Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Driftcentraler för samhällskritiska funktioner måste prioriteras

| Kronika

Avskaffa sparkraven och modernisera de driftcentraler som betjänar samhällskritiska funktioner. Där andra branscher exempelvis finansbranschen, tagit smart teknik till sig, har driftcentralerna för samhällskritiska funktioner kommit på efterkälken på grund av sparkrav.

I Sverige finns 290 kommuner. I kommunernas åtagande ligger ansvaret över samhällskritiska funktioner, till exempel distribution av vatten, värme och el till kommunens invånare. Kommunerna är skyldiga att försäkra sig om att distributionen av dessa kritiska funktioner fungerar. Samtidigt ställs väldigt höga sparkrav på kommunerna att välja den billigaste lösningen, vid inköp av utrustning till de driftcentraler som betjänar samhällskritiska funktioner. Detta rimmar illa.

Inom kommuner bygger man idag driftcentraler på gammal teknik, eftersom man ser inköpskostnaden som den viktigaste parametern. Istället för att tekniken samarbetar, krävs separat utrustning för varje enskild funktion. Den äldre tekniken är inte kompatibel med andra funktioner, exempelvis inbrottslarm, passersystem och brandlarm, utan varje del kräver egen separat hårdvara. Följden har blivit ett berg av utrustning på operatörernas skrivbord och i lokalen.

Idag tvingas operatören arbeta med sju olika tangentbord samtidigt, staplade på varandra, lika många möss samt separat hårdvara och övervakningsskärmar för varje system. Skrivborden har vuxit i längd till att bli fem meter långa. Ibland kräver arbetet även förflyttning mellan olika arbetsstationer.

Tekniken har öppnat nya möjligheter att bygga effektiva driftcentraler med hjälp av smart teknik, där systemen integreras och samarbetar. Inom finansvärlden används smarta kontrollbord, multifunktionella tangentbord och integrerade skärmar, när det gäller till exempel aktie- och valutahandel. Här är högsta effektivitet en självklarhet och i valet av utrustning finns inga begränsningar eller sparkrav.

Med det finns föregångare till exempel Göteborgs Kommun, där Göteborg Energi genom att använda smart teknik med multifunktionella tangentbord och integrerad hårdvara, nu hanterar samtliga enheter från ett och samma tangentbord. Här har tekniken även gett dem nya fördelar, såsom att brandlarmet sänds ut på samtliga skärmar vid larm utöver sirenljud.

Driftcentraler som betjänar samhällskritiska funktioner måste bygga på smart teknik och undantas från kommunernas sparkrav. Det fungerar inte att fortsätta bygga på gammal teknik, då digitaliseringen dessutom innebär att dessa driftcentraler får ytterligare enheter att övervaka. Här handlar det om människor och kritiska funktioner, ytterst om människoliv.

Mikael Bergqvist, Sverigechef TM-Group

”Dags att spräcka säkerhetsbubblan som de unga vuxit upp i”

| Kronika

När den nya och ständigt uppkopplade generationen börjar dyka upp i arbetslivet behöver säkerhetsarbetet förändras i grunden. Det menar Fredrik Möller, Nordenchef på Proofpoint.

Teckna din prenumeration på Aktuell Säkerhet här

Arbetsmarknaden har under en längre tid funderat kring hur man ska anpassa sig efter det stora antal millennials, folk födda på tidigt 80-tal till mitten av 90-talet, som nu börjar ta plats. Medier framställer ofta denna generation som en nästintill annan art jämfört med de andra. Googlar du ”millennials” beskrivs de som både snåla och ohälsosamma för att nämna några, mindre charmiga, karaktärsdrag.

Ett vanligt begrepp i sammanhanget är” digitala infödingar”, då millennials vuxit upp omgivna av teknik. De förväntas vara konstant uppkopplade; långt fler än 90 procent konsumerar och använder sociala meder dagligen, enligt den senaste utgåvan av rapporten ”Svenskarna och Internet”.

Med anledning av detta kommer företag och hela branscher behöva omstruktureras för att hålla en hög produktivitetsnivå när den nya generationen gör entré. En anledning till att omstrukturering brukar anses nödvändigt är för att millennials, rent generellt, förmodas vara mer kunniga inom tech än sina föräldrar. Men frågan är om det inte i vissa fall är en förutfattad mening.

En ny rapport visar nämligen tecken på att det motsatta är fallet och att millennials faktiskt är relativt dåliga när det kommer till datasäkerhet jämfört med äldre generationer. Studien visar att deras föräldrar är 11 procent troligare att upptäcka en form av virus eller scam, och bara 50 procent i åldrarna 18–29 kunde definiera ordet ”phishing”. Ett vanligt antagande är att det oftast är äldre som går på bedrägerier, men det har i själva verket visat sig vara personer i 20-årsåldern som är de vanligast förekommande offren.

Den internationella organisationen Get Safe Online har pekat ut några faktorer till varför det ligger till på detta sätt. Att den unga generationen oftare är online ökar självklart risken för att stöta på bedrägerier, men deras övertro på sig själva resulterar många gånger i antagandet att ”jag kan inte råka ut för bedrägerier, det drabbar bara äldre”.

