Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

”I Sverige finns det en vilja ta plats i beredskapsfrågan”

| Kronika

För ett par dagar sedan skrev Mats Alentun och jag i Dagens samhälle om det haltande lärandet inom svensk krisberedskap. Den senaste tiden har jag också skrivit en del om att näringslivet har en hel personalreserv till förfogande i sina konsulter, och genom åren har jag försökt lyfta frågor om beredskap för större samhällskriser, och behovet av att utveckla förmåga till totalförsvar. Som ett hack i skivan har jag återkommit till samma sak, om och om igen. Och här kommer det igen.

Men först en annan gammal dänga: ansvarsprincipen. Vi känner alla till den. Finns ansvar för verksamhet i fred så finns ansvar för den i kris och krig. Johan Carlson, gd Folkhälsomyndigheten, uttryckte sig såhär när han fick frågan av Dagens Nyheter om regeringen särskilt uttryckt önskemål om att myndigheten ska komma med initiativ:

Vi har ett intresse av att driva tempot i frågan. Det ligger i vårt ansvar. Vi har inte suttit och väntat på att de ska be oss om något.”

Inuti mig hurrades det. Varför? För att äntligen såg jag det som jag alltid vetat om myndigheterna i Sverige: det finns en vilja att agera, att bidra, att fatta beslut, att leda, att sträcka på sig och att ta plats i beredskapsfrågan.

Det här säger inte sig självt. Det är inte alla generaldirektörer och ledningsgrupper som lyfter säkerhet och beredskap återkommande på sina dagordningar i vardagen. Men – och nu tänker jag vara skoningslös – det finns inget som är viktigare på deras bord än just säkerhet och beredskap. Och hur kan jag vara säker på det? För att det är i arbetet med säkerhet och beredskap för kris och krig som analysen görs kring vad som är mest kritiskt i deras respektive verksamhet, no matter what. För att det är när det riktigt skiter sig som alla måste få av sina trånga kavajer, rulla upp ärmarna och göra det som är på riktigt viktigt. Där allas kompetens används till fullo, där anställda får vara bra på det som de anställdes för, som de utbildade sig till, som de tog jobbet för.

Nu till det jag alltid pratar om, och här i kombination med denna ansvarsprincip: det enorma behovet av, och viktiga ansvaret att, genomföra planering och att arbeta fram planverk. Alla ni generaldirektörer, chefer enskilt och ledningsgrupper samlat, som fått på er beredskapsglasögonen och känner livet pumpa i ådrorna på er. Kom ihåg denna period när detta blåser över. Och att ansvarsprincipen inte ligger vilande i vardagen; ansvaret åligger er att självmant ställa frågan på ledningsgruppmötet, på personaldagen, i vardagen när ni går runt och pratar med er personal i korridorerna, under era möten med era respektive på andra myndigheter, med ert departement. Lyft frågan om hur planering och förberedelser ser ut hos dem, hur långt de har kommit. Berätta vad som görs hos er. Inspirera till handling. Precis som Johan Carlson inspirerade mig och inspirerar hela Sverige just nu.

Det här hänger samman med vår förmåga att lära av det som händer. Om vi inte har planer och förberedelser så är det också avsevärt svårare att följa upp och se om vårt tänk funkar eller inte, och i så fall varför. Det hänger också ihop med vår förmåga att ta stöd från frivilliga och privata näringslivet, och så hålla ihop Sverige; om vi inte vet hur vi avser jobba och vilka resurser vi har så är det svårt att ta emot stöd och samarbeta. Och det hänger naturligtvis framför allt ihop med vår förmåga att hantera en kris när den kommer. En plan kanske sällan håller; men väl genomförd planering har gett oss beredskap och i bästa fall föranlett att vi skaffat oss de resurser som vi tror oss behöva, på förhand.

Vi har ett intresse av att driva tempot i frågan. Det ligger i vårt ansvar. Vi har inte suttit och väntat på att de ska be oss om något.”

Tänk om detta skrevs och sades högt av generaldirektörer på bred front om planering och förberedelser för totalförsvaret. Låt fler göra en Johan Carlson, i vardagen.

Kristina Syk, vd Straterno

Coronaviruset är en ny utmaning för cybersäkerhet

| Linda Kante

Om du tror att covid-19-epidemin innebär en paus från cyberattacker mot företag så tror du fel. Tvärtom är situationen värre och hackers världen över utnyttjar det faktum att organisationer lägger fokus och resurser på andra delar av verksamheten, vilket ofta leder till att deras infrastruktur lämnas exponerad. Ett tecken som tyder på detta är flertalet attacker mot sjukhus.

Liviu Arsene, Bitdefender

Det är naivt av företagsledningen att tro att hackare inte kommer utnyttja tillfället att attackera infrastrukturer eller kompromissa med värdefull data under en världskris som covid-19 har försatt oss i. Även om andra problem kan verka viktigare just nu, har skyddet av ett företags tillgångar aldrig varit viktigare, särskilt då cyberbrottslingar saknar empati och moral.

Ur säkerhetssynpunkt är det en utmaning när många, eller i vissa fall alla, anställda arbetar hemifrån. När en enhet lämnar det skyddande skalet i företagsinfrastrukturen blir den mer exponerad. Visst nog, alla e-postmeddelanden flödar fortfarande genom samma filter, men mycket nätverkssäkerhet saknas.

