Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Bara idioter tvingar kvar sin partner

| Kronika

SAMSUNG CSC

Otryggheten ökar inom alltfler yrkesgrupper och efterfrågan på säkerhet ökar i takt med den trista trenden. Det innebär givetvis möjligheter för oss i säkerhetsbranschen, men det är tydligt att det också lämnar utrymme för fulknep och oseriösa aktörer.

Vi som drivs av visionen om ett säkert samhälle har ett stort ansvar: att skapa trygghet och aldrig någonsin spela på rädsla.

Som säkerhetsleverantör brottas man ständigt med en omogen beställarkompetens. Vi ser tydligt behovet, men möter inte sällan en förfrågan eller upphandling som helt skjuter över målet. Vår inställning är att man måste jobba proaktivt för att göra skillnad på riktigt. Vi sätter ett värde i att hjälpa till att öka förståelsen för helheten, även om det ibland innebär att vi förlorar en potentiell affär.

Ta skolvärlden som exempel. Vi har ett antal skolor som kunder och vi vet att hot och våld i skolan är ett stort arbetsmiljöproblem. Vår kärnverksamhet är personsäkerhet i allmänhet och personlarm i synnerhet. Men, och det här är viktigt, personlarm är enligt mig den sista utvägen i skolvärlden. Det finns undantag, men generellt skulle jag vilja påstå att skolor inte behöver fler personlarm – skolor behöver mer personal.

Vi vet att det inträffar incidenter på raster, att det gått vilt till i korridorerna och att så många som var femte lärare känner ett obehag inför risken att utsättas för hot, våld eller trakasserier när de går till arbetet. Det är skandal. Skolan har ett gigantiskt problem som skolan behöver ta hand om, men personlarm är inte lösningen. Det behövs mer personal i varje situation, i klassrummet, i omklädningsrummet och på skolgården – och alla som jobbar i skolan ska ha tillräcklig kompetens för att minimera risker på arbetsplatsen. Här vågar jag påstå att det många gånger brister.

När det skiter sig trots allt, när personaltätheten inte hålls uppe och en anställd utsätts för ett tillbud med inslag av hot och/eller våld, så måste den som drabbas snabbt kunna slå larm. Det är ett tydligt krav i lagen, och det är här våra produkter kommer in i bilden. Men innan dess spelar hot- och våldsutbildningar, konflikthantering och riskanalysen huvudrollerna hela vägen.

Vi välkomnar konkurrens och tror att det på alla sätt bidrar till utveckling och ett bättre utbud. Konkurrens gör att vi hela tiden måste jobba framåt för att hålla oss relevanta och i framkant, för att våra kunder ska känna att vi levererar Sveriges främsta personlarmspaket precis som utlovat. Står vi stilla och gör som vi alltid ha gjort blir vi omsprungna på nolltid.

Dock möter vi allt oftare kunder som upplever sig bakbundna av leverantörer man tidigare valt. Oseriösa avtal håller kunden i ett järngrepp i åratal, utan löpande uppföljning. När avtalet sedan äntligen löper ut, visar det sig att avtalet har en automatisk förlängning på flera år.

Vi älskar att gå i bräschen, och vill utmana våra branschkollegor att hänga på. Ledordet är hållbarhet. Minns ni för några år sedan, när mobilmarknaden fullständigt ritades om och skapade en ny norm med total frihet för kunden? Vi går åt det hållet! Vi förbättrar ständigt våra avtal, för att tvinga kvar en partner som vill gå vidare är oseriöst.

Vi förordar långsiktighet, men vill vara långsiktiga på schyssta villkor. Så länge vår partner är nöjd med vår relation, så känner vi oss trygga med att relationen kommer att hålla. Det är egentligen inte konstigare än vilken annan relation som helst, oavsett om det handlar om en vänskapsrelation eller en kärleksrelation. Och ärligt talat, vilket äktenskap mår bra av att den ena parten tvingats kvar i ett snårigt kontrakt på 24 månader?

Hållbarhet genomsyrar allt vi gör. Personlarmen blir mindre och drifttiden allt längre, det är toppen. Men vi måste titta på vilka klimatavtryck produktionen och distributionen av larmen gör. Det finns fantastiskt fina utsläppsfria fabriker som utvecklar framtidens teknik redan idag. Personlarm må vara en liten produkt i samhället, men alla måste ta sitt ansvar.

Det är några exempel på hur vi på Axel Group tar vårt ansvar på vägen mot ett säkert samhälle, utan att någonsin spela på rädsla. Utmana oss gärna, och kom ihåg att det är viktigt att våga säga nej till en affär som inte gynnar både dig och din partner.

Johannes Jacobsson, vd Axel Group

Tre sanningar om ransomware – därför görs det inte tillräckligt mycket

| Kronika

Ransomware-attacker fortsätter att drabba företag av alla storlekar. Nyligen fick två incidenter enorm uppmärksamhet: Gunnebo och Vannepsyk – och även om mycket fortfarande är oklart kring båda dessa kan vi nog fastslå att det visar på allvarliga brister.

Faktum är att de här två fallen bara är toppen av ett isberg. Det fastslogs inte minst efter MSB:s skarpa varning om att ransomware-attacker är på kraftig uppgång. Bakgrunden till den varningen är att amerikanska CISA nyligen uppmärksammat att sjukvårdssektorn i USA är utsatt för större ransomware-hot. Samma utveckling spås drabba Sverige.

Varför ser det då ut så här? En delförklaring är att säkerhetsområdet idag är så komplext och oförutsägbart. Den pågående pandemin har dessutom skapat ytterligare utmaningar för organisationer över hela världen. I takt med att anställda får andra rutiner blir det svårare att upptäcka oregelbunden trafik och misstänkta aktiviteter.