Unga lever också kvar i tanken att phishing-emails är uppbyggda som förut. Idag ser phishing annorlunda ut och attackerna är allt oftare speciellt utformade efter den som attackeras, vilket gör millennials mycket mindre misstänksamma mot just denna attack.

För att anpassa företag efter denna generation krävs därför en typ av upplärning som ändrar inställningen till cyberhot och spräcker den säkerhetsbubbla som de vuxit upp i. Samtidigt som den nya generationens ständigt uppkopplade yrkesarbetare förväntar sig att ha tillgång till sina arbetsverktyg dygnet runt, är det viktigt att inte ta gamla sanningar om deras säkerhetsmedvetande för givna. Det gäller att utmana, testa och träna dem att se bortom de mest uppenbara riskerna.

På varje modern arbetsplats finns en blandning av yngre och äldre, med sin egen mix av kompetenser, svagheter, kunskaper och förutfattade meningar. Att då bygga ett kollektivt säkerhetsmedvetande kring ett ”one size fits all”-tänk riskerar att slå fel och leda till dyra kostnader – det har många verksamheter bittert fått erfara de senaste åren.

Istället behöver varje individ sättas i fokus, det som vi i säkerhetsbranchen kallar ”people-centric security”. Först då kan vi få till ett effektivt och generationsöverskridande säkerhetsarbete.

Fredrik Möller,
IT-säkerhetsexpert, regionchef för Proofpoint i Norden och Baltikum

Internets geografiska position – en avgörande roll för framtiden

| Kronika

I en tid där Internet, enligt min mening, mer och mer centraliseras blir den geografiska positionen allt mer väsentlig. Men vilka är utmaningarna och möjligheterna? Och på vilket sätt spelar säkerhet och medvetande för roll i sammanhanget?

Internet är en fysisk plats. Inte bara för att det finns serverhallar, utan internet har även en fysisk ”adress” hos dig som individ – i din ficka oftast. Internet är idag en naturlig del i varje digital enhet och den är konstant uppkopplad. Förr var den något få hade tillgång till och då endast på jobbet. Internet of Things skapar ett behov för uppkoppling. Våra beteende i cyberrymden blir väldigt snabbt normativa i verkligheten och ofta är just dessa beteende allt annat än säkra. Mestadels för att vårt beteende i hög grad det går att jämföra med ett beroende. Man jagar nästa fix snarare och tänker inte på om det är säkert eller inte. Dessutom pressas beroendet till nya gränser varje sekund och minut. Internet blir möjliggöraren till våra behov. Vår digitala identitet blir ergo en riskfaktor. Och i cyberrymden råder inte demokrati på långa vägar, det är anarki som gäller där. Själva cyberrymden håller dock enligt min mening på att centraliseras i syfte att göra internet mer säkert och fortfarande bibehålla friheten – cyberdemokratin. Men, det kommer alltid finnas en mörk vrå på nätet -ett Darknet och även om det är större än det kända nätet finns det tecken på att även detta nät centraliseras, brottsligheten har organiserat sig och fortsätter att göra det.  I mina ögon är det ett bevis på det pågående cyberkriget. Soldaterna är vi användare och generalerna är de krafter som genom lag och andra medel försöker reglera ”trafiken” där. Det yttersta beviset på min tes är enligt mig cyberpsykologins grundtes – det är individer det handlar om.

Individer av idag är digitala entiteter som alla är uppkopplade dygnet runt. Den mobila individen utgör alltså en risk men också en bricka i cyberkriget. Den kan potentiellt utgöra en risk för samhället i förhållande till subjektets säkerhetsmedvetande. Och därför är samhällets främsta cybervapen inte en mjukvara utan lagar följt av medvetenhet på bred front. En medvetenhet och samsyn som tilltalar soldaterna, inte generalerna.

Jag är övertygad om att cyber- och digital säkerhet är inne i en fas av centralisering. Detta främst då ansvariga mer och mer förstår vikten av cyber och digitala frågor och försöker lagstadga den – cyberharmoni. Centraliseringen består i att man försöker reglera subjektens interaktion i denna dimension, här kan vi nämna GDPR som en sådan lag. När nu dessutom säkerhetsexperter släppts in i ”finrummet”, ledningsrummen, som rådgivare till ansvariga måste vi vara oerhört tydliga, pedagogiska och korrekta med vad vi kan bidra med till denna cyberharmoni. Kommunicerar vi fel eller bristfälligt kommer resultatet lida av detta. För det är utifrån vårt budskap omvärlden nu skapas.  Jag helt övertygad. Om vi nu kommunicerar rätt så kommer också lagar, åtgärder och insatser i cyberrymden vara anpassade till en säker digitalisering. Då kommer också massan kunna relatera till båda lagar, förhållningssätt och även på sikt förstå syftet med säkerhetsbeteende i denna femte dimension.

