Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Microsoft varnar för sårbarhet i Remote Desktop

|

Den 14 maj gick Microsoft ut med en bekräftelse om en allvarlig sårbarhet i deras RDP-service. Sårbarheten kan utnyttjas till att skapa maskar, något som innebär att en stor mängd datorer snabbt kan tas över. 

Teckna din prenumeration på Aktuell Säkerhet här

Knowit skriver på sin blogg att samtliga användare bör uppdatera genast.

Det handlar om RDP-service som ingår i olika service packs för Windows 7, Windows Server 2008 och Windows Server 2008 R2 och sårbarheten innebär att en angripare oautentiserat kan få lokal kodexekvering på måldatorn. Denne får alltså fria händer att bland annat skapa egna konto samt läsa och skriva till filer på disk.

Det har släppts patchar för att mildra sårbarheten. Övriga rekommendationer är att stänga av RDP på datorn samt aktivera Network Level Authentication (NLA) som extra säkerhetslager.

Microsoft Security Response Center har i skrivande stund inte fått några rapporterade incidenter genom den nyupptäckta sårbarheten. Men det är säkerligen bara en tidsfråga innan angripare kommer att kringgå nuvarande patch och utnyttja säkerhetshålet ändå. 

 

”Är biometri bra eller dåligt?”

|

I framtiden kommer vi lättare kunna identifiera människor med hjälp av artificiell intelligens (AI) och människors beteenden. Biometrin utvecklas hela tiden. Men är det början på ett avancerat övervakningssystem eller bidrar det bara till bättre och användarvänligare säkerhet?

Text: Sanne Femling, IT-säkerhetskonsult Knowit Secure

Idag finns det många olika sätt att identifiera människor på. Det sägs att 30 procent av alla webbsökningar sker via röst e​ller rörelse, vilket kommer gör​a att vi som arbetar med säkerhet behöver hitta nya sätt att säkerställa vem som interagerar med systemen.

Vi har under de senaste veckorna kunnat läsa om Kinas nya övervakningssystem där man med hjälp av ny AI-teknik utvecklat ett system som identifierar människor genom deras rörelsemönster och gångstil. Utöver detta finns även AI-teknik som identifierar hur människor interagerar med sina personliga enheter och appar. Denna typ av igenkänningsteknik kallas dynamisk biometri och drivs av just artificiell intelligens. Genom att lära sig hur vi använder tangentbordet på vår mobiltelefon, hur hårt vi trycker fingrarna mot pekskärmen, scrollar eller sättet vi håller telefonen kan enheter eller applikationer identifiera användaren.

Detta gör det lättare för människor att autentisera sig mot sina enheter. Tekniken gör det mer användarvänligt och säkrare. En annan fördel med AI är att tekniken hittar och ser nya infallsvinklar som vi människor inte har förmåga att se. Den kan även ta fram unika och säkrare sätt att identifiera och autentisera människor på.Men vad händer när den biometriska informationen hamnar i fel händer?När leksakstillverkaren VTech 2015 hackades kom en angripare åt flera gigabyte av bilder, ljudinspelningar och filmer på barn som företaget lagrat genom sina enheter. Materialet kom från telefoner, laptops och klockor som använts av barn för att delvis kommunicera med sina föräldrar.

Det här är ett exempel på hur lätt biometrisk data kan hamna i fel händer. Ett lösenord är idag utbytbart om vi skulle bli av med det. Men din biometriska information är unik och går inte att byta ut vilket gör den väldigt känslig. Om vi nu skall använda oss av AI för att logga vår biometri och vårt beteende är det viktigt att få användarna att förstå exakt vilken typ av information som lagras och används. Företag som tar fram den här typen av teknik bör prioritera säkerheten vid lagring av dessa uppgifter men också ta fram tydliga och bra policys för användarnas integritet.

Precis som riktlinjerna för den nya GDPR-lagen specificerar är det också viktigt för AI-tekniker att inte lagra mer än vad som behövs. Ska tekniken användas i syfte att lära sig mer om ett mönster och agera därefter är det viktigt att vi sätter gränser. En tillräckligt bra kamera kan idag avläsa en persons hjärtpuls. Det kommer med andra ord lagras stora mängder personlig data och mycket av denna information behövs inte ens för ändamålet.

Fakta

Identifiering – är processen där en person hävdar eller bekräftar en identitet.

Autentisering – är processen där personen verifierar sin identitet genom att jämföra en eller flera faktorer mot en databas med giltiga identiteter.