Säkerhetsavdelningar brottas varje dag med oväntade utmaningar, till följd av en ständigt pågående digital transformation. Nyligen publicerade vi på One Identity en större undersökning som visar att endast 38 procent av respondenterna i Skandinavien anser att övergången till distansarbete fungerat smidigt. Och bara 42 procent säger sig vara tillräckligt förberedda för de nödvändiga IT-förändringar som behöver ske när de anställda så småningom återgår till kontoret. Det skapar en perfekt storm för nätkriminella. Det är inte det minsta anmärkningsvärt att vi nu ser en våg av ransomware-incidenter och att det varnas för ännu fler.

Lägg därtill att det inte existerar någon enkel lösning till detta eskalerande problem. Snarare bör varje enskild organisation arbeta utifrån en kombination av flera förebyggande åtgärder och anpassa dessa efter sin egen struktur.

  • Anställda slarvar fortsatt med det mest rudimentära
    Ransomware-attacker är förrädiska på så sätt att de nästan alltid börjar med någon annan typ av attack. Mycket är fortfarande oklart kring Gunnebo-incidenten men vad vi vet är att en grupp påstår sig ha kommit över data via ett numera nedsläckt Twitter-konto. Utifrån det har man utfört attacker mot en rad större bolag. Dels är det extremt allvarligt att anställda saknar förståelse för hur bristande rutiner riskerar att skada företaget, dels är det en utmaning att skydda alla dessa konton som cirkulerar.
  • Det saknas ordentlig kartläggning
    Att utgå från att samtliga inom organisationen sköter sina best practises är att vara godtrogen. I säkerhetsbranschen talar vi om att antingen använda en least privileged- (vem som har tillgång till vilka data) eller en zero trust-strategi (att kontrollera samtliga förfrågningar). Genom sådana implementationer blir det mycket enklare att sätta in förebyggande åtgärder på rätt plats och stoppa incidenter innan de blir kritiska.
  • Tillräcklig detektering behöver sättas in
    När väl en incident inträffar är det nödvändigt att rätt resurser sätts in i ett så tidigt skede som möjligt. Genom att segmentera strukturen och arbeta effektivt med priviligierad accesshantering och it-styrning gör man sig själv till en oattraktiv måltavla av den enkla anledningen att det blir för krångligt att utföra en attack.

För att återgå till Nordamerika föreslår det amerikanska finansdepartementet att det framöver ska bli olagligt att betala lösensumma vid en ransomware-attack, och att organisationer som gör så kan komma att åtalas. Det är ett klokt och nödvändigt steg för att vända kurvan och något EU bör ta efter.

Någon ”quick fix” är det dock inte, betalning sker fortsatt i det dolda och trenden pekar åt helt fel håll. Så länge organisationer inte är tillräckligt förberedda lär vi även fortsättningsvis höra om storskaliga incidenter som sätter hela företagets rykte på spel.

Elisabeth Ström Gullberg, Nordenchef på One Identity

Från låsa till läcka – låt inte den senaste tidens ”tysta” utpressningsattacker leda till avstannad digitalisering

| Kronika

Att genomföra utpressningsattacker kan vara mycket lönsamt, och det finns ingen brist på ligor som skapat omfattande affärsverksamheter kring fenomenet, inte minst gentemot svenska verksamheter. Genom att ta sig in i offrets system och låsa tillgången till data via kryptering kan angripare lamslå företag och organisationer. Först när den angripne betalar dekrypterar angriparen data så att verksamheten kan fortgå. Den här typen av attacker sker till stor del via automatiska funktioner utan någon större manuell handpåläggning. Det innebär att angripare kan driftsätta attacker i stor skala till ett billigt pris. Väl inne i systemet kan angripare sen kryptera data ganska urskillningslöst. Samtidigt är dessa attacker mer högljudda än manuella attacker och det finns därmed vissa möjligheter för säkerhetsteam att upptäcka attackerna utifrån de trafikavvikelser som uppstår. Via smarta lösningar för säkerhetskopiering och återställning av data kan också en stor del av den skada som denna typ av attacker ställer till med hanteras proaktivt.

Under oktober, vilket ironiskt nog är den europeiska cybersäkerhetsmånaden 2020, drabbades  plötsligt flera företag av en annan typ av utpressningsattacker. Det handlar om attacker där angriparen läcker, eller hotar med att läcka, data till obehöriga – exempelvis via Darknet. Dessa attacker är mer fokuserade och innebär inte att något krypteras. De blir därmed mindre högljudda och svårare att upptäcka än automatiska attacker. Det innebär också att säkerhetskopiering och återställning av data inte löser problemet.

Vid denna typ av attacker kontaktar angriparen verksamheten, och i vissa fall dess kunder, efter ett lyckat intrång och talar om att de har stulit data och att den drabbade behöver betala för att man inte ska läcka den. För att lyckas stjäla data som är så känslig att företag och privatpersoner är beredda att betala mycket pengar för att undvika att den exponeras krävs fokus och manuellt arbete. Det medför att denna attacktyp är betydligt dyrare att genomföra. Kostnaden har hittills varit den största orsaken till varför angripare som är ute efter pengar valt den automatiska och mindre resurskrävande intrångsmetoden. Men i oktober har det alltså visat sig att detta håller på att förändras.

Ifall offren väljer att inte betala börjar angriparen läcka data och man ser dessutom gärna att media skriver om attackerna för att därigenom bli ett fruktat och föraktat namn. Därmed har man, även vid uteblivna intäkter, i alla fall vunnit en typ av respekt som kommer angriparna tillgodo vid framtida utpressningar. Denna typ av attacker är inte nya i sig. Det första exemplet sträcker sig bakåt till 2014 när Sony drabbades av en läckningsattack som misstänks komma från Nordkorea.  Det som är nytt är att allt pekar på att angripare numera tycks genomföra dem för att tjäna pengar snarare än, som tidigare, för att främja ett politiskt syfte.

