Över 1.000 cyberattacker mot hälsa- och sjukvård

Hälsa- och sjukvården utsattes för 1.039 cyberattacker det senaste halvåret, enligt cybersäkerhetsbolaget Checkpoint. Attackerna har bl a drabbat larmanordningar som äldre och funktionshindrade fått installerade för att kunna larm personal i nödsituationer. Andra attacker har riktat sig mot sjukhusens hemsidor genom att förövarna utför överbelastningsattacker. Åter andra IT-incidenter handlar om s k spoofing och phishing.

Hyltes trygghetslarm slutade fungera

I Hylte kommun orsakade en cyberattack den 23 mars mot en underleverantör ett allvarligt avbrott i kommunens trygghetslarm. Kommen har beredskap för att hantera en sådan händelse. Man kallade in extra personal, tog kontakt med alla brukare och inrättade ett särskilt nödnummer dit man som brukare kunde ringa om man behövde hjälp. I efterhand har kommunen kunnat konstatera att inga incidenter rapporterats.

Regelbundna övningar

Varje år övar kommunen på ett scenario där en krissituation uppstår i någon samhällsviktig funktion eller tjänst. Förra året var scenariot ett nationellt strömavbrott orsakat av en cyberattack mot elsystemet. Under övningen uppstår olika oväntade händelser som successivt blir allt mer besvärliga att hantera. En av de funktioner som slutade att fungera var just trygghetslarmen.

Genom att man övat på en sådan händelse hade alla den i färskt minne vilket gjorde att man snabbt kunde agera för att säkerställa att alla invånare med trygghetslarm kunde känna sig trygga om de behövde akut hjälp i hemmet.

Personuppgiftsläcka hos leverantören

När leverantören drabbades av cyberattacken konstaterade denne också att personuppgifter hade läckt till angriparen. En sådan händelse är desto svårare att hantera eftersom man som kommun inte har kontroll över skeendet. I Hylte följde man de riktlinjer och rutiner som finns genom att utreda och anmäla händelsen till IMY (Integritetsskyddsmyndigheten). Kommunens egen utredning visade att de personuppgifter som läckt var av låg känslighet ur integritetsskyddssynpunkt.

Specialistfunktioner samordnade riskanalys

När en personuppgiftsincident sker i en kommun involveras flera olika specialist- och stödfunktioner. Det handlar om informationssäkerhetssamordnare, dataskyddsombud, säkerhet- och beredskapsfunktionen, IT, jurist, berörda versamhetschefer och även kommundirektören. Om man misstänker att det skett en personuppgiftsläcka ska man inom 72 timmar anmäla händelsen till IMY från det man fått kännedom om incidenten. Eftersom flera funktioner behöver involveras är tidsfristen relativt tight. Det gäller att ha rätt prioriteringar och alla gör det som behöver göras.

Framgångsfaktorer

Det är viktigt att ha tydliga riktlinjer och rutiner. Nyckelfunktioner behöver få tydliga mandat att agera för att minimera konsekvenserna av en cyberattack. Ensam är inte stark. Sök stöd och hjälp av varandra både inom organisationen och utanför organisationen. Jobbar man i en kommun eller region sök hjälp hos grannkommunen. Och naturligtivs är det viktigt att ta till vara de kompetenser som finns i verksamheten.

Ta reda på fakta. Verifiera! Fatta ett inriktningsbeslut. Agera utifrån vad ni vet men ta samtidigt med osäkerhetsfaktorer. Var beredd att ompröva beslut om ny information framkommer.

Läs mer

Informationssäkerhet, cybersäkerhet och säkra kommunikationer (MSB)

Informationssäkerhet.se (Myndighetsgemensam sida)

CERT.se (IT-incidentberedskap)

Kompetensutveckling

CERT.SE:s veckobrev v.22

Nyheter i veckan

Med början idag återger vi CERT.se veckobrev och varningar för skadlig kod och pågående attacker mot IT-system och IT-infrastruktur.

Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains (28 maj)
https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/

Don’t Click That ZIP File! Phishers Weaponizing .ZIP Domains to Trick Victims (29 maj)
https://thehackernews.com/2023/05/dont-click-that-zip-file-phishers.html

Hackers hold city of Augusta hostage in a ransomware attack (29 maj)
https://www.csoonline.com/article/3697854/hackers-hold-city-of-augusta-hostage-in-a-ransomware-attack.html

This new malware hijacks Windows WordPad to avoid detection (29 maj)
https://www.techradar.com/news/this-new-malware-hijacks-windows-wordpad-to-avoid-detection

Flash loan attack on Jimbos Protocol steals over $7.5 million (29 maj)
https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/

Android apps containing SpinOk module with spyware features installed over 421,000,000 times (29 maj)
https://news.drweb.com/show/?i=14705