Källa: “Certified Information System Security Professional”, Official Study Guide, SYBEX, Mike Chapple, James Michael Stewart, Darril Gibson, 2018

Hallå där Caroline Svensson, Security Consultant på Knowit Insight

|

Nyligen hade SIG Security premiär för nätverksträff i Göteborg, hur gick det?

– Det gick jättebra, och vi är väldigt glada över att så många engagerade deltagare kom. GDPR kan vara lite uttjatat som ämne, men det är viktigt att man inte ser GDPR som ett projekt med ett projektavslut. Tvärtom är det just nu som det riktiga GDPR-arbetet börjar. Därför föll det sig naturligt att ha en FOKUS-kväll runt frågan “hur ska GDPR efterlevas efter den 25 maj”, eftersom träffen genomfördes fyra dagar efter att GDPR trätt i kraft. Det var rätt ämne och kvällens tema bidrog till många intressanta diskussioner – jag tror delvis det beror på att GDPR är något som alla berörs av och kan relatera till.

Ni hade Mia Mörk, IT Risk and Security Manager på Ica Gruppen AB och tidigare informationssäkerhetschef på Säpo, på plats som talade om hur vi säkerställer att GDPR efterlevs efter den 25 maj. Hur löd hennes hetaste tips?

– Mia hade flera heta tips, men det är några tips jag minns extra väl:

  • Den viktigaste förutsättningen för att lyckas är medarbetarna, därför måste man kontinuerligt jobba med awareness och utbildning
  • Det är viktigt att ledningen inte slutar engagera sig
  • Var beredd på att efterlevnad kostar resurser, så dra inte ner på dem bara för att de dedikerade projekten avslutas
  • Utse dataskyddsänglar som stöttar verksamheten och DPO:n i det dagliga arbetet

När blir nästa träff i Göteborg?

– Nästa träff blir i höst, och vi har redan börjat planera för 3-4 FOKUS-kvällar i Göteborg under hösten. Håll koll på vår hemsida sigsecurity.org där vi kommer informera om våra FOKUS-kvällar. Hoppas vi ses!

Telenta och Knowit i samarbete kring molnbaserad larmtjänst

|

Telenta och Knowit har inlett ett samarbete i syfte att utveckla Telentas koncept för välfärdslarm till en molnbaserad lösning för ”välfärdslarm som tjänst”.

Genom att leverera den senaste välfärdstekniken bidrar Telenta till fler vårdande minuter inom äldreomsorgen. Med systemutveckling som främsta kompetens har Knowit som samarbetspartner bidragit till att omsätta Telentas kunskap om äldreomsorgen till ett nytt molnbaserat välfärdskoncept för den svenska marknaden.

Teckna din prenumeration av Aktuell Säkerhet här

Telenta vill i och med utvecklingen av nya Harmoni stärka sin position som leverantör av tekniska säkerhetssystem inom vård och omsorg.

– Vi kommer kunna erbjuda ett komplett system med samtliga säkerhetsområden integrerade i en lösning- Allt uppkopplat till molnet via en applikation på mobilen. Knowit har bred erfarenhet och kompetens inom området och är en partner som bidrar med hög kvalitet, säger Olof Göransson, vd på Telenta.

– Vi är hedrade att Telenta valt oss som teknikpartner för att realisera ett nytt välfärdskoncept inom äldreomsorgen baserat på en molnlösning. Med en allt större åldrande befolkning känns det angeläget att få vara med och utveckla moderna lösningar som skapar verklig nytta i samhället. Vi är stolta över att kunna bidra med kompetens inom allt från användarupplevelse till IoT-utveckling, säger Johan Damberg, affärsansvarig på Knowit.

Knowitkonsult hittar zero-day i elektroniska lås

|

It-säkerhetsexperter talar ibland om ”zero-day” eller ”0-day” när de beskriver en säkerhetsbrist eller attack. Zero-day är en sårbarhet i ett system som ännu inte har åtgärdats – det finns alltså ingen säkerhetsuppdatering eller patch tillgänglig. Detta betyder att leverantören måste ta fram en säkerhetsuppdatering samt att systemet sedan måste uppdateras för att hålet ska täppas igen.

Knowits säkerhetskonsult Patrick Mattsson upptäckte ett säkerhetshål i ett system som tillverkats av Aptus Elektronik AB och kontaktade företaget.

Teckna din prenumeration av Aktuell Säkerhet här

– Vi uppskattade informationen som vi fick ifrån Patrick. Han beskrev i detalj vad han hade upptäckt och vi verifierade det senare i vår testmiljö, berättar Peter Johannesson, produktchef hos Aptus Elektronik AB.

