Omvärldsläget ökar risken för cyberangrepp – så skyddar du din verksamhet mot informationsläckor

CET – 19.11 – Uppdaterad 2022-07-16, kl 00.04

Foto: RAPS News

Omvärldsläget efter Rysslands invasion av Ukraina ökar risken för olika typer av cyberangrepp och spionage. Alla, både individer och verksamheter, måste skärpa uppmärksamheten och förbättra säkerhetstänkandet. Vad ska man då tänka på när det gäller att skydda sitt privata nät eller organisationens IT-nätverk. Vi kan inte täcka in alla områden och tänkbara situationer. Nedan ger vi exempel på områden som där man behöver vara uppmärksam och vidta lämpliga skyddsåtgärder.

  • Skaffa en översikt genom att inventera den utrustning du använder hemma eller som ni som organisation har i verksamheten. Gör en lista över utrustningen och vad den används till.
  • Inventera skyddsvärd information. Skyddsvärd eller åtråvärd information är sådan information som ligger på en fysisk enhet eller i molnet. Det är information som inte får komma i orätta händer. Det kan vara dokument med dina eller andras personuppgifter, känslig information om hälsa, ekonomi eller annat som du vill hålla privat. Det kan också vara USB-minnen, hårddiskar och olika typer av minneskort. Du ska givetvis alltid skydda Bank-ID och dina ID-handlingar om du har något sådant digitalt lagrad på din enhet.
  • Uppdatera REGELBUNDET din enheter (mobiltelefon, surfplattor, datorer, router, hubbar, switchar m m. Det är viktigt att alla enheter som är kopplade till nätet har de senaste patcharna och säkerhetsuppdateringarna. För företag och organisationer är det viktigt att arbeta med daglig (ibland med minutoperativ) omvärldsbevakning.
  • Svårforcerade lösenord är en viktig del av ditt digitala skydd. Det som behöver skyddas är alla enheter som använder sig av lösord. Så t ex ska mobiler, datorer, surfplattor, routrar och hubbar ha lösenord som är svåra att forcera. Ett bra lösenord innehåller inte bara siffror eller bokstäver. Många använder lösenordsbanker där man sparar sina lösenord för att komma ihåg dem.
  • Lås enheten. Mobiler, datorer och surfplattor har digitala kodlås. Dagens mobiler har också en funktion som låser enheten efter t ex 30 sekunder. Denna funktion ska alltid användas. Dessutom ska du alltid låsa din enhet när du inte är i närheten av den. Oftast har man möjligheter att lägga in mellan 4-8 siffror långt lösenord. Ett kodlås på som är sex siffror långt ger mycket hög säkerhet. Har enheten biometrisk fingeravtrycksläsare kan man på många enheter ställa in den så att man både måste ange sifferkoden och läsa av fingeravtrycket. Vi avråder från att man använder ansiktsigenkänning på någon enhet eftersom det är lättare att manipulera en sådan enhet än en motsvarande med fingeravläsare.
  • Digitala enheter är värdehandlingar. Digitala enheter som mobiler, surfplattor och datorer ska betraktas som värdehandlingar. Du ska aldrig lägga ifrån dig din enhet utan uppsikt när du är utanför hemmet. Innan du gör dig av med enhet skall du radera allt innehåll på enheten. Det gör du genom att göra en fabriksåterställning.
  • Visa inte din skärm för obehöriga. Det är vanligt att man pluggar eller arbetar med sin dator eller annan enhet i offentliga miljöer t ex caféer, i launcher, på tåget eller på coworking-kontor. Därför är det viktigt att tänka på vad man visar på sin skärm så att det inte är något som är känsligt eller hemligt.
  • Tänk på vad du pratar om , var du gör det och när. Samtal i offentliga miljöer som rör affärshemligheter eller annan känslig eller hemlig information får inte förekoma över huvud taget. Platser som man ska vara extra försiktig med är taxi, buss, tåg, flyg och serveringsställen. Som anställd omfattas du bl a lojalitetsplikt mot din arbetsgivare. Att avslöja affärshemligheter t ex om kunder eller leverantör kan utgöra ett brott mot ditt anställningsavtal och kan därmed ligga till grund för arbetsrättsliga åtgärder. Om du är offentliganställd kan du omfattas av lagar och förordningar som gör att du inte får prata om vissa saker på offentliga platser eller med obehöriga. Arbetar du t ex på ett börsnoterat företag får du inte yppa icke publicerad kurspåverkande information var som helst eller till vem som helst.
  • Bilar är en vanlig plats där man pratar hemligheter. I många nya bilar finns inbyggda mikrofoner med automatiska uppringningsanordningar till nödnummer om bilen råkar ut för en olycka. Dessa kan mycket enkelt manipuleras och det är möjligt att avlyssna samtalet. I synnerhet ska man vara försiktig med hyrbilar, taxibilar eller bilar som man inte själva har kontroll över t ex i bilpooler och liknande.
  • Hemliga eller känsliga dokument. Hemliga eller känsliga dokument ska alltid hanteras med stor försiktighet. Beroende på vad du arbetar med, om du är privatanställd eller offentliganställd, gäller olika lagstiftningar och förordningar. Vissa handlingar får över huvud taget inte tas med hem. Det kan gälla handlingar som rör rikets säkerhet. Att ändå ta med dem hem kan vara brottsligt. Vissa dokument eller viss information får man över huvud taget inte skicka över mejl eller meddelandetjänster som Whatsapp, Telegram eller Signal.
  • Stäng av Siri och liknande röststyrningsprogram. Det finns olika röststyrningsprogram med vilka man kan styra elektronik i bostaden eller på kontoret. Vi vill allvarligt varna för denna typ av program eftersom de kan användas i avlyssningssyfte. En bedömning får göras från fall till fall men dessa funktioner utgör en allvarlig informationssäkerhetsrisk.
  • Dela inte platsinformation. Nyckelpersoner och dess familjemedlemmar ska inte dela platsinformation via sina mobiltelefoner eller andra enheter. Det är sådan åtråvärd information som angripare antingen kan köpa eller hacka sig till via apputvecklare.
  • Startup:r och snabbväxande bolag. Vi vill särskilt lyfta fram den risk som starup:r och snabbväxande bolag med riskkapitalbolag som huvudägare. Dessa bolag är inriktade på att växa snabbt. Man hinner helt enkelt inte med att skala upp skyddet för verksamheten i den takt som man växer vilket kan öppna upp för sårbarheter och försök att komma åt åtråvärd information. I bolag som har en uttalad affärsstrategi att växa genom att köpa upp företag är riskerna mer komplexa.