Läckningsattackerna i oktober pekar dock på att intäkterna nu blivit så pass stora att de motiverar de dyrare intrångsmetoderna. Hur stora vet vi inte eftersom lyckade attacker inte kommer till allmän kännedom. Det vi med säkerhet vet är att åtminstone tre företag, och dess kunder, inte betalat. Tillvägagångssätten i dessa fall understryker att angripare lägger stora resurser på sina attacker. Exempelvis har angripare lyckats komma åt data efter att ha nästlat sig in i mailkonversationer som om man vore en legitim medarbetare. De drabbade luras att klicka på länkar och att öppna filer och såväl språkbruk, sammanhang och e-postadress har inte gett drabbade anledning att misstänka något.

Utvecklingen är skrämmande och frågan är nu inte om det kommer mer utan vem som står näst på tur att drabbas. Troligtvis kommer det att vara verksamheter som hanterar särskilt känsliga data inom branscher som sjukvård, finans och leverantörer till offentlig sektor.

Vad göra?
För att klara den uppkomna situationen krävs krafttag. Som vanligt finns inget recept som löser alla problem, men en sak som alla kan göra direkt är att sluta att peka finger och att istället inse att det krävs gemensamma insatser. Tillsammans kan företag, även konkurrenter, och institutioner hjälpa varandra att både vässa befintliga lösningar och tänka nytt genom att:

  • Kombinera verksamhetskompetens och teknikkompetens för att skapa flera lager av säkerhet
  • Vässa förmågan att övervaka och logga händelser
  • Agera på hur jobb hemifrån och användning av privata mobiler och laptops i jobbet påverkar säkerheten. Pandemin har medfört stora förändringar här och angripare är pigga på att kapitalisera på detta
  • Glöm inte bort backup och återställning av data – allt tyder på att låsnings-attacker kommer att leva vidare parallellt med läcknings-attacker
  • Kräv att partners tar säkerheten på allvar och att de visar hur. Goda personliga relationer räcker inte längre för att kvalificera en partner
  • Inför ett nytänk kring inköpsprocesser där vikten av pris och kvalitet av säkerhetsprocesser och lösningar omvärderas utifrån hur verkligheten ser ut
  • Stresstesta och säkerhetstesta processer och system

Detta är några aktiviteter som är avgörande för företag och individer framöver. Med en gemensam approach kring dessa punkter kan vi se till att svenska bolag och institutioner inte tvingas stanna upp sina digitaliseringsresor på grund av den tystare typen av utpressningsattacker som uppmärksammats under de senaste veckorna. Det är avgörande för såväl individer som för hur Sverige som land utvecklas.

Av Christoffer Jerkeby, F-Secure

Data måste hanteras säkert även utanför datacentrets fyra väggar

| Linda Kante

Nära fyra av tio personer inom EU började arbeta på distans under årets första månader, enligt en undersökning från Eurofund. Detta är en jätteförändring och nu när många verksamheter och anställda har upplevt några av fördelarna med distansarbete är det troligt att företag fortsätter med det i någon grad även långsiktigt. För IT-avdelningarna innebär detta i sin tur ytterligare förändringar att hantera.

En digital fästning

För en tid sedan fanns all IT-infrastruktur inom företagets egna väggar. Anställdas PCs, skrivare och telefoner stannade på kontoret, medan datorprogram och data lagrades I egna datacenters som även de fanns i anslutning till företagets kontor. IT hade kontroll på IT-miljön både ur ett prestandaperspektiv och ett säkerhetsperspektiv. Distansarbete hanterades via VPN, vilket innebar att det enda som lämnade datacentret var den anställde själv och hans eller hennes hårdvaruenheter. Via VPN kunde IT-avdelningen bibehålla kontrollen och hantera administratörernas behörigheter så att anställda inte installerade icke godkänd, och potentiellt skadlig, mjukvara.

Sedan kom molnet och genast kunde företag skala upp sin datalagringskapacitet och börja säkerhetskopiera filer till andra fysiska platser. Med molnet följde också mer flexibilitet och valfrihet för de anställda. Shadow IT blev ett vanligt begrepp när anställda började installera de applikationer de ville och prenumerera på de online-tjänster de ansåg att de behövde för att lagra och komma åt data utanför företagets datacenter. Som en följd uppstod nya utmaningar för IT-avdelningen. När nära hälften av alla medarbetare under perioder arbetat på distans, samtidigt som distansarbete tidigare inte varit ett alternativ alls på vissa företag, är det inte konstigt att den nya situationen blivit utmanande. Dessutom har många distansarbetat via laptops och mobiler som inte tillhör företaget, vilket medför ytterligare säkerhetsrisker, vilket även har uppmärksammats av CERT.

Det gamla on-premise-datacentret skulle kunna ses som en nästintill ointaglig fästning. Allt som gick in i och ut kontrollerades noggrant, vilket medförde att risker utifrån kunde hanteras relativt säkert. Det är också därför som ett av de mest kända hoten är så kallade Trojaner som försöker lura offret att tro att det hör hemma i fästningen. Idag skulle man kunna säga att hela porten till fästningen är borttagen och de människor som tidigare arbetade där finns utspridda på olika fysiska platser. Varje enskild medarbetare som arbetar på distans utgör en potentiell ingång för skadlig kod, vilket innebär att attackytan inte bara har ökat – den har exploderat.

Större attackyta

Vid distansarbete är det även viktigt att de anställda får ta del av utbildningar och säkerhetspolicys att förhålla sig till. IT-avdelningar har ofta liten eller ingen insyn i om anställda kopplar upp sig via VPN, särskilt i de fall de använder egna enheter. Dessutom används enheterna ofta i en hemmiljö där det inte finns någon insyn i hur och vem som använder enheten. Verksamheten har därmed förlorat kontrollen på datahanteringen, samtidigt som den är ansvarig för den.

Därför måste företag ha en genomtänkt molndata-strategi som säkerställer backup, skydd och återställning av data över alla enheter och applikationer. Utbildningar spelar här en viktig roll och hjälper IT-ansvariga att se till att anställda är uppkopplade via VPN och att de lagrar företagsdata i säkra molnmiljöer, istället för på personliga konton eller på sina egna laptops. Om data inte säkerhetskopieras är den inte skyddad och ifall verksamheten drabbas av ett avbrott eller en cyberattack kan det vara omöjligt att återställa den. Dessutom inför företag SaaS-lösningar i snabb takt. Microsoft Teams växte exempelvis från 32 miljoner till 72 miljoner användare mellan mars 2019 och april 2020. Företag som använder Microsoft Teams och Microsoft Office 365 måste se till att säkerhetskopiera data löpande – antingen on-premise eller i molnet. Först då kan de skydda sig från avbrott som ligger utanför företagets kontroll.

