FI förordnar revisor efter it-incident i Swedbank

CET: 10.38

Finansinspektionen (FI) utser en revisor för att kartlägga den it-incident som inträffade hos Swedbank natten mellan 28 och 29 april och som medförde felaktiga saldon på kunders konton.

Förordnandet sker med stöd av 13 kap. 9 § lagen (2004:297) om bank- och finansieringsrörelse. Den förordnade revisorn har i uppdrag att kartlägga händelseförloppet som ledde fram till incidenten, hur incidenten hanterades och åtgärdades samt bankens kontroller och beredskap.

Revisorn kommer att dokumentera sina iakttagelser i en rapport till FI. FI beslutar därefter om vidare hantering.

Text: Finansinspektionen

Källa: Finansinspektionen

Kontanter viktig del av din krisberedskap

CET: 10.32

Om svenska banksystemet skulle drabbas av ett långvarigt tekniskt fel, en omfattande cyberattack eller påverkas av ett långvarigt strömavbrott blir uttagsautomaterna strömlösa. Då går det inte att ta ut kontanter. Vad värre är – det går inte heller att betala med kort. Därför bör varje vuxen ha cirka 2.000 kronor i kontanter i olika valörer och valutor. Större sedelvalörer är svårare att växla än mindre så därför bör man undvika 500- och 1000-lappar.

Sverige har kanske ett av världens mest sårbara betalningssystem. Orsaken är att vi varit mycket duktiga på att ersätta kontanter med digitala betalningar via kort, digitala kort och Swish. Men om något händer vårt högteknologiska betalsystem och problemlösningen drar ut på tiden då blir konsekvenserna för den enskilde allvarliga. Och allt tyder på att det bara är en tidsfråga innan vi drabbas av ett långvarigt stopp i betalsystemet. Vi lever sedan några år tillbaka i en värld med en lågintensiv daglig cyberkrigföring. Till detta kommer olika kriminella nätverk som ägnar sig åt ransomware-attacker och andra antagonistiska hot. Till detta kommer att själva operativsystemen som styr servrar och klienter i sig utgör ett allvarligt hot mot driftsäkerheten på grund av att de är bristfälligt utvecklade när de når marknaden. Ytterligare en faktor är att bankernas IT-system är föråldrade. Att utveckla moderna gränssnitt och ersätta de föråldrade systemen med nya anses vara alltför kostsamt, och i vissa fall nära nog omöjligt.

Och samhället behöver trots allt kontanter även om vi ofta tycks tro att de numera inte behövs. Att varje medborgare har en summa kontanter hemma ökar samhällets robusthet och gör oss mer uthålliga om avbrottet i banktjänsterna skulle bli långvarigt.

GDPR-direktivet ger ingen absolut rätt till insamlade personuppgifter

Vi har nu levt med GDPR-direktivet i några år och under tiden har vi även fått en nygammal myndighet med ett bredare och tyngre uppdrag än tidigare, Integritetsmyndigheten (IMY). Denna myndighet har också fått kraftfulla sanktionsverktyg som har skrämt slag på många personuppgiftsansvariga.

Att GDPR ligger högt på företagens och myndigheters agenda märks tydligt i de anmälda personuppgiftsincidenter som varje vecka strömmar in till IMY. Lagen är tydlig med att blotta misstanken om att en personuppgiftsläcka kan ha inträffat måste anmälas till myndigheten.

Även hos allmänheten finns en stor medvetenhet om GDPR-lagen. Men har inte koll på när personuppgiftslagen och GDPR är tillämpliga. Många missförstår vad GDPR-direktivet innebär när det kommer till att få ut insamlade personuppgifter från t ex en arbetsgivare. En ganska stor del av de anmälningar som kommer till IMY är rena okynnesanmälningar som helt saknar grund.

En av de vanligare anmälningarna till IMY är när anställda eller uppdragstagare anmäler sin arbetsgivare eller uppdragsgivare för att de lagrar vissa typer av uppgifter.

Vilka uppgifter om dig får en arbetsgivare eller uppdragsgivare registrera?