Hur spelar övriga individer en viktig roll i detta? Säkerhet idag är inte en mjukvara. Den är helt klart en del av den. Men säkerhet idag är en fråga om individer i första hand sen teknik. Allas våra beteende, attityder och värderingar kan utgöra en risk för en säker digitalisering. En säker digitalisering måste innebära utbildning tidigt i skolorna kring cyberbeteende och säkerhet. Den måste genomsyra vår vardag så ett säkerhetsbeteende blir normen. Och denna utbildning måste vara en process och inte ett projekt. Så länge detta inte sker kommer också de onda krafterna – brottsliga hackare – utnyttja denna risk. För de vet vad generalerna nu vaknar upp till, individerna är Akilleshälen och inte hård- eller mjukvaran.

Det är allas vårt ansvar, och framför allt experternas. Vi måste bli lika bra på att kommunicera vad säkerhet är som vi kan förklara infrastruktur rent tekniskt. Vi experter har ett ansvar att samverka så att budskapet blir tydligt, klart och objektivt. Då kommer också bra och relevanta lagar, realistiska cyberförsvarsinsatser och digitaliseringssatsningar bli säkra.

Robert Willborg, Junglemap

Så skyddar du ditt varumärke mot sociala medier-bluffar

| Linda Kante

Idag använder över tre miljarder människor sociala medier, och antalet ökar hela tiden. Som en naturlig följd av det har många företag dedikerade team för att hantera sociala medier och digitala kanaler. Men det gäller också att ha en fungerande strategi utifall att något händer, menar Fredrik Möller, Nordenchef på säkerhetsföretaget Proofpoint.

Teckna din prenumeration på Aktuell Säkerhet här

Under de senaste åren har många oroat sig över att desinformation på sociala media riskerar att inte bara skada företag och dess varumärken – utan också samhället i stort. Ett någorlunda färskt exempel på det är det amerikanska presidentvalet 2016 – som drogs med anklagelser om att ryska hackare infiltrerat det elektroniska röstningssystemet i över tjugo stater. Dessutom satte hackare upp tusentals falska konton på Twitter och Facebook och publicerade negativa poster om Hillary Clinton.

Dessutom har vi sett flera exempel på individer som sprider desinformation. I fjol stängde Facebook av ett antal konton kopplade till högt uppsatta företagsledare – som i olika grader försökt påverka utgången av ett amerikanskt val.

Men digitala kanaler sträcker sig långt utanför desinformationskampanjer på sociala medier, och för företag gäller det att hålla koll på hela delen av den digitala närvaron. För att ta ett exempel har vi Methbot-skandalen, där bedragare satte en mindre armé av robotar att titta på upp emot 300 miljoner annonser per dag. Sammanlagt drabbades 6 000 domäner – och bedragarna drog in fem miljoner dollar per dag.

Belyser en oerhört viktig punkt
När fler och fler människor interagerar med varumärken via sociala medier och digitala kanaler är det viktigare än någonsin att företag är medvetna om vilka risker som finns med den digitala närvaron, och hur det kan påverka verksamhet.

Nätkriminella följer nämligen trender, och försöker hela tiden utnyttja brister i säkerheten. Det behöver inte bara innebära rena dataintrång – man riktar i allt större utsträckning in sig på att infiltrera digitala kanaler och påverka enskilda individer på olika sätt. Sådana angrepp går ut över företagets förtroende, och drabbar i slutändan varumärket.

Trepunktsstrategi behövs
Därför måste företag ha en fungerande strategi för hur man bemöter allt från rena hot till rykten som uppstår på sociala medier – oavsett var någonstans det uppstår och i vilken form.

Och för att vara förberedd behövs en trepunktsstrategi.

För det första behöver du övervaka samtliga digitala kanaler dygnet runt, för det andra behöver du garantera att informationen du hanterar är säker – och för det tredje behöver du ha verktyg till hands för att skydda verksamheten om något skulle inträffa.

I slutändan är ditt varumärke beroende av hur väl du lyckas med den digitala närvaron. Att vänta till dess att skadan redan är skedd är aldrig någon bra idé.

Fredrik Möller, Nordenchef på Proofpoint

Naiviteten är stor när det handlar om säkerheten i IoT-nätverk

| Kronika

De flesta företag har rätt bra koll på säkerheten vid det här laget och vet hur man ska undvika de flesta faror på nätet. Men idag är ju inte bara traditionell IT uppkopplat i nätverk, utan i allt högre utsträckning vanliga ting som uppvärmningssystem, kopiatorer, ventilationssystem, brandlarm med mera. Här har säkerhetsmedvetandet inte hängt med.

Enligt säkerhetsföretaget McAfee har IoT-skadlig kod ökat med över 200 procent under år 2018 och World Economic forum rankar cyberattacker som den största faran för mänskligheten, efter naturkatastrofer och extremväder, i rapporten Global risk report 2019.

Skrämmande, och märkligt att frågan inte kommer upp på bordet mer. Jag antar att det handlar om detta:

Säkerhet ingår inte i designprocessen. De typiska IoT-användarna är early adopters som söker nyhet eller nytta, inte säkerhet i första hand. Därför behöver tillverkarna inte fokusera på säkerhet, utan enbart på att tillfredsställa köparnas intresse för det nya och det ”coola”. (Det gäller självklart inte alla industriella lösningar, men det finns ett mönster.)