När företag, inklusive de som tidigare inte tillämpade distansarbete, allt oftare kombinerar distansarbete med arbete från kontoret, ökar säkerhetsriskerna. Det är därför avgörande för företag att skapa och genomföra strategier för att hantera data över flera system och enheter. Detta inkluderar att säkerställa att data säkerhetskopieras löpande, att data kan återställas ifall det skulle behövas, att företaget kan hantera potentiella driftstopp och att företaget skapar ett så bra skydd från externa hot som möjligt.

Michael Cade, Senior Global Technologist, Veeam

Sverige sticker ut som den perfekta platsen för datacenter

| Kronika

På senare år har datacenterindustrin vuxit snabbt i Norden. Enligt det Nordiska Ministerrådet väntas ytterligare kraftig ökning av nordiska datacenter fram till 2025. Sverige har under senare år lockat till sig moln- och teknikjättar som Facebook, Amazon, Google och Microsoft, som alltså valt att etablera sina datacenter på svensk mark. Tillgång till fossilfri elproduktion, vårt kalla klimat och digital mognad är några av anledningarna till att vårt avlånga land är en eftertraktad destination för datacenter.

När Facebook etablerade sitt första datacenter utanför USA, i Luleå, blev det den första stora datacenterinvesteringen i Sverige, vilket också satte igång en snöbollseffekt av datacenterbyggnationer i landet. Det kan konstateras att digitaliseringen av våra samhällen, präglat av bland annat sociala medie-beroenden samt övergången till molntjänster, har ökat behovet av moderna och effektiva datacenter. För Sverige har det dels inneburit att allt fler lokala företag och organisationer använder sig av redan etablerade datacenter, dels att internationella jättar väljer att etablera datacenter här. Vad betyder det för Sverige? Väldigt mycket.

Datacenterexpansionen i Sverige är viktig eftersom den möjliggör nödvändig infrastruktur, som utvecklingen av kvalificerade molntjänster och driften av flera olika verksamheter som allt snabbare digitaliseras. Etableringen av datacenter i Sverige bidrar till den lokala ekonomin eftersom det leder till investeringar och försäljningsmöjligheter, samtidigt som kompetensutveckling möjliggörs. Dessutom följer nya direkta och indirekta arbetsmöjligheter, bland annat i samband med uppbyggnaden av datacentren men också för själva driften.

Varför sticker Sverige ut?

Vi ska självklart inte glömma att dessa komplexa anläggningar kommer med höga krav på säkerhet, tillgänglighet och energieffektiv drift. Enligt Business Sweden så är miljöpåverkan en av de viktigaste faktorerna när företag väljer datacenter. Därför är det direkt nödvändigt att datacenter etableras på platser där klimatpåverkan är så liten som möjligt. Här sticker Sverige ut med några av de bästa förutsättningarna i hela världen.

Vår alltmer uppkopplade vardag kräver snabb tillgång till enorma mängder data. All data som cirkulerar innebär att datacentren kräver stora mängder energi. Ett problem idag är dock att många av världens datacenter drivs av fossila bränslen. I Sverige är däremot drygt 98 procent av elproduktionen fossilfri, vilket innebär att dataöverföringen i Sverige är väldigt klimatvänlig. Det är en stor konkurrensfördel. Att det svenska elsystemet dessutom är av hög kvalitet och stabilt, på grund av produktionsmixen av vatten- och kärnkraft, innebär också att det sällan uppkommer störningar som kan vara förödande för känsliga datacenterservrar.

Det svenska naturligt kalla klimatet är också en fördel. Medan många andra länder behöver tillföra energi för att kyla datorerna i datacentren så kan vi istället kyla på ett smidigt och kostnadseffektivt sätt. Det öppnar också upp för möjligheten att använda värmen som servrarna producerar till att värma upp allt från bostäder till industrier via fjärrvärmenätet, något som har utnyttjats vid flera tillfällen i Stockholm och nyligen på Västkusten.

Det är också billigare här. Nyligen minskades energiskatten för datacenter i Sverige, vilket innebär att vi idag tillhandahåller den lägsta totala elkostnaden inom EU. Detta har beskrivits som en nödvändighet och en stor anledning till att Sverige idag kan konkurrera internationellt inom datacenterindustrin.

Viktigt att nämna är också att Sverige är snabba i utvecklingen när det kommer till digitalisering, IT och tillväxten av molnanvändning. Det innebär att vi idag har stor tillgång till kunnig arbetskraft och expertis som är nödvändig för att driften av datacentren ska fungera på ett hållbart, säkert och effektivt sätt.

Datacenterframtiden

Dataexpansionen har bara börjat. Pandemin har dessutom inneburit att vår digitala vardag har accelererat, med allt från vård på nätet och digitala arbetssätt, till ökad streaming via olika onlinetjänster. Detta kräver enorma mängder data. På Kingston ser vi att datacentertekniken måste utvecklas för att möta dagens och framtidens behov, vilket innebär optimerad lagringskapacitet, snabbare servrar och effektivare komprimering. Om datacentrens interna system effektiviseras så kommer det finnas möjlighet att skapa en framtida svensk datacenterindustri som kommer bli ännu starkare och ytterligare konkurrenskraftig.