Arbetsgivare och uppdragsgivare har ett legitimt behov av att registrera vissa personuppgifter om dig. Enligt lagen ska insamling av personuppgifter vara sakligt grundad i den egna verksamheten och nödvändig i förhållande till syftet som uppgifterna samlades in för. Vilket behov arbetsgivaren har av uppgifterna och vad de ska användas till måste alltså vara klart redan vid insamlingen. Det innebär att uppgifter aldrig får samlas in slentrianmässigt, för att de kan vara ”bra att ha”, eller omfatta fler personuppgifter än vad som faktiskt behövs.

Uppgifter om hälsa är en så kallad känslig personuppgift som har ett särskild skydd enligt dataskyddsförordningen. Uppgifter om t ex vaccination är en uppgift om hälsa. Utgångspunkten är att behandling av sådana personuppgifter är förbjuden. Det krävs särskilda skäl för sådan personuppgiftsbehandling. Det kan vara krav enligt lagstiftning, kollektivavtal eller motsvarande. Om sådana särskilda skyldigheter i arbetsgivarens verksamhet saknas är det inte tillåtet att registrera uppgifter om hälsa. Arbetsgivaren måste då finna ett annat stöd för sin behandling av känsliga personuppgifter.

Vilka uppgifter kan begäras ut?

Vilka uppgifter du kan få ut regleras i artikel 57.1 f i i Dataskyddsförordningen (GDPR). Det finns också en prejudicerande dom från Kammarrätten i Göteborg den 17 september 2019 med målnummer 1677-19. Innan du gör en anmälan till IMY kan det vara bra att först läsa på dataskyddsförordningen och läsa domen från Kammarrätten. Du kan också besöka IMY:s hemsida där man besvarar vanliga frågor eller ringa myndigheten.

En arbetsgivare eller uppdragsgivare är skyldiga att lämna ut en begriplig sammanställning av de register där dina personuppgifter förekommer. Den personuppgiftsansvariga ska också kunna ange för vilka ändamål uppgifterna samlats in. Om du anser att någon uppgift är felaktig kan du begära att uppgiften rättas. Du har alltså ingen självständig eller absolut rättighet att få kopior eller skärmbilder ur varje register där dina personuppgifter finns. Personuppgiftsansvariga kan välja att maska vissa uppgifter om det finns särskilda skäl. Personuppgiftsansvariga måste ha stöd i dataskyddsförordningen för att kunna göra det. Det kan t ex vara att de inverkar menligt på andras rättigheter och friheter (artikel 15.4). Det kan finnas vissa undantag i nationell lagstiftning som medger att undantag kan göras från kopian om personuppgifter (se lag 2018:18) med kompletterande bestämmelser i till EU:s dataskyddsförordning 5 kap, §§1-2. Det medför att personuppgiftsansvariga kan ta bort viss information (maska) innan uppgifterna lämnas ut till den registrerade.

Omvärldsläget ökar risken för cyberangrepp – så skyddar du din verksamhet mot informationsläckor

CET – 19.11 – Uppdaterad 2022-07-16, kl 00.04

Foto: RAPS News

Omvärldsläget efter Rysslands invasion av Ukraina ökar risken för olika typer av cyberangrepp och spionage. Alla, både individer och verksamheter, måste skärpa uppmärksamheten och förbättra säkerhetstänkandet. Vad ska man då tänka på när det gäller att skydda sitt privata nät eller organisationens IT-nätverk. Vi kan inte täcka in alla områden och tänkbara situationer. Nedan ger vi exempel på områden som där man behöver vara uppmärksam och vidta lämpliga skyddsåtgärder.