Lessons from Denmark: Why knowledge sharing is the most important weapon against cyber threats (30 maj)
https://www.weforum.org/agenda/2023/05/denmark-knowledge-sharing-key-to-cybersecurity-resilience/

Tricks of the trade: How a cybercrime ring operated a multi‑level fraud scheme (30 maj)
https://www.welivesecurity.com/2023/05/30/tricks-trade-cybercrime-ring-fraud-scheme/

Hackers Win $105,000 for Reporting Critical Security Flaws in Sonos One Speakers (30 maj)
https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html

MSB värd för internationell cybersäkerhetsövning i Sverige (31 maj)
https://www.msb.se/sv/aktuellt/nyheter/2023/maj/msb-vard-for-internationell-cybersakerhetsovning-i-sverige/

Ddos-attack lamslår nationella gymnasieprov i Grekland (31 maj)
https://computersweden.idg.se/2.2683/1.779312/ddos-attack-lamslar-nationella-gymnasieprov-i-grekland

Dark Pink APT Group Leverages TelePowerBot and KamiKakaBot in Sophisticated Attacks (31 maj)
https://thehackernews.com/2023/05/dark-pink-apt-group-leverages.html

Mirai Variant Opens Tenda, Zyxel Gear to RCE, DDoS (31 maj)
https://www.darkreading.com/endpoint/mirai-variant-tenda-zyxel-rce-ddos

SAS Airlines hit by $3 million ransom demand following DDoS attacks (31 maj)
https://www.bitdefender.com/blog/hotforsecurity/sas-airlines-hit-by-3-million-ransom-demand-following-ddos-attacks/

Hackare kan orsaka SAS-problemen (2 jun)
https://www.svt.se/nyheter/snabbkollen/hackare-kan-orsaka-sas-problemen

BlackCat claims the hack of the Casepoint legal technology platform used by US agencies (1 jun)
https://securityaffairs.com/146915/cyber-crime/blackcat-ransomware-casepoint.html

Nytt cybersäkerhetscenter öppnar i Stockholm – ska sysselsätta 300 specialister (1 jun)
https://computersweden.idg.se/2.2683/1.779330/nytt-cybersakerhetscenter-oppnar-i-stockholm–ska-sysselsatta-300-specialister

A-kassornas motståndskraft ska utredas (1 jun)
https://www.svd.se/a/JQMkr8/a-kassornas-motstandskraft-ska-utredas

A-kassan ska fungera i kris och krig (2 jun)
https://www.regeringen.se/pressmeddelanden/2023/06/a-kassan-ska-fungera-i-kris-och-krig/

Rapporter och fördjupningar

Account Compromise, Financial Theft, and Supply Chain Attacks: Analyzing the Small and Medium Business APT Phishing Landscape in 2023 (24 maj)
https://www.proofpoint.com/us/blog/threat-insight/small-and-medium-business-APT-phishing-landscape-in-2023

Abusing Web Services Using Automated CAPTCHA-Breaking Services and Residential Proxies (25 maj)
https://www.trendmicro.com/en_us/research/23/e/abusing-web-services-using-automated-captcha-breaking-services-and-residential-proxies.html

What is a web shell? (26 maj)
https://blog.talosintelligence.com/what-is-a-web-shell/

Void Rabisu’s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors’ Goals (30 maj)
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

Investigating BlackSuit Ransomware’s Similarities to Royal (31 maj)
https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

New Horabot campaign targets the Americas (1 jun)
https://blog.talosintelligence.com/new-horabot-targets-americas/

Your web browsing habits may be less private than you think (1 jun)
https://research.ibm.com/blog/browser-fingerprinting

Informationssäkerhet och blandat

E-post från polisen efter intrång hos leverantör (26 maj)
https://polisen.se/aktuellt/nyheter/2023/maj/mail-fran-polismyndigheten-efter-intrang-hos-leverantor/

Sökande till polisen kan ha fått personuppgifter röjda efter cyberattack (26 maj)
https://www.svt.se/nyheter/inrikes/sokande-till-polisen-har-fatt-personuppgifter-rojda-efter-lacka

Ingen påverkan på IT-miljön efter cyberattack (1 jun)
https://www.kriminalvarden.se/om-kriminalvarden/nyheter/2023/juni/ingen-paverkan-pa-it-miljon-efter-cyberattack/

PyPI announces mandatory use of 2FA for all software publishers (28 maj)
https://www.bleepingcomputer.com/news/security/pypi-announces-mandatory-use-of-2fa-for-all-software-publishers/

MCNA Dental data breach impacts 8.9 million people after ransomware attack (29 maj)
https://www.bleepingcomputer.com/news/security/mcna-dental-data-breach-impacts-89-million-people-after-ransomware-attack/

New hacking forum leaks data of 478,000 RaidForums members (29 maj)
https://www.bleepingcomputer.com/news/security/new-hacking-forum-leaks-data-of-478-000-raidforums-members/