Jan Terje Kleiven, Business Development Manager på Kingston EMEA

Skyddar GDPR och Datainspektionen egentligen den enskildes integritet?

| Linda Kante

Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) har nu gällt i nästan två och ett halvt år. Tillsynsmyndigheterna i de olika EU-länderna har hunnit genomföra ett stort antal tillsynsärenden där många av ärendena har lett till sanktionsavgifter. I vissa fall har myndigheterna påfört höga avgiftsbelopp, inte minst i Storbritannien. Även i Sverige har ett fall med en till beloppet hög sanktionsavgift förekommit. Datainspektionen påförde Google en sanktionsavgift om 75 miljoner kronor (se Datainspektionens beslut 2020-03-10, dnr DI-2018-9274). Beslutet har överklagats till Förvaltningsrätten där någon dom ännu inte meddelats.

För den enskilde registrerade som anser sig ha fått sina personuppgifter behandlade på ett sätt som strider mot GDPR finns i princip två möjligheter att agera. Den registrerade kan anmäla behandlingen till Datainspektionen och hoppas på att myndigheten inleder en tillsyn mot den personuppgiftsansvarige. Därtill kan den registrerade vid allmän domstol (tingsrätt) väcka skadeståndstalan mot den personuppgiftsansvarige för att få ekonomisk kompensation för den skada som behandlingen medfört. Den registrerade kan naturligtvis även vända sig direkt till den personuppgiftsansvarige och begära att behandlingen upphör eller korrigeras, vilket bör vara en naturlig första åtgärd att vidta. Men om detta inte hjälper återstår det för den registrerade att göra en anmälan till Datainspektionen eller att väcka skadeståndstalan. Den fråga som då inställer sig är om det egentligen är någon idé att vidta dessa åtgärder, eller om möjligheterna att anmäla behandlingen och väcka talan om skadestånd i praktiken inte har något värde för den registrerade och rentav endast är ett spel för galleriet.

Att anmäla behandlingen till Datainspektionen – en meningslös åtgärd?

Om den registrerade väljer att göra en anmälan till Datainspektionen måste denna innehålla tillräcklig information för att myndigheten bland annat ska kunna bedöma vilka personuppgifter som behandlats, arten och omfattningen av behandlingen, på vilket sätt behandlingen skett i strid med GDPR, när behandlingen har skett, vem som ska anses ansvarig för behandlingen och vilka åtgärder från myndighetens sida som behandlingen bör föranleda. Detta kräver en ganska stor arbetsinsats från den registrerade för att denne ska lyckas åstadkomma en tillräckligt utförlig anmälan. Det är troligt att den registrerade kan komma att behöva ta hjälp för att samla in och sammanställa den dokumentation som behövs och att utforma innehållet i anmälan, en hjälp som inte sällan kommer att medföra kostnader för den registrerade. Om den registrerade ska känna att det kan vara meningsfullt att lägga ner en sådan arbetsinsats och att kanske ådra sig kostnader är det av stor betydelse att vederbörande kan räkna med en viss sannolikhet för att Datainspektionen kommer att inleda ett ärende med anledning av anmälan. Om det framstår som osannolikt att anmälan kommer att leda till något resultat blir det ju mer eller mindre meningslöst för den registrerade att engagera sig i att göra någon anmälan.

Därför blir det intressant att titta närmare på hur stor chans den registrerade egentligen har att få gehör för sin anmälan till Datainspektionen. I Datainspektionens årsredovisningar finns statistik bland annat över anmälningar som inkommer från de registrerade och hur många tillsynsärenden som myndigheten genomför. I årsredovisningen för 2018 anges att om tillsyn ska inledas beror på om det är fråga om systematiska brister i behandlingen av personuppgifter, om behandlingen rör många registrerade eller känsliga personuppgifter, eller om rättsläget är oklart och behöver klargöras (sid. 27 i årsredovisningen för 2018). Av årsredovisningen för 2018 kan konstateras att antalet klagomål enligt GDPR (och enligt brottsdatalagen) under året uppgått till totalt 1 420, medan endast 72 tillsynsärenden inleddes (sid. 27 f. i årsredovisningen för 2018). Det betyder att klagomålen under 2018 ledde till tillsyn endast i 5 % av fallen. Enligt Datainspektionens årsredovisning för 2019 är sannolikheten för att en anmälan ska leda till att myndigheten inleder tillsyn ännu lägre. Antalet klagomål uppgick under 2019 till 3 519, medan tillsyn inleddes i 51 ärenden (sid. 61 i årsredovisningen för 2019). Det betyder att klagomålen under 2019 ledde till tillsyn endast i knappt 1,5 % av fallen, alltså en ännu lägre siffra än för 2018.

Slutsatsen härav torde endast kunna bli en, nämligen att det utifrån den registrerades perspektiv är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att göra en anmälan till Datainspektionen.

Att väcka talan vid domstol – en värdelös möjlighet?

Datainspektionen kan och får inte ikläda sig en roll som innebär att myndigheten i praktiken blir ett juridiskt biträde åt den registrerade. Detta skulle rentav kunna innebära ett åsidosättande av de krav på opartiskhet och objektivitet som åvilar myndigheterna. Därför blir det intressant att titta närmare på vilka förutsättningar den registrerade står inför när denne överväger att väcka talan vid domstol mot den personuppgiftsansvarige. I en rättegång kan den registrerade räkna med att den personuppgiftsansvarige kommer att företrädas av någon med juridisk kompetens, antingen en anställd eller möjligen en utomstående jurist. Samtidigt kommer den registrerade sannolikt att behöva anlita jurist för att samla in och sammanställa den dokumentation som behövs och för att utforma stämningsansökan. Den registrerade kan räkna med att i domstolen möta en företrädare för den personuppgiftsansvarige som har en sådan juridisk kompetens som den registrerade inte kan matcha utan att anlita eget biträde. Detta innebär att den registrerade oftast blir tvungen att anlita juridiskt biträde, vilket kommer att medföra kostnader för biträdet.