  • Skaffa en översikt genom att inventera den utrustning du använder hemma eller som ni som organisation har i verksamheten. Gör en lista över utrustningen och vad den används till.
  • Inventera skyddsvärd information. Skyddsvärd eller åtråvärd information är sådan information som ligger på en fysisk enhet eller i molnet. Det är information som inte får komma i orätta händer. Det kan vara dokument med dina eller andras personuppgifter, känslig information om hälsa, ekonomi eller annat som du vill hålla privat. Det kan också vara USB-minnen, hårddiskar och olika typer av minneskort. Du ska givetvis alltid skydda Bank-ID och dina ID-handlingar om du har något sådant digitalt lagrad på din enhet.
  • Uppdatera REGELBUNDET din enheter (mobiltelefon, surfplattor, datorer, router, hubbar, switchar m m. Det är viktigt att alla enheter som är kopplade till nätet har de senaste patcharna och säkerhetsuppdateringarna. För företag och organisationer är det viktigt att arbeta med daglig (ibland med minutoperativ) omvärldsbevakning.
  • Svårforcerade lösenord är en viktig del av ditt digitala skydd. Det som behöver skyddas är alla enheter som använder sig av lösord. Så t ex ska mobiler, datorer, surfplattor, routrar och hubbar ha lösenord som är svåra att forcera. Ett bra lösenord innehåller inte bara siffror eller bokstäver. Många använder lösenordsbanker där man sparar sina lösenord för att komma ihåg dem.
  • Lås enheten. Mobiler, datorer och surfplattor har digitala kodlås. Dagens mobiler har också en funktion som låser enheten efter t ex 30 sekunder. Denna funktion ska alltid användas. Dessutom ska du alltid låsa din enhet när du inte är i närheten av den. Oftast har man möjligheter att lägga in mellan 4-8 siffror långt lösenord. Ett kodlås på som är sex siffror långt ger mycket hög säkerhet. Har enheten biometrisk fingeravtrycksläsare kan man på många enheter ställa in den så att man både måste ange sifferkoden och läsa av fingeravtrycket. Vi avråder från att man använder ansiktsigenkänning på någon enhet eftersom det är lättare att manipulera en sådan enhet än en motsvarande med fingeravläsare.
  • Digitala enheter är värdehandlingar. Digitala enheter som mobiler, surfplattor och datorer ska betraktas som värdehandlingar. Du ska aldrig lägga ifrån dig din enhet utan uppsikt när du är utanför hemmet. Innan du gör dig av med enhet skall du radera allt innehåll på enheten. Det gör du genom att göra en fabriksåterställning.
  • Visa inte din skärm för obehöriga. Det är vanligt att man pluggar eller arbetar med sin dator eller annan enhet i offentliga miljöer t ex caféer, i launcher, på tåget eller på coworking-kontor. Därför är det viktigt att tänka på vad man visar på sin skärm så att det inte är något som är känsligt eller hemligt.
  • Tänk på vad du pratar om , var du gör det och när. Samtal i offentliga miljöer som rör affärshemligheter eller annan känslig eller hemlig information får inte förekoma över huvud taget. Platser som man ska vara extra försiktig med är taxi, buss, tåg, flyg och serveringsställen. Som anställd omfattas du bl a lojalitetsplikt mot din arbetsgivare. Att avslöja affärshemligheter t ex om kunder eller leverantör kan utgöra ett brott mot ditt anställningsavtal och kan därmed ligga till grund för arbetsrättsliga åtgärder. Om du är offentliganställd kan du omfattas av lagar och förordningar som gör att du inte får prata om vissa saker på offentliga platser eller med obehöriga. Arbetar du t ex på ett börsnoterat företag får du inte yppa icke publicerad kurspåverkande information var som helst eller till vem som helst.
  • Bilar är en vanlig plats där man pratar hemligheter. I många nya bilar finns inbyggda mikrofoner med automatiska uppringningsanordningar till nödnummer om bilen råkar ut för en olycka. Dessa kan mycket enkelt manipuleras och det är möjligt att avlyssna samtalet. I synnerhet ska man vara försiktig med hyrbilar, taxibilar eller bilar som man inte själva har kontroll över t ex i bilpooler och liknande.
  • Hemliga eller känsliga dokument. Hemliga eller känsliga dokument ska alltid hanteras med stor försiktighet. Beroende på vad du arbetar med, om du är privatanställd eller offentliganställd, gäller olika lagstiftningar och förordningar. Vissa handlingar får över huvud taget inte tas med hem. Det kan gälla handlingar som rör rikets säkerhet. Att ändå ta med dem hem kan vara brottsligt. Vissa dokument eller viss information får man över huvud taget inte skicka över mejl eller meddelandetjänster som Whatsapp, Telegram eller Signal.
  • Stäng av Siri och liknande röststyrningsprogram. Det finns olika röststyrningsprogram med vilka man kan styra elektronik i bostaden eller på kontoret. Vi vill allvarligt varna för denna typ av program eftersom de kan användas i avlyssningssyfte. En bedömning får göras från fall till fall men dessa funktioner utgör en allvarlig informationssäkerhetsrisk.
  • Dela inte platsinformation. Nyckelpersoner och dess familjemedlemmar ska inte dela platsinformation via sina mobiltelefoner eller andra enheter. Det är sådan åtråvärd information som angripare antingen kan köpa eller hacka sig till via apputvecklare.
  • Startup:r och snabbväxande bolag. Vi vill särskilt lyfta fram den risk som starup:r och snabbväxande bolag med riskkapitalbolag som huvudägare. Dessa bolag är inriktade på att växa snabbt. Man hinner helt enkelt inte med att skala upp skyddet för verksamheten i den takt som man växer vilket kan öppna upp för sårbarheter och försök att komma åt åtråvärd information. I bolag som har en uttalad affärsstrategi att växa genom att köpa upp företag är riskerna mer komplexa.