Bra säkerhet är dyrare. Industrin vill tjäna pengar på massköp och konsumenterna är priskänsliga. Därför ser vi idag ofta ett stort utbud av billiga produkter från lågprisländer, där man har tummat mycket på säkerheten. Det är till exempel vanligt att tillverkaren använder samma standard-login på alla sina enheter.

Ingen bryr sig. Att prata om säkerhetshänsyn skulle sakta ned en växande marknad och därför tar man inte upp frågan. Alla gillar nämligen en marknad som går bra. Det gäller både för konsumenter och producenter.

Vi måste dock inse att säkerheten aldrig blir hundra procent i ett IoT-nätverk. Traditionella skyddsåtgärder som till exempel brandväggar fungerar bara i begränsad utsträckning eftersom de uppkopplade sakerna ofta används utanför sina egna slutna system. Det finns dock sätt att minimera riskerna på:

-Sortera skyddsåtgärderna efter betydelse. Det är bättre att koncentrera sig på att skydda den viktigaste informationen, alltså de data som lagras på enheten och används av applikationer, än att skydda hela IoT-enheten. För att säkra dessa data behöver du exempelvis inte säkerhetskopiera hela IoT-enheten, utan det räcker att ha den på separat område eller en container. Många företag tittar först på molnet för att säkra data från IoT-enheter. Men så fort en mobil IoT-enhet innehåller känslig data blir den ett intressant mål för en hackare.

-Spara känslig data på ett betrott ställe. Eftersom IoT-enheter ofta är mobila, eller installeras över ett stort geografiskt område, är det väldigt svårt att undvika att de kommunicerar med skadliga program. Men om enhetens ID lagras på ett säkert ställe kan man definiera vem som får kommunicera med enheten. Det kan göras genom att kräva korrekt ID för all kommunikation och se till att alla ID-er har säkra inloggningsuppgifter (till exempel en PIN-kod).

-Leta efter ovanlig trafik: Ett övervakningsverktyg, oavsett hur avancerat, kan inte direkt avgöra om en IoT-enhet har blivit en inkörsport för skadlig kod, men det kan upptäcka när datatrafiken på en port ändras och till exempel blir ovanligt stor. Man kan också använda mönsterigenkänning för att se om ovanlig trafik pågår i nätverket, till exempel om två enheter plötsligt kommunicerar med varandra som aldrig gjort det tidigare. En varning kan då skickas till systemadministratören som snabbt kan identifiera skadan.

Utvecklingen av IoT går snabbt. Många har insett att det finns stora pengar i branschen. Önskvärt vore förstås om tillverkarna tog ett större ansvar för säkerheten i sina produkter. Men även om det skulle ske, kommer det ändå alltid att finnas risker med IoT, eftersom cyberbrottslingar kommer att hitta nya sätt att hacka oansett typer av nätverk – det är så att säga inbyggt i konceptet. Därför måste medvetenheten om riskerna med uppkopplade ting bli betydligt bättre än idag. En ökning av IoT-skadlig kod med 200 procent inte acceptabelt och borde generera betydligt större rubriker än vi hittills sett.

Atle Hadland, regionchef, Norden, Paessler

What will drive cyber security: hacking, crime, warfare and/or terrorism?

| Kronika

A panel discussion on cyber terrorism opened up a wide range of vital security issues

At first it seems a logical question: understand the enemy and you will understand the threat. If the threat is cyberwar, then military and armaments organizations are an obvious target. If it is cybercrime, then financial institutions should be concerned. If it is hacktivism, then any company with considered malicious by a significant portion of the public should be alert for attacks by campaigners.

Joel Stradling, Research Director, Global Data

But on second thoughts, the scene becomes far more confused. An attack on the national electricity grid could severely compromise military suppliers. One that caused traffic chaos could make it harder for an enemy to mobilise ground forces. Financial companies are already heavily guarded, so it is far easier for criminals to make money by blackmailing hospitals with stolen data. Hacking has always been an irritant, if not a major problem, because the motives can be so arbitrary – maybe an institution was hacked for no other reason than that it claimed to be unhackable?

In the case of hacktivism against a broad target like the present government, then any attack that disrupts the economy or draws attention to the cause could be an effective weapon when followed by a public announcement. Terrorism is similarly almost impossible to predict because the aim is to do absolutely anything that might invoke public terror – and that makes it highly threatening.

Joel Stradling, Research Director for the analyst company GlobalData, chairing a recent NetEvents session, mentioned a call for half a million heart pacemakers in the US to be recalled because of vulnerability to cyberterrorism. That is a very good example, because any family or group with a heart patient that might drop dead will feel threatened, and that fear generates panic that could spread far and wide.

It also raises another key point about cyberterrorism: that the threat can be more effective than the actual attack. Terrorists know that a failed bomb attack can be just as effective as a successful one, because the public starts thinking about all the deaths that might have happened.   Terrorist groups have far broader agendas than before, going beyond physically harming civilians.