Därför måste den registrerade bedöma inte bara chansen till framgång i rättegången, utan även vilka möjligheter denne har att få betalt för sina ombudskostnader. Enligt den rättspraxis som utvecklats blir skadeståndsbeloppens storlek vid lagstridig behandling av personuppgifter ytterst begränsade, 3 000 – 5 000 kronor (se Högsta domstolens dom 2013-12-06, T 2807-12). Till följd av reglerna om ersättning för kostnader i tvistemål som rör mindre värden (”småmål”) är det samtidigt i praktiken uteslutet för de registrerade att få ersättning för sina kostnader för juridiskt biträde (se 18 kap. 8 a § rättegångsbalken). Om den registrerade vinner framgång med sin talan och tilldöms 3 000 – 5 000 kronor i skadestånd, kommer detta inte att räcka för att betala ombudskostnaderna. När den registrerade knappast kan tillvarata sin rätt utan hjälp från jurist och inte kommer att få betalt för sina kostnader för juristen, blir det en Phyrrusseger och Ebberöds bank att driva en framgångsrik rättegång mot den personuppgiftsansvarige. Enligt artikel 82 och skäl 146 i GDPR bör full och effektiv ersättning utgå för den skada som lidits. Det bör därför kunna ifrågasättas om de skadeståndsnivåer som gäller enligt rättspraxis och som ligger mellan 3 000 – 5 000 kronor kan anses vara förenliga med GDPR.

Slutsatsen härav torde också endast kunna bli en, nämligen att det utifrån den registrerades perspektiv även är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att väcka skadeståndstalan mot den personuppgiftsansvarige.

Det kan därför ifrågasättas om inte effekten av nuvarande regler och rättspraxis är att den enskilde effektivt avskräcks från att hävda sina rättigheter, medan staten med stöd av de nya reglerna får ytterligare ett verktyg för att styra och kontrollera företag. Frågan är därför kanske snarast om de nya lagarna totalt sett ökar eller minskar friheten i samhället och hur vi tycker att det ska vara. Datainspektionens vision, Ett tryggt informationssamhälle – tillsammans värnar vi den personliga integriteten, vad är den egentligen värd för den enskilde registrerade och bryr sig samhället egentligen om vår personliga integritet om vi utgår ifrån de signaler vi får?

Conny Larsson, ordförande för Sig Security och advokat, Advokatfirman Singularity Law AB

”Landskapet av hot och sårbarheter förändras i ett rasande tempo”

| Linda Kante

Den pandemi vi nu befinner oss i, har redan satt sina spår i arbetslivet och har påverkat hur organisationer formas utifrån de nya förutsättningar som gäller. Inom ISACA har vi gjort en djupdykning i en mängd olika rapporter och undersökningar som publicerats de senaste två åren. Denna spaning som utgår från dessa rapporter är extra intressant eftersom vi i och med pandemin befinner oss i ett paradigmskifte. Landskapet av hot och sårbarheter förändras i ett rasande tempo, där det inte håller med att utgå från den magkänsla man hade innan pandemin bröt ut. Vi kan också konstatera att en hel del rapporter inte längre är lika relevanta eftersom de baserats på hur det såg ut innan pandemin, men det går att hitta fragment som kan vara värda att lyfta fram.

Vi kan börja med Threat Intelligence Report: Issue 5, 1H 2020 som Netscout har publicerat, vilken ger indikationer på en radikal förändring när det gäller DDoS attacker. Metoderna för dessa attacker har utvecklats till att vara kortare och snabbare och som slår hårdare. Attackerna har dessutom blivit allt mer komplexa och de baseras på långt många fler attackvektorer än tidigare. För organisationer vars processer baseras på åtkomst över Internet, vilket i högsta grad är relevant under den pandemi vi befinner oss i, är detta dåliga nyheter. En slutsats man kan dra mot bakgrund är att antalet DDoS attacker ökar och blir mer komplicerade, är att DDos attacker har industrialiserats och att man nu befinner sig i en innovations fas med fokus på att öka graden av komplexitet.

Ser vi vidare på hantering av epost har vi Mimecast, som har bidragit med sina erfarenheter i rapporten The State of Email Security Report. I denna rapport konstateras att e-post fortfarande är den mest populära attack vektorn, där även dessa attacker genomsyras av en hög innovationskraft med angripare som testar nya taktiska angreppssätt och nya tekniker för att tränga igenom de allt mer sofistikerade och komplicerade skydd som implementeras. Slutsatsen i rapporten visar på att det skydd som vi traditionellt använder oss av, inte längre är tillräckligt bra för att förhindra och skydda oss från angrepp.

När vi lyfter blicken lite högre och tittar på Cybercrime, då har LexisNexis presenterat sin lägesrapport i rapporten Risk Solutions Cybercrime Report January – June 2020. Denna rapport visar på ett mönster där attacker nu initieras av robotar i långt mycket större utsträckning än av en människor. Dessutom är ökningstakten av antalet attacker som initieras av robotar dramatisk, samtidigt som man kan se en häpnadsväckande minskning av antalet attacker som initieras av människor. En slutsats vi kan dra är att industrialiseringen av attacker omfattas av automatisering i allt större utsträckning, vilket börjar känns som science fiction fast på riktigt.

När vi tittar på hur det såg ut innan vi drabbades av pandemin, då ger 2020 Data Breach Investigations Report som publicerats av Verizon några intressanta trender. Framför allt gäller det hur olika typer av hot och sårbarheter har utvecklats de senaste sex åren. Vi kan bland annat se att den klassiska skadliga koden har rasat från en toppnotering till en bottennotering. Samtidigt konstateras att social engineering är lika aktuell som tidigare men i den nya skepnaden Phising. Även stöld av inloggningsuppgifter ligger kvar på en oförändrat hög nivå. Det som är mest framträdande i denna rapport är att fel i leverans respektive fel i konfiguration har ökat stadigt för varje år som passerat, där de nu är bland de mest framträdande typerna av hot och sårbarheter. Denna utveckling är också något som lyfts fram av MSB i deras Årsrapport it-incidentrapportering 2019, där det beskrivs som handhavandefel. Slutsatsen när det gäller hot och sårbarheter är att det i stort ser ut som tidigare men att det ändå är annorlunda.