Tekniska problem släckte MSB:s hemsida

CET – 10.56 – Uppdaterad 17.08

Foto: MSB

Tekniska problem släckte natten mot torsdagen MSB:s hemsida. Orsaken till de tekniska problemen är i nuläget inte känd. Vid 09.30-tiden fungerade hemsidan återigen.

Det finns flera olika kanaler som MSB (Myndigheten för Samhällsskydd och Beredskap) kan använda för att nå ut med samhällsviktig information till allmänheten. Som exempel kan nämnas Twitter, Instagram och Facebook. Under tiden som hemsidan låg nere använde MSB den myndighetsgemensamma sidan Krisinformation.se . Även SVT, TV4 och Sveriges Radio gav information om var man kunde hitta viktig information.

Kvinna greps vid statsministerns privata bostad – saknade uppehållstillstånd

Foto: RAPS News

En kvinna som av misstag råkade utlösa inbrottslarmet i statsministerns privata bostad greps före jul av polis sedan den efterföljande kontrollen visade att hon var efterlyst i ett utlämningsärende, något som Expressen som var först med berätta.

Utvisningsbeslut

Kvinnan misstänks inte för något brott i samband med händelsen men uppges tidigare ha varit dömd för ett mindre allvarligt brott. Kvinnan som är från Nicaragua väntar nu på att utvisas ur landet. Hon uppgav att hon var anställd hos en underleverantör till det städbolag som fram tills nyligen hade uppdraget att utföra städning i statsministerns privata bostad i Nacka. För arbetsgivare kan vara det ett brott att anställa någon som inte har arbets- och / eller uppehållstillstånd i Sverige.

Privat arrangemang

Statsministern var vid tiden för händelsen inte hemma sin privata bostad. Som statsminister bor hon och hennes familj i residenset Sagerska palatset i Diplomatstaden i centrala Stockholm. Det har hittills inte framkommit andra uppgifter än att det anlitandet av städfirman var ett privat arrangemang. Det var alltså inget som upphandlats av Regeringskansliet eller någon central myndighet. Det kan också förklara varför ingen säkerhetskontroll gjordes av personalen vilket har möjliggjort för städbolaget att leja ut städningen till en annan firma.

