaganda behöver inte bara handla om falsk information. Ett större hot kan vara spridning av sann information. Avancerade dataintrång kring valen i både USA och Frankrike har gjort att Säpo har fått i uppdrag att utbilda de svenska riksdagspartierna i IT-säkerhet för att förebygga att information stjäls genom nätfiskeattacker. Tyvärr kan ju en sådan stöld redan ha inträffat, där angriparna bara inväntar rätt tillfälle att sprida den stulna informationen när den slår som hårdast mot offret.

Ett annat hot som fortsätter att växa är ransomware, det vill säga kidnappningsprogram som krypterar data på offrets dator (eller andra enheter) och kräver en lösensumma för att låsa upp den. Förra året skapade exempelvis attackerna WannaCry och Petya stora rubriker världen över. Bland annat slog attackerna ut verksamheterna hos både sjukhus och företag. Under 2018 kommer cyberbrottslingarna rikta in sig mer på att blockera viktiga funktioner i verksamheter och därmed kunna tjäna stora pengar på varje incident, snarare än att angripa stora volymer av enskilda datorer.

En möjlighet är även att GDPR spelar förövarna i händerna. Cyberbrottslingar skulle kunna stjäla data och sedan förhandla om en lösensumma med den drabbade organisationen som enligt de nya EU-direktiven kan riskera upp till fyra procent av årsomsättningen.

Det växande antalet uppkopplade saker – allt från bilar till hus och fabriker – innebär nya möjligheter för cyberbrottslingar att skapa kaos. Eftersom det är mer komplicerat att uppdatera programvarorna i uppkopplade prylar än exempelvis en dator kan det vara en utmaning att hålla jämna steg med utvecklingen av säkerhetshoten. När Trend Micro förra året granskade tio huvudstäder i Västeuropa (däribland Stockholm) hittades över tio miljoner uppkopplade enheter som var öppna och därmed sårbara för attacker. Ett annat säkerhetshot på uppgång är attacker mot medicinsk utrustning, till exempel livsuppehållande enheter som pacemakers, som har visat sig öppna för sårbarheter.

Till sist kommer vi att se en fortsatt stark ökning av VD-mejlbedrägerier, en metod som tyvärr alltför ofta lyckas. Bedrägerierna bygger på ”social ingenjörskonst”, där angriparna samlar in uppgifter om företagsledningar och dess medarbetare för att kunna lura ekonomiavdelningen att betala falska fakturor. Ofta kommer förövarna över sexsiffriga belopp vid varje tillfälle. Trend Micro förutspår att fenomenet kommer att fördubblas under 2018, till ett samlat globalt värde av 9,1 miljarder dollar.

Utvecklingen inom cybersäkerhet kan verka dyster men ju högre upp i företag och organisationer dessa utmaningar diskuteras, desto svårare gör vi det för angriparna. Några grundläggande säkerhetstips är att använda säkerhet i flera lager, starka lösenord som ofta byts ut, uppdaterade programvaror och framför allt ett sunt förnuft: öppna inte mejl och klicka inte på länkar som verkar misstänksamma, oavsett vem de kommer från.

Johan Jarl, it-säkerhetsexpert Trend Micro

Apropå det privatiserade våldsmonopolet

|

I en krönika publicerad förra söndagen på dagensarena.se, skriver Per Wirtén att han får rysningar av ”det privatiserade våldsmonopolet”. Joachim Källsholm, vd för Securitas Sverige, har publicerat sitt svar på denna.
Som företrädare för ett av de större privata säkerhetsföretagen – som för övrigt inte kör omkring i det Wirtén kallar ”maffiga bilar” eftersom vi använder miljösmarta fordon – känner jag mig tvungen att replikera eftersom han pekar ut såväl branschen som våra medarbetare.

Joachim Källsholm

Min bestämda uppfattning är att vi måste ha en klar och tydlig gränsdragning gällande våldsmonopolet i Sverige – vem som ska göra vad och var och hur det ska utföras. Det här är ett absolut nödvändigt fundament för att upprätthålla en fungerande rättsstat.