Trots att mycket i samhället stannar upp i samband med covid-19-pandemin behöver människor fortfarande arbeta och i vissa situationer måste VPN- och RDP-anslutningar (fjärrskrivbordsprotokoll) användas – ett skräck-scenario för säkerhetsteam. RDP är den föredragna infiltreringsvektorn för ransomware följt av phishing.

Eftersom i stort sett alla i världen nu är fokuserade på den globala covid-19-pandemin, är det lätt att förlora sikte på andra aspekter. Människor uppmanas att jobba hemifrån när det går, men vi ska komma ihåg att människor vanligtvis är den svaga länken i cyber-kedjan och är benägna att fatta dåliga säkerhetsbeslut.

Den globala pandemin har visat sig vara en användbar budbärare för phishing, med e-postmeddelanden som beskriver meddelanden från tjänstemän, försäljning av skyddsmasker av hög kvalitet eller generösa erbjudanden om råd till personer som vill ha mer information.

Detta är bara ett scenario: En anställd luras av ett phishing-e-postmeddelande och erbjuder antingen ett användarnamn och ett lösenord för någon falsk webbplats eller installerar oavsiktligt en bit skadlig programvara som börjar exportera data. Med all den informationen, eventuellt till och med legitima referenser, i cyber-brottslingens händer kan hen börja gå efter företagets nätverk. Till exempel kan de till och med försöka ringa in med RDP-anslutningar och sedan enkelt flytta in i företagets nätverk med full åtkomst.

Cyberkriminella ligger inte lågt bara för att en global kris pågår. Istället attackerar dom de mer sårbara branscherna för att dra nytta av brådskan och sårbarheten av situationen. Sjukvården är uppenbarligen i frontlinjen nu.

Nyligen drabbades universitetssjukhuset Brno av en ospecificerad cyberattack som resulterade i att deras IT-nätverk tvingades stänga ner. För ett sjukhus skulle oförmågan att behandla patienter i kritiskt tillstånd vara det absolut värsta scenariot, vilket gör sjukvården till ett så mycket mer värdefullt offer nu än någonsin förut. Nu är det mer nödvändigt än någonsin att ha rätt cyber-skydd på sjukhus och alla andra sjukvårdsrelaterade anläggningar.

Bara för att det inte är sjukvård, betyder det dock inte att du är säker.

Just nu verkar huvuddelen av attackerna vara inriktade på sjukvårdsleverantörer och angränsande branscher, och de involverar alla typer av phishing-bedrägerier av coronavirus. Men snart kommer människor som arbetar hemifrån att bli ett fokus för angripare.

Bara för att coronaviruset verkar vara det enda hotet idag, betyder det inte att alla andra sjukdomar tar en paus. På samma sätt inom cybersäkerhet; bara för att alla tittar på ransomware och sjukhus just nu, betyder det inte att alla andra angripare som vill stjäla databaser, infiltrera kritiska infrastrukturer eller helt enkelt skapa kaos kommer att ta en paus.

Om cybersäkerhet inte varit på många företags agenda, särskilt inte när det kommer till arbete hemifrån, bör det nu bli en växande prioritering. Utmaningarna med att hålla alla anställda säkra, var de än befinner sig i världen, får inte tas lätt, och åtgärder måste vidtas innan det blir ett verkligt problem.

Liviu Arsene, senior e-threat analyst, Bitdefender

Säkerhetsföretag måste klassas som samhällsviktiga och garanteras skola och barnomsorg under corona

| Kronika

Li Jansson, Säkerhetsföretagen

Säkerhetsföretagen, ett förbund inom Transportföretagen, vill se att väktare, ordningsvakter, skyddsvakter och larmcentraler klassas som samhällsviktiga och att regeringen säkerställer att förslaget om fortsatt skolgång och barnomsorg också gäller för branschens medarbetare eftersom säkerhetsföretagens verksamhet är en samhällsfunktion som fungerar också i kris. Detta gäller även flera sektorer inom transportnäringen.

Teckna din prenumeration på Aktuell Säkerhet här

– Branschen har hanterat allt från terror och migrationskriser vid sidan av daglig säkerhet på sjukhus, skyddsobjekt och allmänna platser. Säkerhetsföretagen vill tacka alla medarbetare som dagligen säkerställer att det trygghetsarbetet fortsätter. Företagen kan hantera nuläget inom normal drift. Samtidigt finns en oro att branschen inte räknas med i de samhällskritiska yrken vars barn får skola och barnomsorg även vid skolnedstängningar. Här måste regeringen klargöra vad som gäller. Detta gäller även flera sektorer inom transportnäringen, säger Li Jansson, branschchef, Säkerhetsföretagen, ett förbund inom Transportföretagen.

Samtidigt finns en beredskap och kontinuitetsplanering aktiverad i hela branschen som förbereder ifall smittspridningen ökar ytterligare i omfattning. Det gäller även Säkerhetsföretagens kansli.

– Vi stärker samverkan med polisen för att ha beredskap att lösa praktiska problem som kan uppstå ifall smittspridningen ökar, bland annat kopplat till föreskrifternas utformning. Ytterligare myndighetskontakter har tagits med MSB för att höja branschens förmåga att leverera som vanligt under krisen, säger Li Jansson.

Branschens företag påverkas på olika sätt av coronautbrottet.