Statsministern kallar till pressträff – väntas slopa alla pandemirestriktioner

CET 07.31

Statsminister Magdalenar Andersson kallar till pressträff klockan 08.15, där hon tillsammans med Folkhälsomyndighetens generaldirektör, Karin Tegmark Wisell, väntas meddela att pandemirestriktionerna upphör.

Pandemirestriktionerna infördes till 11 mars 2020 sedan COV-SARS-viruset covid-19 utvecklat sig till en global pandemi.

Drönare flög olovligt (UAS) över svenska kärnkraftverk

CET 11.42

Flera drönare flög under fredagskvällen över svenska kärnkraftverk. Det ledde till en febril polisiär aktivitet vid samtliga kärnkraftverk. Vid Forsmark kunde besättningen i polishelikoptern visuellt se och följa drönaren som är av större modell. Efter en stund tappade man bort den.

Händelserna är troligen samordnade men vem som utfört de olagliga flygningarna med UAS-enheter är än så länge oklart.

Polisen har i samtliga fall upprättat en anmälan om brott mot skyddslagen, luftfartslagen och lagen om förbud mot avbildande av skyddsobjekt. Man har samordnat utredningen av brotten på nationell nivå.

Skärpta restriktioner och rekommendationer den 12 januari

CET 11.03 – Uppdaterad CET 20.00

Vid regeringens pressträff där Socialstyrelsen och Folkhälsomyndigheten medverkade meddelade statsminister Magdalena Andersson att det kommer att införas nya restriktioner den 14 januari. Vissa förordningsändringar kommer införas senare.

Det allmänna budskapet från regeringen, Socialstyrelsen och FoHM är: Vaccinera er så snart ni erbjuds möjlighet att göra det! Om du inte fått spruta 1 och 2 – vaccinera dig så fort som möjligt!