Redan en vecka efter att Patrick hade informerat Aptus om problemet utfärdades en säkerhetsuppdatering för tidigare versioner av låssystemet och en ny version var klar. Patrick testade systemet och verifierade att säkerhetshålet var borta. Aptus informerade kunder att uppdatera sina system. Uppdateringen pågår och alla nya system är åtgärdade från leverans.

– För att underlätta för säkerhetsuppdateringar av system när nya sårbarheter upptäcks är det viktigt att arbeta fram en lösning för detta redan i designfasen. När jag kontaktade Aptus fick jag full attention direkt, säger Patrick Mattsson.

Läs mer hos Knowit

Läs mer hos Aptus

Knowit och Nexus i nytt partnerskap

|

Konsultbolaget Knowit och identitets- och säkerhetsföretaget Nexus Group har ingått ett partnerskap för att kunna erbjuda slutkunderna bättre och billigare säkerhetslösningar.

– Vi tror inte på att ha egen produktutveckling. Istället hittar vi de företag som gör riktigt bra teknik och ingår partnerskap med dem, säger Joakim Jormelin, affärsområdesansvarig för Knowit Experience i Norrland.

Knowit bygger ofta externa webbplatser och intranät åt sina kunder, och behovet av pålitlig autentisering av användarna ökar.

Joakim Jormelin, affärsområdesansvarig för Knowit Experience i Norrland.

– Autentisering behövs dels för att knyta ihop olika system, och dels för att EU:s nya dataskyddsförordning GDPR ställer högre krav på att vi måste veta vem som är vem, säger Joakim Jormelin.

Teckna din prenumeration på Aktuell Säkerhet här

Knowit har därför letat efter en samarbetspartner inom området, och valet har nu fallit på Nexus.

– Det finns en rad skäl till det. Till att börja med vill vi ha en riktig motpart i kött och blod att prata med, och inte bara en anonym mejllåda. Det går ofta snabbt i våra projekt, och våra partners måste matcha det. Dessutom uppskattar vi att det inte finns någon konkurrenssituation: vi sköter implementationen och Nexus sköter teknikutvecklingen, säger Joakim Jormelin.

Att Nexus är ett svenskägt företag är ytterligare ett plus, eftersom det gör faktureringen mycket smidigare, enligt Joakim Jormelin.

– Sist men inte minst är Nexus GO Authentication med svenskt BankID en flexibel och bra produkt utan krångel, som är väldigt enkel att jacka in. Dessutom är det enkelt att anpassa designen, så att BankID-inloggningen verkligen känns som kundens sida – det är viktigt när man har lagt ner massa energi på gränssnittet på resten av sajten. Vi har faktiskt inte hittat en enda nackdel med produkten, säger Joakim Jormelin.

Planen är att utöka samarbetet med Nexus till andra områden framöver.

– Den nya molntjänsten Nexus GO Signing med svenskt BankID är högst intressant. Det kommer att krävas massa godkännanden av lagring av personuppgifter i framtiden, och ju mer man kan låta bli pappersutskick desto smidigare är det, säger Joakim Jormelin.

Knowit är även intresserade av de molntjänster för inloggning och signering med andra elektroniska identiteter än BankID som Nexus släpper inom kort.

– Och när vi tittar ännu längre fram vore det spännande att hjälpas åt att knyta ihop digital och fysisk accesskontroll. Nexus har en fin produktportfölj inom båda områdena, så jag ser stora möjligheter här, säger Joakim Jormelin.

Per-Erik Nilsson, ansvarig för samarbetet på Nexus, håller med.

– Vi är otroligt starka på produktutveckling inom digital och fysisk access, men vi behöver hjälp av riktigt bra partners med att ta ut våra lösningar till slutkunder runt om i världen, säger Per-Erik Nilsson.

Och Årets Säkerhetsprofil blev…

|

Åsa Schwarz, försäljnings- och marknadschef hos Knowit Secure, säkerhetskrönikör i fackpress, författare och en av grundarna till Kontrollgruppen som verkar för att fler ska söka sig till branschen.

– Tack! Det känns fantastiskt roligt, säger Åsa när hon tar emot utmärkelsen och intervjuas av galans moderator Tilde de Paula Eby.

Åsa Schwarz har arbetat med säkerhet i drygt 20 år i många olika roller, bland annat som konsult, affärsutvecklare och säljare. Hon är eldsjälen som brinner för att göra branschen bättre och locka fler personer till säkerhetsbranschen.