Roark Pollock, Ziften Technologies; Ray Ottey, Verizon Enterprise Solutions; Andrzej Kawalec, Optiv, Joe Baguley, VMware

Ray Ottey, Fellow Cybersecurity Practitioner at Verizon, responding to Joel Stradling, described two distinct areas: cyberwar is really just another weapon in the evolution of war, while cyberterrorism has a different motive: “It’s a subset of the wider threat, but it’s just coming with a different motive. There’s no different toolset, and it’s not in some cases different people either. So, it can be the same person during the day being a hacker, or having a normal day job, and by evening a gun to hire”.   Attacks may have different political or criminal aims, but the symptoms are the same.

The Internet of Things (IoT) adds a major terrorism threat because it brings what was seen as information war down to physical manifestation – like a compromised pacemaker causing a friend to drop dead. A loss of data is one thing, but if it compromises an entire electricity network or water supply, then you have terror potential. Another factor is that it suddenly extends what has become a pretty well secured IT network by added a mass of far less secure endpoints previously air-gapped from the Internet. As Roark Pollock, Chief Marketing Officer, Ziften Technologies put it: “You’re trying to protect a network that’s very different than your IT infrastructure. From a security standpoint it’s 20 years behind traditional IT. We’ve integrated those devices into our traditional IT networks, so they become a big part of what you’re trying to protect now, as opposed to just trying to protect the underlying data”.

Optiv’s European Director of Strategy and Technology, Andrzej Kawalec, explained: “IoT is going to completely explode it, and it forces us to think about devices again – which is something we’ve forgot about for a while. We need to start doing that again… To create physical safety implications on a network, you used to have to have quite specific deep domain capability… the integrated industrial cybercriminal global network allows you to do anything, whether it’s malware as a service, ransomware as a service, being attacked by swarms of kettles” – a reference to the story that the UK company Hargreaves Lansdown was attacked by a botnet of smart kettles last year.

Another factor that blurs the boundaries is the way that cybercrime and drug cartels provide funding for terrorism. IT can also be misused for recruitment and propaganda – as it was recently in New Zealand to amplify the impact of an isolated terrorist incident. Kawalec pointed out that cybercrime had overtaken the global illegal drugs trade: “National crime agency in the UK moved drugs off their top three focus areas, and put online fraud and cybercrime on. I think there’s a lot in there to be unpacked, but I think it’s actually about digital world influencing cyberterrorism, rather than cyberterrorism influencing the digital world”.

Kawalec concluded: “If there’s anything, it’s going to make us focus on the safety component of cybersecurity, rather than the confidentiality, the integrity, the financial impact. It’s the human implication of hacking into an autonomous car via the DAB radio to turn the brakes off. Who thought that was going to be a thing, but it is.” Roark Pollock agreed that the IT fundamentals had not changed as much as the motives for attack. And with IIoT the user is no longer only an office working with years of PC experience: “As we talk about industrial terrorism we’re bringing in a whole new user group. Now you’re talking about a user in some industrial facility, managing the safety and reliability of its devices. That person is not used to talking about cybersecurity”.

For Joe Baguley, VMware’s VP and CTO for EMEA: “The biggest problem is IT meeting OT. I’m seeing fundamental failings in basic principles of security when we get to IT and OT”. He gave the example of ubiquitous security cameras: “I found cheap USB ones of which there is no patching model and no way to update them. It’s just people missing basic fundamental steps in deploying IoT systems. That will set us up for massive failure in the future”.

Ray Ottey pointed out that security for the new users Pollock mentioned was about physical, not cyber, security: “So that MRI scanning machine, or that nuclear control system, whatever it was, the security around that was all entirely physical – you can’t get into it, can’t touch it – security badges etc” He outlined a scenario where the industrial control manager is approached by a the new network manager and says: “So you want to try and connect your IT systems to my control system? But you are the guys that gave me that XP laptop riddled with viruses that never really worked, and you’re now telling me you want to try and connect to my OT system? Get stuffed!”

Adding a more positive note, Roark said: “It’s taken us 20 odd years to get to today’s security perspective. At least we now have mature frameworks we can start to apply to those industrial control networks, whether the NIST framework, or any other framework”. Hopefully we can implement these existing frameworks a lot quicker than it had taken to develop them.

Joe Baguley returned to the prevention theme and the principles of cyber hygeine that are so blindingly obvious to people in the security industry, but not to others: “Things like least privilege, micro segmentation, and encryption. Encryption 10 years ago was a horrible thing, because it was hard. Now it’s really easy and it’s not a burden on processors, so let’s just do it everywhere. Multifactor authentication: Tesla owners are crying out for multifactor authentication on their cars – even Tesla aren’t applying it now – and patching. People are deploying stuff and not thinking about the ongoing lifecycle management”.

Questions from the floor brought the discussion back to the specific issue of cyber terrorism, when the panel was trying more to focus on general prevention. Joe Baguley referred to the Spectre processor issues: “How long had certain nation states known that those vulnerabilities were there, and kept it to themselves, before the wider world found out? You know, it’s those kind of things were actually more worrying… We’re looking again at how do you build a layer on top of that, that almost abstracts you from that threat?”