– Efterfrågan minskar på flygplatser, på event, restauranger och butiker och nu arbetar vi praktiskt med att säkerställa att permitteringssystemet ska fungera. Samtidigt ser vi att efterfrågan ökar i andra delar av branschen, särskilt med en tonvikt på samhällssäkerhet. Branschen prioriterar också resurser till samhällskritiska objekt, såsom sjukvård, skyddsobjekt och MSB:s sju utpekade totalförsvarsviktiga sektorer, avslutarLi Jansson.

Gratistjänster för distans­arbete i corona-tider

| Kronika

Utbrottet av corona-viruset (Covid-19) förändrar vardagen i organisationer av alla storlekar. Folk jobbar hemifrån i allt större utsträckning. Konferenser och event ersätts med digitala videomöten. Hand i hand med dessa trender går behovet av nya säkerhetslösningar som skyddar medarbetarna och organisationens information i den nya arbetssituationen.

Flera leverantörer av IT-tjänster tar tillvara på situationen genom att erbjuda sina tjänster kostnadsfritt eller under förlängda provperioder. Medlemmarna i Säkerhetsbubblan har under dagen tipsat om sådana erbjudanden och här följer en sammanställning (i alfabetisk ordning). Notera att erbjudandenas beskrivningar är sammanfattande; läs alla detaljer på de länkade webbsidorna.

1password

Lösenordshanteraren 1password erbjuder vanligtvis en 30-dagarsprovperiod av Business-versionen. Erbjudandet har nu förlängts till sex månader.

Cisco

Nätverksjätten Cisco erbjuder flera av sina tjänster kostnadsfritt. För gratisversionen av mötesverktyget Webex slopar Cisco tidsgränserna och utökar samtidigt det maximala deltagarantalet till 100 personer. De låter även befintliga kunder överskrida sina licenser för filterverktyget Umbrella, autentiseringstjänsten Duo Security och VPN-tjänsten Anyconnect. Umbrella-tjänsten får dessutom en förlängd provperiod på 90 dagar och nya kunder kan få gratislicenser till Duo Security och Anyconnect. Erbjudandena gäller till den första juli 2020.

Cloudflare

Amerikanska Cloudflare är kanske mest känd för sin CDN-tjänst men de har också en tjänst som kallas Cloudflare for Teams. Den erbjuder de nu kostnadsfritt till småföretag för att låta deras hemmajobbare kunna arbeta säkert utanför organisationens väggar.

Discord

Videoströmningstjänsten Discord ökar det maximala antalet liveströmmande och skärmdelande deltagare i gratisversionen av Go Live. Nu ligger gränsen på 50 deltagare i stället för 10. Enligt en tweet från Discord gäller erbjudandet under några kommande månader.

Google

Molntjänstjätten Google vässar erbjudandet för sin samarbetstjänst G Suite (och G Suite for Education). De ger alla organisationer gratis tillgång till videokonferensverktyget Hangouts Meet med upp till 250 deltagare per samtal, videoströmning för upp till 100 000 tittare per domän och möjlighet att spela in mötena på Google Drive. Dessa funktioner är vanligtvis reserverade för Googles Enterprise-kunder.

Microsoft

IT-jätten Microsoft erbjuder en sexmånaderslicens av Office 365 E1 i sex månader för att nya organisationer ska kunna ta del av samarbetsverktyget Teams.

Path Solutions

Nätverksföretaget Path Solutions erbjuder sitt felsökningsverktyg Call Simulator kostnadsfritt. Verktyget hjälper IT-avdelningar att felsöka anslutningsproblem hos hemmajobbande medarbetare.

XMReality

Augmented Reality-bolaget XMReality förlänger prova på-erbjudandet av Remote Guidance Business till 60 dagar. Med hjälp av Remote Guidance Business kan experter erbjuda teknisk support på distans.

Zoom

Videokonferenstjänsten Zoom har tagit bort 40-minutersgränsen för skolor som använder gratisversionen. Enligt Zooms webbplats gäller detta dock ännu inte svenska skolor.

Zscaler

Säkerhetsbolaget Zscaler erbjuder gratislicenser till sin molnbaserade tjänst Zscaler Private Access (ZPA) som ger fjärråtkomst till interna applikationer. Enligt den tipsande medlemmen i Säkerhetsbubblan gäller erbjudandet även svenska kunder trots att den länkade webbsidan enbart nämner kinesiska medarbetare.

Denna artikel är publicerad under Creative Commons CC BY 4.0-licens (gäller ej tillhörande bilder där annan fotograf är angiven). Det innebär att du får kopiera, bearbeta och vidaredistribuera materialet.

Karl-Emil Nikka, författare och grundare av Nikka Systems 

DDoS-attacker återigen ett stigande hot – sluta sopa problemet under mattan

| Kronika

Färska siffror från Cisco visar att antalet DDoS-attacker blir allt fler – och drabbar organisationer med allt större kraft. Trots det är många dåligt förberedda, menar Mikael Westerlund, CTO på IP-Only.

DDoS-attacker är ett ständigt gäckande hot i det digitala samhället. Genom året har fenomenet gått i vågor, vissa år har organisationer och myndigheter drabbats hårt av enorma DDoS-attacker medan det under andra perioder legat förhållandevis stilla. Trenden såg länge ut att gå mot färre men allvarligare attacker, men frågan är om det inte är dags att revidera den uppgiften.