Capita cyber-attack: 90 organisations report data breaches (30 maj)
https://www.theguardian.com/business/2023/may/30/capita-cyber-attack-data-breaches-ico

FBI-attacken som slog ut ryska spionprogrammet (31 maj)
https://sverigesradio.se/avsnitt/sa-fick-fbi-det-ryska-spionprogrammet-att-forstora-sig-sjalvt

Toyota finds more misconfigured servers leaking customer info (31 maj)
https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/

FTC Orders Ring to Pay $5.8 Million in Refunds For Surveilling Customers, Failing to Stop Hackers (31 maj)
https://www.vice.com/en/article/5d9375/ftc-orders-ring-to-pay-5-million-in-refunds-failing-stop-hackers

Maryland License Plates Now Inadvertently Advertising Filipino Online Casino (31 maj)
https://www.vice.com/en/article/4a3xe9/maryland-license-plates-now-inadvertently-advertising-filipino-online-casino

Adversaries can reconstruct classified information from unclassified data, warns White House official (31 maj)
https://therecord.media/classified-data-reconstructed-from-unclassified-kemba-walden-cycon

Ethernet (50th Birthday) (1 jun)
https://youtu.be/TkOVgkcrvbg

CERT-SE i veckan

Kritisk sårbarhet i MOVEit Transfer

Nordisk-amerikansk cybersäkerhetsövning i Sverige

FI förordnar revisor efter it-incident i Swedbank

CET: 10.38

Finansinspektionen (FI) utser en revisor för att kartlägga den it-incident som inträffade hos Swedbank natten mellan 28 och 29 april och som medförde felaktiga saldon på kunders konton.

Förordnandet sker med stöd av 13 kap. 9 § lagen (2004:297) om bank- och finansieringsrörelse. Den förordnade revisorn har i uppdrag att kartlägga händelseförloppet som ledde fram till incidenten, hur incidenten hanterades och åtgärdades samt bankens kontroller och beredskap.

Revisorn kommer att dokumentera sina iakttagelser i en rapport till FI. FI beslutar därefter om vidare hantering.

Text: Finansinspektionen

Källa: Finansinspektionen

Kontanter viktig del av din krisberedskap

CET: 10.32

Om svenska banksystemet skulle drabbas av ett långvarigt tekniskt fel, en omfattande cyberattack eller påverkas av ett långvarigt strömavbrott blir uttagsautomaterna strömlösa. Då går det inte att ta ut kontanter. Vad värre är – det går inte heller att betala med kort. Därför bör varje vuxen ha cirka 2.000 kronor i kontanter i olika valörer och valutor. Större sedelvalörer är svårare att växla än mindre så därför bör man undvika 500- och 1000-lappar.

Sverige har kanske ett av världens mest sårbara betalningssystem. Orsaken är att vi varit mycket duktiga på att ersätta kontanter med digitala betalningar via kort, digitala kort och Swish. Men om något händer vårt högteknologiska betalsystem och problemlösningen drar ut på tiden då blir konsekvenserna för den enskilde allvarliga. Och allt tyder på att det bara är en tidsfråga innan vi drabbas av ett långvarigt stopp i betalsystemet. Vi lever sedan några år tillbaka i en värld med en lågintensiv daglig cyberkrigföring. Till detta kommer olika kriminella nätverk som ägnar sig åt ransomware-attacker och andra antagonistiska hot. Till detta kommer att själva operativsystemen som styr servrar och klienter i sig utgör ett allvarligt hot mot driftsäkerheten på grund av att de är bristfälligt utvecklade när de når marknaden. Ytterligare en faktor är att bankernas IT-system är föråldrade. Att utveckla moderna gränssnitt och ersätta de föråldrade systemen med nya anses vara alltför kostsamt, och i vissa fall nära nog omöjligt.

Och samhället behöver trots allt kontanter även om vi ofta tycks tro att de numera inte behövs. Att varje medborgare har en summa kontanter hemma ökar samhällets robusthet och gör oss mer uthålliga om avbrottet i banktjänsterna skulle bli långvarigt.

IMY inleder granskning av Klarna

CET: 22.26

Publicerad: 16 maj 2022Integritetsskyddsmyndigheten (IMY) har tagit emot ett antal klagomål från bland annat Tyskland och Finland mot Klarnas Checkout-tjänst och har nu därför inlett en tillsyn av bolaget.

IMY har tagit emot ett antal klagomål som rör Klarnas Checkout-tjänst. Klagomålen rör hur tjänsten hämtar och fyller i personuppgifter efter att köparen endast har fyllt i någon viss personuppgift. Vissa av klagomålen kommer från svenska användare medan andra klagomål kommer från användare i Tyskland och Finland.