Andrzej Kawalec said the whole issue is even more blurred when several cybercriminal gangs share malware using an existing vulnerability hijacked through another service to some industrial ecosystem. Hence the need to focus on the continuous hunting and analysis of threat: “You need to go back to what you can control best.” Baguley agreed that there can be too much trying to anticipate what the next big threat is going to be, rather than just going back to base and how the system is built and made rock solid.

For Ray Ottey part of the problem is that people often do not even know they are under attack: “A process running a bit longer every day, because it’s doing something else. A machine occasionally pinging some other machine, which isn’t necessarily out of the ordinary… and many organisations don’t know what their normal is”.

Roark Pollock had the final word in what was a great debate session. He suggested a gaming approach to security training: “These companies need to create some sort of cyber range, where they can play red team, blue team, and train their people, of how to respond when something does occur. Because it’s too late once it happens”.

Lionel Snell, Editor, NetEvents

”Så ligger du steget före bedragaren”

| Kronika

Visste du att dina betalningsuppgifter kan vara lika användbara för bedragaren som ditt pass? Men att skydda sig själv – eller sin verksamhet – mot bedrägerier kräver ett helhetsgrepp. Runt hörnet kommer samtidigt två relativt okända sätt att ligga steget före bedragaren.

Teckna din prenumeration på Aktuell Säkerhet här

De senaste åren har större regleringar som GDPR och PSD2 genomförts i syfte att bättre skydda personuppgifter. Tyvärr visade dock förra veckans dataläcka av kortuppgifter från ett större bolag i USA att många system fortsatt är sårbara för cyberattacker.

Dessa typer av attacker är inte alltid lätta att förhindra, en fientligt inställd programmerare ligger ofta steget före markandsstandarder. I det amerikanska exemplet var det en malware som fjärrinstallerades på kortterminaler som tillgodogjorde sig uppgifter som sedermera såldes av i omgångar.

Från våra undersökningar på Adyen har två av tre kunder sagt att de skulle undvika att handla på ett företag som blivit utsatt för bedrägerier likt dessa. Kunder är även villiga att söka en högre grad av skydd för sina personuppgifter; mer än hälften av tillfrågade skulle byta bort från deras föredragna betalmetod om det presenterades ett säkrare alternativ.

Det få tänker på är att det sällan är betalmedlet i sig – kort, faktura, eller direktöverföring – utan istället infrastrukturen bakom som avgör hur säker en betalning faktiskt är.

Ny marknadsstandard är på väg

Få har missat att PSD2 träder i kraft i september, och därmed införs också en ny marknadsstandard för hur betalningar på nätet kommer att bli ännu säkrare. Från och med 14 september kommer 3D Secure – steget där konsumenter legitimerar sig på nätet – att krävas på majoriteten av alla köp på nätet.

Det kan låta som dåliga nyheter för handlare som oroar sig över sin konvertering. 3D Secure är nämligen känt för att lägga till ett steg under köpet, som gör att ungefär 4% av alla köp tappas. Den goda nyheten är att PSD2 även innebär en ny standard för 3D Secure – version 2.0. Den nya standarden är mobilanpassad och smälter in i flödet hos e-handlaren, vilket skapar en bättre köpupplevelse.

Med det nya kravet blir det säkrare att handla online och väsentligt svårare för bedragare att använda köpta personuppgifter på nätet.

Ligg steget före

Även om 3D Secure är ett bra verktyg för att säkerställa att det faktiskt är kunden som utför köpet – och inte en bedragare – så utgör det inte ett skydd för personuppgifter.

Så hur förhindrar man att känslig data kapas under ett köp? Genom att hantera uppgifterna annorlunda från början.

Tokenisering innebär att det inte är den känsliga datan i sig som hanteras, utan att den istället krypteras och sparas. Den krypterade informationen kan sedan föras vidare och skickas vidare till fler parter, utan att de någonsin får tillgång till datan.

Det räcker inte att vidta åtgärder för att granska enskilda köp. Handlare som vill ligga steget före bedragare måste granska sin tekniska uppsättning och hitta smartare sätt att skydda sig.

Vad ska man göra?

● Ge sig själv god tid att förstå PSD2 och att implementera lösningar för efterlevnad, som 3D Secure 2.0.

● Automatisera granskningen av transaktioner för att direkt kunna känna igen misstänkta transaktioner, innan de går igenom.

● Tillämpa tokenisering på alla betalmedel för säkrare hantering av känslig data.

Tobias Lindh
Nordenchef
Adyen

Vilka vänner har din organisation egentligen?

| Linda Kante

Våren närmar sig och min favoritårstid vårvintern passerade snabbt förbi. Lika snabbt går det i vår bransch.

För inte så länge sedan hade jag en bra diskussion med en kollega i branschen. Vi konstaterade att man på många företag under långt tid jobbat systematiskt med EHS (miljö, hälsa och säkerhet/safety) bland annat genom aktiv avvikelsehantering, tillbudsrapportering, utredning av incidenter och så vidare. Varför? Därför att vetenskapen säger att man genom att jobba systematiskt med den stora basen av händelser bättre kan undvika de stora incidenterna/katastroferna. Har vi som jobbar med cyber/info/IT-säk jobbat på samma sätt? Egentligen är liknelsen ganska självklar och även svaret. Avsaknaden av dessa arbetssätt inom cybersäkerhet hos många företag och organisationer är också en av anledningarna till att jag ofta trycker så hårt på behovet att bygga ut ”detect&respond”-förmågorna. Genom att upptäcka mer lär vi oss mer och kan därmed bättre förebygga stora incidenter och kriser.