I dagarna släppte Cisco sin årliga internetrapport, i vilken det framgår att antalet DDoS-attacker växte med 39 procent under 2019. Den genomsnittliga attacken ligger visserligen på förhållandevis låga 1 Gbps men sett till de riktigt stora attackerna märker vi en explosionsartad ökning: attacker i storleken mellan 100 Gbps och 400 Gbps ökade med 776 procent.

Med rätt hantering är sannolikheten stor att även en DDoS-attack av större magnitud passerar obemärkt förbi. Elefanten i rummet är dock att rätt hantering kräver rätt förberedelser.

En DDoS-attack skiljer sig nämligen radikalt från andra typer av säkehetsincidenter; här kan vi inte sätta upp en stabil brandvägg, luta oss tillbaka i kontorsstolen och känna oss säkra. Istället behöver vi ha en genomarbetad och väl förberedd krisplan, betrodda partners och en vilja att ta lärdom av tidigare misstag.

Som operatör med stor erfarenhet av att hantera DDoS-attacker ser vi att det brister på samtliga punkter. Så länge inte attacken drabbar kritisk infrastruktur, som tidigare incidenter mot Valmyndigheten och stora mediahus, pratas det mycket sällan om det. Och att hålla tyst är en dumdristig strategi som inte hjälper någon.

Eftersom DDoS-attacker är billiga och enkla att genomföra är det heller inte något realistiskt mål att försöka få ned siffrorna. Men genom nedan förhållandevis simpla åtgärder kan vi åtminstone minska skadespridningen.

  • Blanda in hela ledningsgruppen: Som med alla säkerhetshot är den egna organisationens förberedelser av yttersta vikt. Här gäller det att inte låta frågan stanna på it-avdelningen – en DDoS-attack kan i värsta fall kasta omkull ett helt företag och därför bör också ledningsgruppen vara inblandad.
  • Prata med din operatör: En DDoS är i alla avseenden en simpel attack, där en stor mängd trafik skickas ut vid en given tidpunkt. Därför är det essentiellt att operatören inte bara har ett vettigt skydd för att både detektera och därefter sortera bort trafik, utan även är ärlig och proaktiv. Lyft luren och boka in ett möte med din operatör!
  • Dela med er av erfarenheter: Att prata om att dessa attacker sker och att de orsakar stora skador gör att vi ökar kunskapen kring området och mer effektivt kan nå ut med nödvändiga åtgärder. För den som drabbas av en attack är inte ensam, det riskerar att slå hårt mot samhällsbärande funktioner. Dessutom: Som leverantör av infrastruktur är det otroligt viktigt att även vi operatörer tar vårt ansvar, och lyfter både goda och mindre goda exempel.

Vi lever uppenbarligen i en värld där den här typen av attacker bara fortsätter att eskalera, både i antal och i omfång. Det är därför hög tid att vi slutar sopa problemet under mattan.

Mikael Westerlund, CTO IP-Only

Sekretessavtalet är den gordiska knuten för amerikanska molntjänster

| Kronika

Replik på krönikan ”Cloud (f)act, ett nödvändig förtydligande”

Bekräftelsefel leder oss till att läsa ut det vi vill ska vara sant men när det gäller juridiska frågor, och Cloud Act är en juridisk fråga, kan vi inte förlita oss på vad vi tycker borde vara sant eller leverantörer säger är sant utan istället gå till lagen för att konstatera vad som är sant.

Eftersom leverantörer och andra inte kan/vill i sak bemöta rättsliga utlåtande från eSam, Försäkringskassan, Kammarkollegiet och Premiepensionsmyndigheten argumenterar de med känslor. Det bli dyrare, avtal har redan ingåtts, digitaliseringen försvåras/hindras, mindre säkert, sannolikheten är liten, molntjänster såsom AI, rädsla för ”storebror”, amerikansk rättssäkerhet, bara brott, amerikanskt domstolsbeslut, information finns redan tillgängligt, Sverige halkar efter. Men inga av dessa argument spelar någon roll för vad som juridiskt är sant med avseende på Cloud Act.

Cloud Act

I molndebatten blandar de som menar att Cloud Act inte är ett bekymmer ihop vad Cloud Act tillför i form av Cloud Act avtal och vad som förändrats i amerikansk lag genom Cloud Act. Eftersom Sverige inte ingått ett Cloud Act avtal med USA berörs inte Sverige av de lagar som berör avtalsparter i ett Cloud Act-avtal.

Det som är relevant ur ett svenskt perspektiv är paragraf (18 USC 2713) som Cloud Act tillförde Stored Communications Act (SCA). Det viktiga i den nya paragrafen är ”outside of the United States” vilket innebär att USA tydliggör i lag att USA har extraterritoriella rättigheter över data som finns utanför USA.

Att amerikansk extraterritoriella lagstiftning inte är förenligt med GDPR är ställt utom allt tvivel men det överlåter jag till EU att reda ut.

Regeringsformen

I regeringsformen står det att ”Den offentliga makten utövas under lagarna”. Utifrån detta förstår nog alla att de som omfattas av Offentlighets- och sekretesslagen (OSL) ska hantera data enligt svensk lag. Det ska också kunna prövas i en svensk domstol.