Juryns motivering:

”Åsa Schwarz har med sin entusiasm och kompetens under en lång tid bidragit till att öka medvetenheten om informationssäkerhet, både hos företag och privatpersoner. Hon har, som marknadschef och säkerhetsexpert vid Knowit, synts flitigt i media under det gångna året – både i intervjuer och genom egna artiklar. Hon är dessutom en av initiativtagarna till Kontrollgruppen och säkerhetskonferensen C2´17, en konferens som lyfter fram kvinnliga säkerhetsexperter. Syftet är att höja informations- och IT-säkerheten och att skapa ”en av världens mest dynamiska säkerhetsarenor”.

Åsa Schwarz är en synnerligen god förebild, som med sitt stora engagemang och sin djupa och breda kompetens inom säkerhetsområdet, verkar aktivt för att folkbilda och locka fler till säkerhetsbranschen.”

I nästa nummer av Aktuell Säkerhet kan du läsa en längre intervju med vinnaren och rapport från Säkerhetsgalan. Vill du teckna en prenumeration av tidningen, klicka här:

De är nominerade till Årets Säkerhetsprofil

|

På Säkerhetsgalan som hålls den 5 april kommer Årets Säkerhetsprofil utses. Och det är någon av följande tre som kan kamma hem den prestigefyllda titeln:

Juryns motivering:

Richard Buske, Sollentuna Kommun

Richard Buske är inte bara säkerhetschef i Sollentuna kommun sedan sex år, han besjälas av säkerhet och trygghet och har en innerlig vilja att lyfta säkerhetsfrågorna till nya nivåer med samverkan, synlighet och sociala medier. Genom att regelbundet ta emot praktikanter från säkerhetsutbildningar, sprider han inte bara sin kunskap och erfarenhet, utan skapar också såväl goda ambassadörer inom säkerhet som framtidens säkerhetschefer. Dessutom medverkar han som talare på olika evenemang och engagerar sig aktivt i flera säkerhetsnätverk.

Richard Buske bidrar på ett imponerande sätt – med sin expertis – till att trygghets- och säkerhetsfrågorna kommer högt upp på agendan i Sollentuna, både hos frivilligorganisationerna, kommunledningen, medarbetarna och invånarna.

Här tecknar du din prenumeration på Aktuell Säkerhet

Åsa Schwarz, Knowit

Åsa Schwarz har med sin entusiasm och kompetens under en lång tid bidragit till att öka medvetenheten om informationssäkerhet, både hos företag och privatpersoner. Hon har, som marknadschef och säkerhetsexpert vid Knowit, synts flitigt i media under det gångna året – både i intervjuer och genom egna artiklar. Hon är dessutom en av initiativtagarna till Kontrollgruppen och säkerhetskonferensen C2´17, en konferens som lyfter fram kvinnliga säkerhetsexperter. Syftet är att höja informations- och IT-säkerheten och att skapa ”en av världens mest dynamiska säkerhetsarenor”.

Åsa Schwarz är en synnerligen god förebild, som med sitt stora engagemang och sin djupa och breda kompetens inom säkerhetsområdet, verkar aktivt för att folkbilda och locka fler till säkerhetsbranschen.

Bengt Berg, Cybercom

Bengt Berg på Cybercom vill avdramatisera säkerhetsarbetet och bidra till att höja nivån på – och medvetenheten om – IT-säkerhet i hela samhället. Det gör han genom sitt kompetenta arbete på Cybercom, där han exempelvis har skapat ”Upphandlingskollen”, ett kostnadsfritt stöd som både företag och myndigheter kan använda för att ställa rätt krav på säkerhet i sina upphandlingar. Genom lära ut hur man upphandlar säkert bidrar han till att samhällets IT-säkerhet professionaliseras.

Bengt Berg engagerar sig även föredömligt i samverkan, bland annat genom att arrangera seminarier och andra tillfällen till nätverkande för kollegor i branschen.

Läs mer om årets nominerade i Aktuell Säkerhet nummer två, som kommer ut 24 mars. Och under Säkerhetsgalan där intervjuas de tre och kvällen avslutas med att vi delar ut utmärkelsen Årets Säkerhetsprofil, under festliga former på Berns Salonger. Stort tack till juryn, som består av Kristina Schmidt/Lotta Eriksson, Företagsuniversitetet, Magnus Ranstorp, Försvarshögskolan, Anne-Marie Eklund Löwinder, IIS, Peter Claesson, ASIS,  Thomas Lundin, NSD och Mounir Messaoud, Sig Security och Jenny Persson, Aktuell Säkerhet,.

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29