Men vad ska vi leta efter? En sak vi med säkerhet vet är att många attackscenarier innehåller en så kallad indirekt metod där angriparen går via en ”trusted 3rd party” för att komma åt det egentliga målet för attacken. Det finns flera exempel där kanske Cloud Hopper är den mest kända under de senaste åren. En stor utmaning med att kontrollera tredjepartsrisk är att det saknats bra verktyg att arbeta så att värde och verkliga insikter skapas. Det har ofta blivit så kallat ”self-assessment questionaires” som skickats ut till ett urval av kunderna. Urvalet har ofta skett på volym i affärsrelationen och inte främst med tanke på vilken data som leverantören har access till. Så tänk om du som säkerhetsansvarig skulle kunna följa dina leverantörers risk (till exempel läckta credentials på darkweb och så vidare) i nära realtid? Såna verktyg finns idag! Genom att flytta ut dina sensorer skapar du tid att reagera innan skada skett på den egna organisationen. Så vill jag jobba!

För övrigt anser jag att det är väldigt generöst av Norsk Hydro att berätta exakt om vilken påverkan den senaste attacken har haft nedbrutet på affärsområde. Vi får både veta höra om kostnader och med vilken kapacitet produktionen snurrar. Tacksamt för oss som söker datapunkter för stilleståndskostnader men dessvärre kanske också tacksamt för en angripare som vill lära sig mer om hur man designar den ”bästa” attacken?

Slutligen ser jag fram emot att följa tillämpningen av den nya säkerhetsskyddslagen. Ett av syftena med den och NIS-direktivet är som bekant också att stärka AB Sveriges ”supply chain” med fokus t ex på elförsörjning, tele/datakommunikation, transporter och vårt finansiella system. En av mina slutsatser är att vi behöver fortsätta tänka mer holistiskt och också tänka just leveranskedjor. Jag tror att den kloke CISO:n som aktivt jobbar systematiskt och automatiserat med organisationens vänner (leverantörer) kommer gynnas när ”räkenskaperna” för 2019 skall göras.

Until next time!
/Rolf Rosenvinge CEO CyberInsights

Regelexplosionen inom informationssäkerhet får inte hämma tillväxten i svenskt näringsliv

| Kronika

Det är bara veckor kvar till den nya säkerhetsskyddslagen träder i kraft. Här diskuterar Jakob Bundgaard och Richard Oehme diskuterar de nya regler och lagar som kommer att gälla för både privat och offentlig sektor.

Jakob Bundegaard, ansvarig Cyber Security, PwC Sverige
Foto: Kristin Lidell

Richard Oehme, Director Director Societal Security, PwC Sverige

På kort tid sker nu många förändringar som kraftigt påverkar såväl offentlig som privat sektors hantering av informationssäkerhet. Först ut var GDPR-regelverket. Därefter införlivades NIS-direktivet i svensk lag, en lagstiftning som framförallt omfattar den privata sektorn och speciellt det som bedöms vara samhällsviktig verksamhet. Den 1 april träder även en ny säkerhetsskyddslag i kraft med högre krav på bland annat informationshanteringen och som berör många samhällsviktiga aktörer. Under loppet av mindre än ett år har därmed tre nya regler och lagar tillkommit som privat och offentlig sektor ska förhålla sig till.

När det gäller den nya säkerhetsskyddslagen finns det en bredare syn på vad som ska omfattas av säkerhetsskydd. Förenklat handlar det nu inte enbart om att skydda uppgifter som omfattas av sekretess, utan också allt mer om verksamhet som av andra anledningar behöver omges med säkerhetsskydd. Till exempel om ett företag har informationssystem eller sammanställningar av uppgifter av central betydelse för ett fungerande samhälle och då även om de inte innehåller sekretessbelagda uppgifter. Här är det alltså systemets tillgänglighet och informationens riktighet som står i fokus snarare än själva innehållet. Konsekvensen som vi redan nu ser är att fler aktörer kommer att omfattas av den nya säkerhetsskyddslagen och inte minst handlar det om företag som är verksamma inom samhällsviktig verksamhet och som nu redan har NIS-direktivet att förhålla sig till.

Ytterligare förändringar som genomförs i den nya säkerhetsskyddslagen är en ny indelning utefter en fyrgradig skala för säkerhetsskyddsklassificerade uppgifter. Graderingen bedöms med utgångspunkt i den skada för Sveriges säkerhet som kan uppstå. I topp hamnar information som bedöms vara kvalificerat hemlig och här placeras uppgifter vars röjande kan medföra konsekvenser i form av synnerlig allvarlig skada för Sveriges säkerhet. Därefter följer nivåerna hemlig och konfidentiell för att sedan avslutas med den fjärde nivån begränsad. I den senare klassen placeras uppgifter vars röjande endast kan medföra ringa skada för Sveriges säkerhet. Här kan vi redan nu se att nivån begränsad i praktiken delvist innebär en utvidgning. Bedömningen är därför att kraven på den lägsta säkerhetsskyddklassen med all sannolikhet kommer att omfatta stora delar av samhällsviktig verksamhet och beröra allt fler företag och verksamheter.