Den gordiska knuten

När det blir leverantören, inte den myndighet som förvarar handlingar hos leverantören, som prövar om allmänna handlingar ska lämnas ut enligt SCA och Cloud Act leder detta till myndighetsutövning av enskild i strid mot RF och OSL (8 kap. 3 §). Enligt amerikansk lag (18 USC 2703(e)) hålls leverantören skadeslös vid avtalsbrott till följd av ett utlämnade. Fribrevet samt att typiska avtal med amerikanska leverantörer reglerar att tvister skall prövas i USA medför att det inte spelar någon roll vad som står i ett avtal med avseende på sekretess. Det går inte att avtala bort ett eventuellt utlämnade som har rättslig verkan.

Kan vi verkligen acceptera att svenska myndigheter slår ifrån sig ansvaret för prövning av sekretessfrågor till en utländsk domstol och låter sig företrädas av utländska leverantörer?

André Catry, Cyberrådgivare

Cloud (f)act, ett nödvändig förtydligande

| Kronika

Det är skrämmande hur många missuppfattningar och faktafel som finns kring Cloud Act. Ansvariga i verksamheter omger sig med direkt felaktiga uppfattningar om vilken konsekvens Cloud Act innebär. Många tror att de inte kan använda molntjänster med leverantörer som har amerikanska ägare. Så vad gäller?

Teckna din prenumeration på Aktuell Säkerhet här 

Cloud Act – (Clarifying Lawful Overseas Use of Data) är i praktiken ett tillägg och ett förtydligande av en annan lag – SCA (Stored Communications Act). En missuppfattning är att den gäller alla som nyttjar en molntjänst som ägs av amerikanska företag. Vidare verkar många tro att du har inget/lite att sätta emot när myndigheter kräver ut data, att det är en lag som ger ”storebror” fri access till din organisations data, inte ens din personliga information går säker. Inget kunde vara mer fel.

I princip innebär Cloud Act att data- och kommunikationsföretag – exempelvis molntjänstleverantörer – som lyder under amerikansk jurisdiktion. I praktiken gäller Cloud Act alla med kontor och/eller dotterbolag i USA. Även tjänster som nyttjats av amerikaner omfattas. Vad många inte verka veta är att den tvingar myndigheter till mycket stränga krav för att få ut information. Det krävs oberoende domare för om kravet på utlämnande är rimligt och att informationen som krävs är direkt relaterad till brottet. Läs den sista meningen en gång till, sakta. Låt det sjunka in.

Brottsbekämpande myndigheter i USA kan först efter bilaterala avtal få tillgång till begärda uppgifter. Det bygger alltså på att ett land – säg t.ex. Sverige – där data finns samtycker till det. Sverige kan begära att tillgången till information relaterade till andra än amerikanska medborgare begränsas. Det innebär alltså ett utökat skydd för icke-amerikanska medborgare. Detta leder till två viktiga slutsatser:

1) Om utelämnandet av uppgifter strider mot integritet eller lag som värnar denna (GDPR) så får den inte lämnas ut.

2) Ingen information lämnas ut utan en formell begäran som bedöms juridiskt.

För att få informationen måste alltså amerikanska myndigheter begära att få ut informationen via en oberoende domstol. Först när de strikta kriterierna i lagen är uppfyllda beviljas tillgång till information lagrad i molnet och endast den som är relevant för brottet. Icke-relevant information skall tas bort. Dessutom får personlig information inte lämnas ut om den strider mot EU: s sekretessbestämmelser. Detta är precis motsatsen till obegränsad åtkomst och ett hot mot den personliga integriteten. Jag tror att det inte kan bli tydligare.

Men vilka är kriterierna för att lämna ut data?

  • Det måste föreligga sannolika skäl för att ett konkret brott begåtts.
  • Den begärda informationen är relevant för, och har koppling till brottet. Vidare måste man förstå att behandlingen av en persons data här måste följa artikel 6 i EU-GDPR. Vidare så måste överföringen sen vara förenlig med kapitel V (artikel 44 – 50 i samma lag). EDPB – EU Data Protection Board – uttalade sig mer konkret i en juridisk analys kring eventuella konflikter mellan GDPR och Cloud Act:

“…unless a US CLOUD Act warrant is recognized or made enforceable on the basis of an international agreement, the lawfulness of such transfers of personal data cannot be ascertained, without prejudice to exceptional circumstances where processing is necessary in order to protect the vital interests of the data subject. (EDPB – EU Data Protection Board, 10 Juli 2019)”

Skydda din data
Summerat så här långt kan vi alltså konstatera att vi fortsatt kommer kunna ta strid mot denna typ av förfrågningar som strider mot den personliga integriteten. Och vi får inte glömma det viktiga i detta, kryptering. Det finns redan idag möjligheter att kryptera den data du förvarar i molnet, vilket du definitivt bör göra. All trafik till och ifrån molnet, även den så kallade data at rest, skall skyddas med kryptering. Och om du krypterar informationen så är den ju i praktiken värdelös utan krypteringsnycklarna, nycklar som gör den läsbar. Så inte bara måste en domstol kräva ut informationen, de måste dessutom kräva ut nycklarna för att kunna läsa den om den är krypterad.

Slutligen vill jag understryka den empati jag känner för dem som oroar sig trots detta, det är oroväckande om din information kan vara föremål för brottsutredning. Däremot finner jag oerhört många fall där verksamheter har en infrastruktur med mobila enheter, sökmotorer, appar som redan är i molnet med grundinställningar som ger fritt blås med personlig och känslig information redan i detta nu. Rädslan för att ”storebror” kommer in genom dörren utan att knacka på är större än insikten att samtliga fönster och bakdörrar till ditt digitala hus många gånger redan står på vid gavel. Verksamheters säkerhetskultur blöder, lösenord återanvänds, villkor för nedladdade appar läses aldrig, personlig information flödar på sociala medier och informationspåverkan av okunniga gör att vi ser spöken i Coud Act som inte finns.