Teckna din prenumeration av Aktuell Säkerhet här

Det är naivt att påstå att Sveriges mest mörklagda privatisering är den av polisarbetet – det faller på sin egen orimlighet. Privata aktörer finns i såväl Sverige som i övriga delar av världen och har inte med våldsmonopolets ägande att göra men i takt med att den generella osäkerheten ökar, samtidigt som antalet medborgare blir allt fler, är ett samarbete mellan polisorganisationen och säkerhetsbranschen nödvändigt för att kunna uppnå goda resultat. Det här samarbetet pågår i detta nu med det gemensamma målet ett säkrare Sverige. Att splittra Polisen genom att skapa det skribenten kallar ”ett slags lättpoliser” är ingen framkomlig väg och saknar verklighetsförankring. Jag och många av mina kollegor menar att Sverige å det snaraste behöver rekrytera minst 10 000 nya poliser – ändå är det långt ifrån tillräckligt för att kunna hantera säkerhetsbehovet. Vi vet alla 10 000 nyrekryterade poliser inte ligger inom möjlighetens gränser, så varför inte acceptera säkerhet i form av väktare, ordningsvakter, kameror och andra tekniska lösningar? Ja, det kostar pengar men det innebär också en brottsprevention som besparar samhället betydligt större utgifter.

Per Wirtén skriver också att ordningsvakters närvaro på offentliga platser ger honom rysningar av obehag och otrygghet. Jag önskar att han hade kunnat ta del av alla de hyllningar och den tacksamhet som framfördes till mig och mina branschkollegor efter våra ordningsvakters och väktares insatser i samband med terrorattentatet på Drottninggatan i våras. Terrorattentatet den 7 april hanterades skyndsamt och verkligen professionellt av polis och räddningstjänst. En mindre känd faktor är den roll som säkerhetsföretagens medarbetare spelade. Eftersom våra medarbetare är på plats när något inträffar, betyder det att de är ensamma på plats under de första farligaste minuterna innan polis och räddningstjänst anländer. De är dessutom nödvändiga för det fortsatta arbetet med att upprätthålla ordningen på platsen.

I olika enkäter som säkerhetsbranschen har låtit göra i områden där så kallade paragraf 3-platser[1] har upprättats, är handlarna eniga; de upplever att tryggheten har ökat sedan ordningsvakter och kameror har satts in. Det här är en uppfattning som delar med bland annat företag som driver kollektivtrafik och allmänheten. Helt säkert finns det personer som inte borde arbeta som väktare och ordningsvakter – något som vi som bransch har all anledning att se över och göra något åt – men faktum kvarstår att alla som är anställda i ett auktoriserat säkerhetsföretag är godkända av Polismyndigheten och länsstyrelsen.

En fråga som vi också bör diskutera i sammanhanget är den om vilket slags våld och vilka tvångsmedel som väktare och ordningsvakter får använda med hänsyn tagen till deras korta utbildning. Av rädsla för att själva ska bli uthängda, tvekar personal som bevakar viktiga anläggningar inför att använda de tvångsmedel (läs: gripande och omhändertagande) som statsmakten har gett dem. Fokus hamnar ofta på dem som individer och inte på lagstiftaren som har gett dem mandaten. Det är dags att sluta upp bakom personal som anförtros viktiga skyddsuppdrag och istället förstå att konfrontationer kan förekomma som en del av deras arbete. Därmed inte sagt att säkerhetsföretagen någonsin kommer att acceptera övervåld.

Polisen ska vara synlig, ja, men det handlar om att synliggöra å ena sidan vad som är prioriterade uppgifter och vad någon annan kan göra mer kostnadseffektivt, å den andra. Vår bransch vill fortsätta samarbetet med myndigheter för att uppnå bästa möjliga trygghet för Sveriges invånare och jag är både stolt och glad över att få verka inom denna ”industri” som varje dag, i våra kompetenta medarbetares skepnad, gör stor skillnad för samhället – dig inberäknat, Per Wirtén; oaktat om de ger dig rysningar.

Joachim Källström
[1] Platser som är prövade och beslutade av polisen enligt 3 § lagen (1980:578) om ordningsvakter (LOV).

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29