– Dataskyddsförordningen, GDPR, stärker enskildas rättigheter. Bland annat har enskilda rätt att lämna in klagomål till sin nationella dataskyddsmyndighet. Sedan början av 2021 har IMY ett stort fokus på att utreda klagomål från enskilda, säger Ana Maria Orellana Zamorano, som deltar i granskningen av Klarna.

IMY ställer frågor till Klarna om sammanlagt tolv klagomål för att utreda om behandlingen av personuppgifter i samband med autoifyllnad av personuppgifter i Checkout-tjänsten är förenlig med bestämmelserna i dataskyddsförordningen. 

Text: IMY

Källa: IMY

GDPR-direktivet ger ingen absolut rätt till insamlade personuppgifter

Vi har nu levt med GDPR-direktivet i några år och under tiden har vi även fått en nygammal myndighet med ett bredare och tyngre uppdrag än tidigare, Integritetsmyndigheten (IMY). Denna myndighet har också fått kraftfulla sanktionsverktyg som har skrämt slag på många personuppgiftsansvariga.

Att GDPR ligger högt på företagens och myndigheters agenda märks tydligt i de anmälda personuppgiftsincidenter som varje vecka strömmar in till IMY. Lagen är tydlig med att blotta misstanken om att en personuppgiftsläcka kan ha inträffat måste anmälas till myndigheten.

Även hos allmänheten finns en stor medvetenhet om GDPR-lagen. Men har inte koll på när personuppgiftslagen och GDPR är tillämpliga. Många missförstår vad GDPR-direktivet innebär när det kommer till att få ut insamlade personuppgifter från t ex en arbetsgivare. En ganska stor del av de anmälningar som kommer till IMY är rena okynnesanmälningar som helt saknar grund.

En av de vanligare anmälningarna till IMY är när anställda eller uppdragstagare anmäler sin arbetsgivare eller uppdragsgivare för att de lagrar vissa typer av uppgifter.

Vilka uppgifter om dig får en arbetsgivare eller uppdragsgivare registrera?

Arbetsgivare och uppdragsgivare har ett legitimt behov av att registrera vissa personuppgifter om dig. Enligt lagen ska insamling av personuppgifter vara sakligt grundad i den egna verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för. Vilket behov arbetsgivaren har av uppgifterna och vad de ska användas till måste alltså vara klart redan vid insamlingen. Det innebär att uppgifter aldrig får samlas in slentrianmässigt, för att de kan vara ”bra att ha”, eller omfatta fler personuppgifter än vad som faktiskt behövs.

Uppgifter om hälsa är en så kallad känslig personuppgift som har ett särskild skydd enligt dataskyddsförordningen. Uppgifter om t ex vaccination är en uppgift om hälsa. Utgångspunkten är att behandling av sådana personuppgifter är förbjuden. Det krävs särskilda skäl för sådan personuppgiftsbehandling. Det kan vara krav enligt lagstiftning, kollektivavtal eller motsvarande. Om sådana särskilda skyldigheter i arbetsgivarens verksamhet saknas är det inte tillåtet att registrera uppgifter om hälsa. Arbetsgivaren måste då finna ett annat stöd för sin behandling av känsliga personuppgifter.

Vilka uppgifter kan begäras ut?

Vilka uppgifter du kan få ut regleras i artikel 57.1 f i i Dataskyddsförordningen (GDPR). Det finns också en prejudicerande dom från Kammarrätten i Göteborg den 17 september 2019 med målnummer 1677-19. Innan du gör en anmälan till IMY kan det vara bra att först läsa på dataskyddsförordningen och läsa domen från Kammarrätten. Du kan också besöka IMY:s hemsida där man besvarar vanliga frågor eller ringa myndigheten.

En arbetsgivare eller uppdragsgivare är skyldiga att lämna ut en begriplig sammanställning av de register där dina personuppgifter förekommer. Den personuppgiftsansvariga ska också kunna ange för vilka ändamål uppgifterna samlats in. Om du anser att någon uppgift är felaktig kan du begära att uppgiften rättas. Du har alltså ingen självständig eller absolut rättighet att få kopior eller skärmbilder ur varje register där dina personuppgifter finns. Personuppgiftsansvariga kan välja att maska vissa uppgifter om det finns särskilda skäl. Personuppgiftsansvariga måste ha stöd i dataskyddsförordningen för att kunna göra det. Det kan t ex vara att de inverkar menligt på andras rättigheter och friheter (artikel 15.4). Det kan finnas vissa undantag i nationell lagstiftning som medger att undantag kan göras från kopian om personuppgifter (se lag 2018:18) med kompletterande bestämmelser i till EU:s dataskyddsförordning 5 kap, §§1-2. Det medför att personuppgiftsansvariga kan ta bort viss information (maska) innan uppgifterna lämnas ut till den registrerade.