Robert Willborg, CISO Junglemap

 

 

The Other Dark Side of Ransomware

| Kronika

Ransomware attacks rarely limit themselves to a simple payment followed by decryption. Both companies and private individuals who fall victim to this type of malware should be aware of all aspects of such attacks, which are not always transparent.

When hackers compromise a server or computer with ransomware, only two courses of action are available: to pay or not to pay. Each path carries inherent dangers, and the choice depends on a multitude of factors. But there are several other aspects that people should be aware of, no matter if it’s about enterprise or consumer space.

Not all ransomware families are created equal
It’s easy to think of ransomware operators as people looking for quick cash. While that’s true most of the time, attackers sometimes use their newfound network access to steal data as well. They can even wait for the best time to strike.

When big companies or organizations are compromised, they are usually targeted, and it’s rarely the result of some accident, with an employee mistakenly opening an attachment on their work computer. The most prevalent threats today are Sodinokibi and Ryuk, which were together responsible most infections in 2019.

It has yet to sink into the public consciousness that Sodinokibi and Ryuk fall into the category of malware-as-a-service. They were developed to rent out to third-parties. The makers of this type of ransomware don’t deploy it themselves. The result is a surge of attacks using Sodinokibi and Ryuk, likely by multiple hackers and not a single group.

There are no guarantees
Ransomware operators ask for a payment, a form of blackmail where access to your data is granted after paying the required amount of crypto-currency. It’s impossible to expect guarantees, but surveys published so far reveal that in most cases, especially in large attacks, the hackers do send decryption tools.

The cornerstone of any ransomware attack is the expected payment, but it’s a double-edged sword. If attackers don’t send the tool, it’s less likely that their next target will pay. It does happen, especially with the groups using less known tools and in attacks against small businesses and regular people.

What most people don’t know is that encrypting files on a system or server is not easy. There have been cases when the ransomware was poorly designed and corrupted large files during decryption. Yes, it’s possible to lose data even if you pay, and the hackers send what you need.

The path of least resistance
Most ransomware attacks share an attack vector, and it’s likely not the one people think off. It’s easy to imagine hackers looking for a vulnerability or a complex method to hack into the company network, but most of the time, the culprit is still the human element.

RDP, or Remote Desktop Protocol, is a Windows technology that allows a user to connect to and control another computer over the network. The process is secured with credentials, and people are inherently bad at choosing user names and passwords. And credentials databases are often stolen or leaked, making it easy for attackers to use real credentials.

Credential stuffing, as well as vulnerabilities in the RDP protocol such as the BlueKeep bug disclosed in 2019, are strong arguments to never expose your RDP instances directly to the Internet. If needed, you should make this service available inside the local network only and accessible only through a VPN connection from outside.

One of the best ways for companies to protect their infrastructure against ransomware attacks is to rotate passwords often and keep an eye on data breaches that might affect them. Of course, a multi-layered security solution is a must as well.

Ransomware is one of the few cybercrimes with a tangible cause and effect for a company, but it’s complex enough to require much more than a simple overview. Many of the subsurface aspects of ransomware attacks remain hidden, empowering bad actors to try again.

Liviu Arsene, senior ehotsanalytiker på Bitdefender

Släpp inte taget om de lokala torgen

| Kronika

Lokala torg kan – rätt förvaltade – utgöra trygga mötesplatser. Men utvecklingen mot blomstrande centrumanläggningar måste vi nu alla inse inte är något som sker av sig själv, utan det krävs ett medvetet och uthålligt arbete.

I en tid med stark framtidstro utvecklades bostadsområden med det lokala torget som sitt nav och sin samlingspunkt. Här fanns hela det utbud och service som vardagen krävde och torgen blomstrande. De utgjorde mötesplatser där människor kände varandra – en viktig faktor för att skapa trygghet. Dit kan vi komma igen, men det kräver att vi behåller greppet om de lokala handelsplatserna.

Robert Hörnquist, vd GöteborgsLokaler

Sedan merparten av de lokala torgen byggdes har samhället förändrats och därmed köpmönstren. En period kändes det mer modernt och rationellt att ta bilen till större handelsplatser. Sällanköpshandeln har sedan länge hittat andra handelsplatser.

Så kom det sig att butikerna på de lokala torgen började föra en tynande tillvaro.

Tyvärr tror många att det fortfarande är så. Men många lokala handelsplatser har redan gått igenom sitt stålbad. Efter en period med stark strukturomvandling ser vi en framtid för småskalighet och nära handel. Tack vare ett ökat medvetande om hållbara val är det också allt fler som i allt högre utsträckning väljer att handla lokalt.

Långsiktig förvaltning ger goda framtidsutsikter

Vår långa erfarenhet visar på några viktiga nyckelfaktorer som vi vet ger resultat. Flera av dem överensstämmer med Gårdstensmodellen, det arbetssätt som lett till att Gårdsten nu blir allt mer attraktivt och även lockar privata investerare och byggare. Idag anser dessutom exempelvis 85 procent av de boende att tryggheten i Gårdstens centrum är god – så såg det inte ut när arbetet inleddes.