Mot bakgrund av att attacker har industrialiserats och automatiserats kan vara aktuellt att belysa den underliggande säkerhetsarkitektur som används, där metoden Zero Trust visar på en betydande tillväxt. Detta är något som Zscaler lyfter fram i sin rapport 2019 Zero Trust Adoption Report by Cybersecurity Insiders. ZeroTrust metoden har ännu inte fått sitt stora genombrott och det råder exempelvis en stor osäkerhet på den egna förmågan att kunna införa det för de lösningar som nu är i drift. Däremot visar rapporten på att det finns ett stort intresse för ZeroTrust metoden och att man ser stora fördelar i tillämpningen av denna.

Kompetens inom cybersäkerhet indikeras i flera rapporter som en bristvara. I rapporten State of Cybersecurity 2020, Part 1: Global Update on Workforce Efforts and Resources som publicerats av ISACA, konstateras att det innan pandemin fanns en stor andel vakanser avseende roller som arbetar med cybersäkerhet. Rapporten pekar dessutom på det är främst är teknisk kompetens som efterfrågas mest, men att det finns en viss tillväxt även när det gäller roller som hanterar administrativa aspekter. En tydligt signal som rapporten ger, är att efterfrågan på kompetens inom cybersäkerhet inte minskar.

Den samlade bilden i dessa rapporter är att förutsättningar för informationssäkerhet och cybersäkerhet har förändrats, som allt annat i samhället och vi ser tydliga tecken på att industrin för cybersäkerhetsattacker utvecklas i ett rasande tempo. Vi attackeras nu av robotar istället av människor, vilka i sin tur använder sig av flera olika attackvektorer än tidigare och där antalet attacker dessutom ökar i antal. Detta leder till ett ökat behov av kompetens inom cybersäkerhet, där det är en nödvändighet att lägga ännu större tyngd på att utveckla den tekniska kompetensen.

John Wallhoff, Ordförande ISACA Sweden Chapter

Går det att kombinera digital övervakning och integritet?

| Linda Kante

Mycket av debatten i Sverige idag handlar om hur vi ska hantera och få bukt med brottsligheten. En metod som alltfler förordar är ökad övervakning. Men övervakning genom digitala verktyg innebär samtidigt ett ingrepp i vår integritet.

Som IT-företag jobbar vi med att utveckla ny teknologi. Mjukvara och system som har bättre egenskaper än de som redan finns. I vissa fall skapar det helt nya användningsområden, där teknologin kommer till nytta på ett sätt som vi kanske inte ens avsåg eller kunde föreställa oss innan. Så fungerar innovation – ett samspel mellan teknik och det omgivande samhällets behov.

Teckna din prenumeration på Aktuell Säkerhet här

Ett område där utvecklingen går starkt framåt är övervakning. Det kan vara i allt från maskiner som tillverkar saker där intelligent övervakning säkrar processen till olika slags automatiska system i bilar och andra fordon. Men den form av övervakning som de flesta tänker på är det som handlar om brottsbekämpning och hur vi ska öka tryggheten i samhället.

Den klassiska övervakningen består av människor, väktare eller ordningsvakter, som förhindrar att det begås brott på en viss plats. Eftersom personal kostar pengar är ett tekniskt hjälpmedel som kameror mycket billigare. En person kan bevaka ett stort antal kameror och därmed effektivisera övervakningen. Genom in- och uppspelning kan kamerorna dessutom ha ett större bevisvärde än en person som ska komma ihåg händelser i en framtida polisutredning.

Kamerornas existens har genom åren varit föremål för åtskillig diskussion. Den som är drabbad av brott har ett fullt begripligt intresse, medan tillståndsgivande myndighet kräver att vissa särskilda skäl finns. Som hjälpmedel för polis och åklagare är kameror utan tvekan ovärderliga.

Nyligen genomförde vi en undersökning där drygt 1 000 personer svarade på frågor om teknik och integritet. Resultatet visar att drygt åtta av tio vill se fler kameror på gator och torg. Balansen mellan nytta och integritet har helt klart förskjutits på senare tid till att människor vill ha betydligt mer övervakning.

Undersökningen visar samtidigt att det finns en stor skepsis bland allmänheten mot att dela data helt öppet. Det finns en medvetenhet om hur data används i kommersiella syften av olika aktörer och det vill de flesta inte medverka till. Hela 87 procent i undersökningen vill inte att deras rörelsemönster registreras så att företag kan ta del av det.

Tekniskt och resursmässigt är det fullt möjligt att kontrollera allt och alla i dagens samhälle. Via mobiler eller andra verktyg skulle myndigheter eller andra aktörer kunna registrera precis allt vi gör. Även om det skulle vara extremt effektivt och förhindra brottslighet innebär det ett storebrorssamhälle där i praktiken ingen är fri, alla hamnar i ett slags fängelse.

Det finns alltså en konflikt mellan kontroll/övervakning och vår integritet. Utmaningen är att hitta en rimlig balans och att skapa möjligheter till övervakning som inte upplevs inkräkta på vår integritet.

AI-teknologin är särskilt intressant på detta område. Med hjälp av automatiserade övervakningsprocesser kan vi ta fram verktyg som istället för att bevaka allt bara reagerar på det som är avvikande. Det betyder att det endast är vid fel eller under vissa omständigheter som verktyget slår larm. När någon beter sig underligt kan då saken undersökas närmare av polis eller annan. Därmed behöver inte alla vi andra ”normala” få vårt beteende registrerat.

Det finns även nya slags metoder för ansiktsigenkänning som plockar ut och identifierar just den person som söks. Tänker vi brottsbekämpning kan detta vara sätt att hitta den efterlyste utan att alla ska behöva bli granskade.

Genom utveckling av den här typen av teknologi kan vi möta människors önskan om en ökad trygghet och ändå värna om vår integritet. Som bransch och som IT-företag har vi en viktig uppgift att hitta nya lösningar som svarar mot framtidens behov. Tekniken ger oanade möjligheter.