Allvarlig säkerhetsbrist

Det som gör att händelsen allvarlig är att det väcker frågor kring säkerheten runt statsministern och andra personer i statsledningen. Att en efterlyst person kan komma så pass nära statsministern och dennes familj är bekymmersamt på flera sätt inte minst ur informationssäkerhetssynpunkt. Åtminstone teoretiskt skulle det kunna finnas hemliga handlingar i bostaden. Det bör rimligen också vara så att det fanns datorer, routrar och annan IT-utrustning som det är fullt möjligt att penetrera med skadlig programvara för att kunna genomföra intrång eller rent av attacker mot en enskild dator eller datorer uppkopplade mot Regeringskansliets IT-system eller myndighetsgemensamma system. Till detta kommer också risken för att någon skulle kunna plantera avlyssningsutrustning.

Uppdatering den 9 januari kl 15.17

Enligt uppgifter i bl a SVT Nyheter bodde statsministern i sin privata bostad fram till tre dagar före det att den efterlysta kvinnan besökte hennes hem för att städa.

Decentraliseringen av IT-drift och långtgående digitalisering ett säkerhetshot

Sedan i fredags har Coop kämpat mot klockan för att öppna upp varuhusen runt om i landet sedan en av kedjans underleverantörer drabbats av en IT-attack i form av en digital utpressning till ett belopp om 600 miljoner svenska kronor.

Igår kväll kom rapporter om att ytterligare rikstäckande kedjor drabbats av problem identiska med de som Coop och Apoteket Hjärtat haft med sina betalsystem.

Varför händer detta nu? Det finns inget enkelt svar på det. Vissa länder drabbas hårdare än andra. Till dessa hör Sverige vars storföretag under minst ett decennium drivit en mycket hård decentralisering av IT-driften samtidigt som vi digitaliserat betalningssystemet i en omfattning som få andra länder gjort. De flesta svenskar har inte mer än ett par 500-lappar hemma, i bästa fall. När de digitala betalsystemen slås ut som i Coops fall då tvingas butikerna stänga eftersom de inte kan ta betalt.

Decentralisering och outsourcing

Sedan åtminstone slutet på 00-talet har mycket av den dagliga IT-driften decentraliserats och outsourcats i många storföretag. Man har inte sett IT som en strategisk och verksamhetskritisk funktion utan som en tjänst man köper precis som man köper lokalvård eller kaffemaskiner på serviceavtal. En långgående decentralisering leder till att bolagen hamnar i händerna på leverantörerna, som ofta är de stora IT-konsulterna. De har med åren fått alltmer inflytande över strategiska och verksamhetskritiska beslut hos kunderna som t ex nivån på cyber- och informationssäkerhet och IT-säkerhet. Även om leverantörerna genomför olika kontroller av sina anställda man ändå utlämnad till strategiska partner. De företag som däremot satsat på IT-drift inhouse har istället stärkt kontrollen, behållt och vidareutvecklat kompetensen.

Cyber- och informationssäkerhet ett ledningsansvar

Enligt aktiebolagslagen är säkerhetsfrågorna oavsett var de rent organisatoriskt eller linjemässigt finns i verksamheten företagsledningens ansvar. Ytterst är det en fråga för både VD och styrelsen. Styrelsen måste vara sammansatt så att man kan uppdraga åt VD att prioritera cyber- och informationssäkerhetsarbetet som en verksamhetskritisk funktion. Dessa områden ska ha samma höga prioritet som det övriga säkerhetsarbetet i bolaget.

Naturligtvis måste man alltid väga kostnaden för en åtgärd mot risk. En risk behöver också ställas mot konsekvenserna om det värsta inträffar. En oacceptabel konsekvens av en risk får aldrig accepteras utan åtgärd. Sen kan åtgärderna se olika ut. Men företagsledning kan komma undan med att påstå att det som hände Coop är en extraordinär händelse. I en lång rad rapporter har såväl MSB (Myndigheten för Samhällsskydd och Beredskap) och olika branschorgan varnat bolagen för konsekvenserna av den långtgående decentraliseringen och outsourcingen av drift och andra nyckelfunktioner.