Sammantaget innebär alltså förändringarna att fler omfattas av säkerhetsskyddslagen samtidigt som det nu finns allt fler lagar och regler att förhålla sig till. Företag och organisationer måste säkerställa att det tar ett helhetsgrepp på säkerhetsskyddarbetet och i synnerhet på sitt informations- och cybersäkerhetsarbete. Vi ser en risk för att företag och offentliga verksamheter behöver lägga väldigt mycket tid och kraft från själva verksamheten för att navigera i det nya regellandskap som växer fram. Visst finns det behov av regler och lagar i det nya hotlandskapet, men det är samtidigt centralt att det finns en tydlighet i hur avvägningen mellan dessa olika regelverk ska ske. Inom ramen för detta behövs ytterligare tydlighet från regeringen och ansvariga myndigheter. Behovet av vägledning och tydliggörande har aldrig varit större då hela vårt samhälle nu är digitaliserat och ytterst handlar det om att inte hämma utvecklingen av svenskt näringsliv och offentlig förvaltning.

Jakob Bundgaard, ansvarig Cyber Security, PwC Sverige

Richard Oehme, Director Societal Security, PwC Sverige

Så här övervinner du årets nya utmaningar inom IT-säkerhet

| Kronika

Ökade krav på mobilitet, IoT och nya lösningar i kanterna av nätverken ställer nya krav på IT-säkerhet. Säkra mobila lösningar underlättar arbetet med att säkra data, skriver Kenni Ramsell, Nordenchef på Toshiba.
Behovet av mobilitet i yrkeslivet ökar och förändras ständigt. Enligt en undersökning gjord av Microsoft känner sig bara 11,4 procent av de yrkesarbetande i Europa högproduktiva på sina arbetsplatser. Det pekar på ett ökat utnyttjande av ny teknik som 5G för att underlätta mobilt arbete och därigenom förbättra produktiviteten.
Ny mobilitet innebär nya säkerhetsutmaningar, när användningen i nätverken ökar. Med allt mer data tillgängliga ökar kostnaderna för säkerhetsincidenter snabbt. En studie av IBM och Ponemon Institute visar till exempel att medelkostnaden för dataförluster steg med 6,4 procent 2018 jämfört med året innan, till 3,9 miljoner dollar, cirka 36 miljoner kronor.
Lägg till det att antalet helt nya attacker och skadliga mjukvaror ökade med 101,2 procent under 2018, enligt rapporten Cyber Threat Report från SonicWall. Det är inte konstigt att en undersökning gjord av Toshiba visar att 62 procent av personerna med ledande IT-befattningar i Europa ser datasäkerhet som ett viktigt område att investera i.
 
Börja med enheter och anställda
Det första lagret av skydd mot cyberbrott bör vara de enheter som används. Det kan till exempel handla om att data exponeras på bärbara datorer som glöms på pendeltåg eller att anställda ansluter sig till osäkra nätverk på kaféer.
Enligt IBM och Ponemon Institute inbegriper nästan hälften av alla säkerhetsincidenter skadlig mjukvara eller intrång, medan 27 procent beror på slarv av anställda. En kombination av de två orsakerna ger perfekta förutsättningar för cyberbrottslingar.
Det behövs säkerhetslösningar både i enheterna och i nätverken, som exempelvis biometrifunktioner och inbyggd smart kryptering. Fjärråtkomst till enheter och möjligheter att rensa dem är också viktiga, om enheterna hamnar på vift. Det bör finnas central administration och goda möjligheter att skydda och definiera rättigheter till känslig information. Lägg till det utbildning om IT-säkerhet till de anställda.
 
IoT och edge är nästa utmaning
Den ökade populariteten för IoT och edgelösningar (lösningar i kanten av nätverken) ställer nya krav på dataskydd. Säkerhetsföretag som Avast pekar ut IoT som ett viktigt slagfält vad gäller cyberbrottslighet under 2019.
Bland de nya innovativa säkerhetsstrategier som företag bör överväga finns exempelvis mobila edgelösningar. I sådana kan data krypteras lokalt och översättas enligt kommunikationsprotokoll innan de överförs via molnet. I takt med att nya lösningar som ”wearables”, till exempel smarta kläder och smarta glasögon, blir populära kommer mängden data som behöver skyddas öka, vilket gör mobila edgelösningar ännu mer attraktiva.
Säkerhet är den viktigaste aspekten av ett företags IT-strategi och ett hotlandskap i ständig förändring gör att utmaningarna är större än någonsin. Lösningar kanske bara är säkra några månader, så det krävs ständig övervakning och utveckling. Det räcker inte med säkra centrala delar av nätverken, utan det krävs insatser även i kanterna av nätverken.
Kenni Ramsell, Nordenchef på Toshiba

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29