Johan Jacobsson, vd Sylog

Propositionen Totalförsvaret 2021–2025 överlämnades till Riksdagen 15 oktober

| Linda Kante

Anders Brännström, foto: Ulrika Hållén

Regeringens bedömning är att ett väpnat angrepp mot Sverige inte kan uteslutas och att förmågan i såväl det militära som det civila försvaret är otillräcklig. Den uppenbara slutsatsen är att vi behöver bygga upp totalförsvaret igen, inte samma som tidigare utan svarande mot framtidens behov.

Det är bråttom. De resurser som en potentiell angripare behöver för att angripa Sverige finns redan nu. Intentionen att angripa oss militärt kan bli verklighet på mycket kort tid.

Det civila försvaret är styvmoderligt behandlat under de senaste decennierna. Bristen på förmåga och uthållighet i det civila samhället har blivit plågsamt påtaglig under coronapandemin. Vid sidan av de resurser som tillförs i propositionen är det också viktigt att metoderna utformas så att uppgifterna kan lösas. Robusta ledningsmetoder är grunden för en god ledningsförmåga.

Under den strategiska timeouten har ledningsmetoder utvecklats inom den civila delen av totalförsvaret som inte kommer att klara av krigets krav. Metoderna utformades under antagandet att krig inte kommer att drabba oss. Uppgiften var att kunna hantera fredskriser. Den allmänna privatiseringen, bolagiseringen och globaliseringen var viktiga bakgrundsfaktorer när metoderna utformades.

Skriften ”Gemensamma grunder för samverkan och ledning vid samhällsstörningar” från 2014 har blivit ett rättesnöre för ledningen av det civila försvaret. Boken beskriver funktionerna samverkan och ledning (i den ordningen) för att generera effekterna inriktning och samordning. Honnörsordet i boken är samverkan. Samverkan mellan ett stort antal mer eller mindre självständiga aktörer lyfts fram som kärnan i ledning under extraordinära situationer. Boken beskriver aktörsgemenssamma former, inriktnings- och samordningskontakter, inriktnings- och samordningsfunktioner och andra fora för att kunna samverka. Författarna har en övertro till att kunna komma överens även i situationer där tiden är knapp, stora värden står på spel och resurserna är utomordentligt starkt begränsade. För att få en grundläggande styrning har myndigheterna myntat begrepp som ansvarsprincipen, närhetsprincipen och likhetsprincipen. Att inte begreppen finns klart definierade i lagar och förordningar visar hur styvmoderligt ledningen av det civila försvaret hittills har behandlats av statsmakterna.

Vid länsstyrelsen i Stockholm har organisationen Samverkan Stockholmsregionen byggts upp som en stat i staten där ledningsbehov förväntas kunna uppfyllas genom samverkan.

Fredskriser som skogsbränder, översvämningar och nu senast coronapandemin visar tydligt att det nuvarande systemet för ledning av det civila samhället i krissituationer inte är tillräckligt bra. I en krigssituation kommer systemet definitivt inte att fungera.

Det civila försvaret behöver få förutsättningar att leda verksamheten också under höjd beredskap och krig.Så lite som möjligt bör vara beroende av samverkan med målsättningen att alla ska komma överens. Så mycket som möjligt behöver ledas genom att vissa aktörer har mandat att bestämma vad andra ska göra.

Boken Gemensamma grunder för samverkan och ledning vid samhällsstörningar kan förpassas till arkiven.

Eva Hamberg och Anders Brännström, Basalt AB

Företag tror anställdas mobiler är skyddade – men de har fel

| Linda Kante

Många företag och verksamheter har investerat i en programvara för att hantera de anställdas mobila enheter, en så kallad MDM-lösning. Dessvärre tror de ofta att dessa lösningar även skyddar mobilerna mot säkerhetshot av olika slag – vilket dock inte stämmer. Nu behöver företagen bli mer medvetna om skillnaden mellan MDM och MTD (Mobile Threat Defense).

Företag använder idag ofta MDM-programvara (Mobile Device Management) för att hantera de anställdas mobiler och surfplattor. Därigenom kan de managera dem och ge tillgång till appar som hjälper anställda att arbeta produktivt och flexibelt. Däremot kan säkerhetsfunktionerna i de flesta av dessa lösningar bäst beskrivas som rudimentära.

Anställda använder idag ofta privata mobiler för jobbändamål, vilket innebär att de har tillgång till SMS, kommunikationsappar och sociala medier i samma enhet som de sköter sina arbetsuppgifter från. Det finns förstås många fördelar med att på detta sätt tillgängliggöra arbetsrelaterad data – medarbetarna blir mer effektiva, tillgängliga och kan sköta fler arbetsuppgifter hemifrån. Men om denna moderna arbetsmiljö inte ska utgöra en stor säkerhetsrisk krävs ett heltäckande mobilt säkerhetsskydd.

Därför bör en MDM-lösning alltid kompletteras med så kallad MTD (Mobile Threat Defence). Verksamheter behöver helt enkelt en lösning för mobiler som kan hantera alla former av hot, så att de kan skydda sina medarbetare, appar och företagets data.

En MTD-lösning kan dessutom hjälpa medarbetarna att avvärja hot på egen hand, i samma stund som de inträffar. Användaren kan bli varnad om hotet och få vägledning i hur situationen ska lösas. Samtidigt som organisationens IT-personal kan övervaka enheternas säkerhetsstatus i realtid.

Viktigt är också att de anställdas privata enheter som används i arbetet kan säkras – utan att kränka medarbetarnas personliga integritet. I många fall kan individer vara ovilliga att låta sina privata mobiler skyddas av arbetsgivaren, men en bra MTD-lösning ska vara utformad så att den undviker att tvinga fram ett val mellan att skydda företagets data eller den personliga integriteten.

Så eftersom dagens cyberbrottslingar blivit allt mer svårstoppade krävs en mer omfattande mobil säkerhetslösning än vad många företag insett. Detta är inte något som uppstått under coronapandemin – men den har definitivt gjort att situationen blivit mer akut.

Sara Fernholm, partneransvarig i norra Europa, Lookout

 

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29