Ansvaret för det som hänt är företagsledningens, ytterst VD och styrelse. Aktieägarna ska kräva av ledningen att de förstår sin egen verksamhet när det kommer till att kartlägga och skydda företagets informationstillgångar. För i slutändan handlar det om veta vad som är skyddsvärt och sedan göra allt för att dessa skyddas. I detta ligger hela bolagsvärdet. Driver man en verksamhet där IT-driften är en del av affären då måste man självklart ha stenkoll på hela leverantörskedjan vilket innefattar leverantörens underleverantörer. IT-avdelningen måste förstå samtliga beroenden och hur de vid en attack påverkar verksamhetens affär. För kan man inte sälja därför att betalsystemet har blockerat av en attack då har man inga intäkter. Och utan intäkter kan man inte betala leverantörer, löner eller lokalhyror. Den här typen av händelser slår dessutom mot bolagets likviditet som bolagets Goodwill.

Omfattande cyberattack stänger Coop-varuhus

Coop Sverige drabbades på fredagseftermiddagen av en omfattande cyberattack som riktades mot en underleverantör av varuhuskedjans kassa- och betalsystem. Attacken har lett till att butikerna fått stänga eftersom man inte kan ta betalt av kunderna.

Efter att Coop under hela gårdagkvällen och natten arbetat med att få igång kassa- och betalsystemet igen tvingades man på lördagen meddela att samtliga butiker i Sverige med några undantag håller stängt idag. Det finns ingen prognos för när underleverantören och Coops IT-avdelning lyckats återställa systemet till stabil drift igen.

Flera butikskedjor drabbade

Även Bauhaus och Apoteket Hjärtat tillhör de butikskedjor som drabbats eftersom de använder samma leverantör av kassa- och betalsystem. Enligt flera experter handlar det om att riktad cyberattack där inslag av utpressning kan förekomma. Samtliga butikskedjor uppger att man arbetar för fullt med att få IT-systemen att bli stabila igen så att man kan återgå till normal drift.

Låg beredskap för cyberattacker

Svenska företag och myndigheter har generellt otillräcklig beredskap för cyberattacker. Det är något som Myndigheten för Samhällsskydd och Beredskap (MSB) konstaterat i en rad rapporter de senaste åren.

En orsak är att många företag och myndigheter har decentraliserat sina IT-avdelningar och lagt ut verksamhetskritiska IT-drift och IT-funktioner på underleverantörer. Så fort man lägger IT-driften och därmed vissa funktioner på en underleverantör tappar man helheten. Men tappar inte bara kontrollen utan får också en avsevärt längre startsträcka vid attacker mot infrastruktur och drift.

Cyberattack slog ut taxi i hela Norden

Alkolåset AL-100 (Foto: Dignita)

Natten mot fredagen slogs stora delar av Göteborgs Taxi ut när alkolåsen i bilarna slutade fungera. Problemet drabbade omkring 300 av bolagets bilar fick till följd att bilarna stod stilla.

Under dagen stod det klart att det handlade om en misstänkt cyberattack mot tillverkaren Dignita och deras alkolås AL-100. Enligt företaget handlar det om en global datummanipulation som drabbade kunder i hela Norden.

Vid middagstid hade tillverkaren en lösning på problemet och taxibilar och andra fordon i yrkestrafik kunde rulla in till servicedepåerna runt om i landet för åtgärd. Eftersom ett mycket stort antal fordon och företag drabbades tog det flera timmar innan bilarna åter var i trafik.

En del utryckningsfordon är också utrustade med AL-100 men det var oklart vilka konsekvenser händelsen fick för utryckningsverksamheten eller om incidenter kopplade till cyberattacken inträffat.

Vid lunchtid på fredagen meddelade Taxi Göteborg att leverantören hade hittat en lösning och att samtliga bilar efter besök på serviceverkstad skulle vara i trafik igen.

Länk till Taxi Göteborg

Länk till Dignita

Manipulerat alkolås stoppade 300 av Taxi Göteborgs bilar (Sveriges Radio P4 Göteborg)

Hundratals taxibilar kunder inte köras – fel på alkolås (SVT Väst)

Global cyberattack slog ur yrkestrafik med alkolås – (GöteborgsPosten)

Akut tekniskt fel på alkolåset hindrar Göteborgs taxibilar att rulla

Fakta – så här fungerar ett alkolås