Råd för blomstrande lokala torg:

  1. Var en aktiv förvaltare och bibehåll rådigheten över anläggningen.
  2. Se till att det är rätt verksamheter som flyttar in, aktörer som är villiga att bidra till en god utveckling. Hyr inte ut till vem som helst så att ni riskerar att få in kriminell verksamhet – det kan stjälpa ett helt område.
  3. Näringsidkare som väljer att hyra lokaler på ett lokalt torg är ofta ensamföretagare. Arbeta tillsammans med dem för att utveckla centrumanläggningen.
  4. Utveckla trygghetsarbetet och skräddarsy det efter de lokala behoven. Om inte de som rör sig på torget och de som är verksamma där känner sig trygga och säkra så har torget ingen framtid.
  5. Se till att det är rent och snyggt i området. Klotter föder klotter och skapar en känsla av otrygghet.

Inget av detta kommer att fungera utan samarbete. Alla som är verksamma på och kring det lokala torget, som exempelvis bostadsföretag, hyresgäster, lokalhyresgäster, näringsliv, polis, kommun, skola och föreningar måste vilja och ges förutsättningar att bidra till utvecklingen.

Erfarenheter från Stockholm, som bland annat redovisas i en rapport framtagen vid Handelshögskolan i Göteborg 2012, visar att ett lokalt torg snabbt kan tappa sin attraktivitet som mötes- och handelsplats om ingen tar ansvar för dess långsiktiga utveckling.

Service och handel nödvändiga för ett fungerande lokalsamhälle

Vi är övertygade om att vi nu tillsammans kan fortsätta resan mot blomstrande lokala torg som blir attraktiva platser för det viktiga vardagslivet för alla – unga såväl som gamla. Men då får vi inte släppa taget om torgen.

Robert Hörnquist, vd GöteborgsLokaler

 Michael Pirosanto, vd Gårdstensbostäder

 Mikael Jansson, vd Robert Dicksons Stiftelse

“It’s One Helluva View” – The 2020 Cybersecurity Threat Landscape

| Kronika

The battle between organisation and chaos rages across the cyber universe. Whose side are you on? Business and Government will of course insist that they are the forces of stability and organisation, and the cyber criminals and saboteurs are the forces of chaos. But the irony is that in many ways it is business and government that are in chaos, while cybercrime grows increasingly organized – as we shall see.

Teckna din prenumeration på Aktuell Säkerhet här 

Let’s start with data from a supposedly reliable source: The World Economic Forum. In 2018 they estimated the global cost of cybercrime to be $600 billion. They estimate that it will reach $3 trillion by 2020. Meanwhile Gartner estimates that total global spending on cybersecurity in 2019 was $124 billion. Compare how much we are spending with how much we are losing and it looks like a very bad bet. Or, as analyst Vikram Phatak, Founder, NSS Labs points out: from an R&D perspective: “The bad guys are able to fund their research at a rate about five times of what the good guys are. This does not bode well for the future.”

Phatak also describes a serious skills shortage (heck! have the good ones gone off to work for the bad guys?) and how, for all the good intentions of DevOps, there are people doing rapid coding via Google search “grabbing an open source repository that may or may not have been backdoored by the North Koreans, Chinese, Russians, Iranians – pick your adversary. We’re literally embedding the next attack vector in the code that we’re developing today.” So that: “What’s our current posture? If you ask most CSOs where do you stand, they probably can’t tell you.” And that is before he has even got on to the perils of IoT, 5G and threats against the physical world of infrastructure.

Have you heard of the Dunning-Kruger Effect? That folks who are incompetent are so incompetent that they don’t know that they’re incompetent. They don’t have the tools to judge their own capabilities. So, the data here, basically, the bottom 25th percentile, the actual performance is terrible, but they thought they did rather well – see diagram.Conversely, people who are highly competent assume that, if things are easy for them, they will be easy for others. “This happens in Silicon Valley all the time, with software products in general – right?” The best minds overestimate the ability of others.

NSS Labs comes up with some revealing data on security products vulnerability to “evasions” – ie an attack is successfully blocked but the attacker just adjusts it slightly and the new version gets through unrecognised. Twelve Next Generation FireWalls were tested and 9 did well against simple, clear text attacks. But all 12 failed Resiliency (protection library depth) – NSS could trivially modify known / blocked exploits and bypass protection in all devices. Eleven of them failed to block exploits obfuscated using Complex App Layer Evasions(HTML / Javascript/ VBScript). Despite IP Fragmentation evasions been known and properly handled since the 1990s, they continue to challenge 8 of the vendors. Vendor 3 had big problems with evasions over decrypted HTTPS, but is now fixing the problem – see diagram.

It was not all bad news, however. Versa Networks’ FlexVNF did achieve the NSS Labs’ coveted “Recommended” rating on the strength of its 99% Exploit Block Rate and high scores in both SSL/TLS Functionality and Total Cost of Ownership criteria.

In summary Vikram Phatak says: “We’re falling behind, and the bad guys have got the upper hand. We keep on making things worse. The tools that we rely upon are incredibly complex and are not getting any easier. Hopefully, with some of the AI stuff it will be, but that’s no guarantee”.

As in any detective work, it helps to start with motive: what are the bad guys wanting to achieve? If you ask someone from the US Secret Service – part of the Department of Homeland Security – you might expect them to major on political threats and cyber war. But Tom Edwards insists that money is still the biggest driver: “the Secret Service has a dual mission. Not only do we protect our president and vice president, family and foreign heads of state, most people don’t know that we also investigate cyber-enabled financial crime. We started investigating financial crime in 1865 with counterfeit currency, and we have evolved with the criminals all the way till today.”

Tom says: “The cyber actors that we deal with are organised groups all over the world, and it’s profit driven, whether public or private sector, through ransomware, through business email compromise. They’re going after the money, they’re going after credit card data, they’re going after personal identifiable information, and then turning that into profit. The next thing would be credential theft. They get into cloud-based servers and steal that data so they can monetise it on the dark web or in other places. “

Ted Ross, CEO and Founder, SpyCloud, knows all about this. He has a team of researchers that interacts with criminals, and social engineer data from them as they steal it, so they can turn that around to our customers and prevent account takeovers. “We started this company three years ago; we have over 13,000 breaches in our database right now. Almost 80 billion assets. Basically, if you have an online identity, we probably have it in our database – which means the criminals have it. They’re highly organized. They build their own databases”.

People underestimate the criminal’s ability to be creative. They assume that, once the information gets to the deep and dark web, companies like Akamai can detect it, and protect their customers. But actually they might continue to analyse that data for up to two years: “First thing they’ll separate the data into high-value targets – a special category for very sophisticated targeted attacks. They leave all the rest for later, and run automated attacks.” One of his customers, a financial organisation that deals with a lot of crypto currencies, said that 10 per cent of the attacks into their network are targeted, and cause 80 per cent of their losses.

So what technical solutions point the way forward? Yes, there is much talk about AI and Machine Learning techniques for automating, accelerating and refining attack detection – but remember what Phatak said about R&D resources. The bad guys are probably already applying these techniques. Maybe a more obvious approach is to focus on visibility? This is a natural human instinct: if we hear a suspicious noise in our house in the middle of the night, most people instinctively switch on the light, even though it could make them visible to the invader. Once humans can see what is happening, we can act fast and often very effectively.

Paul Kraus, Vice President of Engineering for Cybersecurity at NetScout Systems, makes this point: “How do you know what to monitor, or how do you put value on the assets in your organisation, if you don’t even know they’re there? The first aspect is gathering up the inventory of actually what you have. Second of all, can you actually take statistics? Can you look at the changes? Can you monitor to the level that your organisation can accept the risk for that asset being compromised? … I asked a group of security engineers ‘when the dev ops team in your organisation moves something to the cloud, are you involved?’ Out of 300 people, a half dozen raised their hand. Does the security team even understand what’s out there? Does the IT team even understand what’s out there? Let’s go back to visibility. That’s the key bit for understanding your risk posture. Without that visibility, you really have no way.”

This is a subtle shift in focus: from putting all our efforts into software or devices to protect us, to thinking more about what humans need to fight back. For a soldier, binoculars with night vision might be worth more than a gun.Ted Ross takes this up: “When you install a network, you install security with it. It’s part of the install. Hopefully, that’s happening in most places. When you start, to actually implement a security practice, I think most people forget about the human element. The weakest link is the human. I think we are all wired to start with the devices, but I think we should also be starting with human training and educating them on concepts like zero trust, and not to click on an email attachment. If you get an email from the CEO asking you to buy gifts at Apple, call your CEO. Just pick up the phone and call him, and see if he actually sent it. Really basic things”.

Phatak adds: “Cybersecurity has become like gym membership. People buy it, it makes them feel good, but they’re not really deploying and using it properly. They’re not actually going in and doing what they need to do.”

Michael Levin, former United States Secret Service & Deputy Director, US Department of Homeland Security, is now CEO for the Centre for Information Security Awareness, helping organisations induce security into their organisation to create a culture of security. He emphasises that social engineering aspect: “This is one of the things that we educate companies and employees on. It’s not just the phishing email, it’s the different ways employees can be socially engineered. It could be over the phone, it could be in person, it could be through social media. You have to come up with mechanisms and reminders for the employees in the organisation on a daily basis to be on the lookout”.

This all paints a depressing picture. If we cannot offer cheer, we can at least offer advice:

  • Forget the old idea that hackers favour low hanging fruit means they are lazy. As Michael Levin says: “what is the first thing that a smart car burglar should do? Check the door handle to see if it’s unlocked. Many hackers are doing very good reconnaissance, finding all the open windows on our networks.” They are not only educated, they are highly motivated. For most employees security is a secondary issue, for hackers it’s their job.
  • Think about the relationship between your social media and your business. One company CEO tweeted to his friends that he was heading to Beijing for a few days. A few days later, his CFO got an email – purportedly from him, saying he’d been arrested by the Chinese government and needed money. They sent the money because there was enough detail on social media to make it credible.
  • Be suspicious if given any sense of urgency. As Levin says: “Nine times out of 10, it forces people to make decisions very quickly and it often results in a fraud.” If a message is saying “hurry, hurry”, don’t just click. Phone and check, or go to the original website.
  • “Support an open culture about cyber threats” says Tom Edwards. If employers are too scared of the boss to confess to clicking on a phishing e-mail, then the company is in trouble. Michael Levin agrees: “There should be some way for them to come out and let the organisation know they might have done something wrong without being penalised.”
  • If your security thinking is focused only on technology, you will be thinking mechanically. Think instead about the human factors, the hacker’s motivation and the victim’s weak points, and you will have a much broader view of the battlefield.

Lionel Snell, Editor, NetEvents

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29