Från den 12 januari gäller bl a följande restriktioner (texten uppdateras löpande):

  • Alla som kan ska arbeta hemifrån.
  • Skärpt uppdrag till alla statliga myndigheter att se till att alla anställda kan arbeta hemifrån
  • Krogar och restauranger med alkoholtillstånd skall stänga senast klockan 23. Det införs också en begränsning om högst 8 personer per sällskap. Det är även krav på sittande sällskap.
  • Allmänt råd för vuxna att de ska begränsa sina nära kontakter inomhus.
  • Maxtak för alla allmänna sammankomster och offentliga tillställningar om max 50 personer
  • För alla allmänna sammankomster och offentliga tillställningar på mellan 50-500 personer ska det vara sittande publik, högst 8 personer per sällskap och minst en meters avstånd mellan sällskapen.
  • För universitet och högskola kan distansundervisning användas som verktyg. Både salstentor och föreläsningar ska ges vid fler tillfällen för att glesa ut.

Åtgärder som kräver förordningsändringar:

  • Deltagartak på 500 personer för allmänna sammankomster och tillställningar inomhus.
  • På mässor införs vaccinationsbevis om antalet deltagare överskrider 50 personer.
  • För antalet person vid privata sammankomster i lokaler för uthyrning, festlokaler och festbåtar sänks maxantalet från 50 till 20 sittande personer.
  • Förlängning av tidigare åtgärder för avrådan från deltagande i cuper och matcher.
  • Avrådan från längre resor med kollektivtrafik
  • FoHM betonar också vikten av att alla använder munskydd när många reser tillsammans.

Mer information från myndigheterna

Krisinformation.se

Pressmeddelande från regeringen

Pressmeddelande från Folkhälsomyndigheten

Pressmeddelande från Socialstyrelsen

Kvinna greps vid statsministerns privata bostad – saknade uppehållstillstånd

Foto: RAPS News

En kvinna som av misstag råkade utlösa inbrottslarmet i statsministerns privata bostad greps före jul av polis sedan den efterföljande kontrollen visade att hon var efterlyst i ett utlämningsärende, något som Expressen som var först med berätta.

Utvisningsbeslut

Kvinnan misstänks inte för något brott i samband med händelsen men uppges tidigare ha varit dömd för ett mindre allvarligt brott. Kvinnan som är från Nicaragua väntar nu på att utvisas ur landet. Hon uppgav att hon var anställd hos en underleverantör till det städbolag som fram tills nyligen hade uppdraget att utföra städning i statsministerns privata bostad i Nacka. För arbetsgivare kan vara det ett brott att anställa någon som inte har arbets- och / eller uppehållstillstånd i Sverige.

Privat arrangemang

Statsministern var vid tiden för händelsen inte hemma sin privata bostad. Som statsminister bor hon och hennes familj i residenset Sagerska palatset i Diplomatstaden i centrala Stockholm. Det har hittills inte framkommit andra uppgifter än att det anlitandet av städfirman var ett privat arrangemang. Det var alltså inget som upphandlats av Regeringskansliet eller någon central myndighet. Det kan också förklara varför ingen säkerhetskontroll gjordes av personalen vilket har möjliggjort för städbolaget att leja ut städningen till en annan firma.

Allvarlig säkerhetsbrist

Det som gör att händelsen allvarlig är att det väcker frågor kring säkerheten runt statsministern och andra personer i statsledningen. Att en efterlyst person kan komma så pass nära statsministern och dennes familj är bekymmersamt på flera sätt inte minst ur informationssäkerhetssynpunkt. Åtminstone teoretiskt skulle det kunna finnas hemliga handlingar i bostaden. Det bör rimligen också vara så att det fanns datorer, routrar och annan IT-utrustning som det är fullt möjligt att penetrera med skadlig programvara för att kunna genomföra intrång eller rent av attacker mot en enskild dator eller datorer uppkopplade mot Regeringskansliets IT-system eller myndighetsgemensamma system. Till detta kommer också risken för att någon skulle kunna plantera avlyssningsutrustning.

Uppdatering den 9 januari kl 15.17

Enligt uppgifter i bl a SVT Nyheter bodde statsministern i sin privata bostad fram till tre dagar före det att den efterlysta kvinnan besökte hennes hem för att städa.

Nya restriktioner införs den 23 december

Vid en pressträff på tisdagen presenterade regeringen och Folkhälsomyndigheten (FoHM) nya rekommendationer och restriktioner för att minska smittspridningen, och därmed belastningen på sjukvården. Bland annat rekommenderas alla som kan att arbeta hemifrån. Vid allmänna sammankomster och offentliga tillställningar inomhus med fler än 20 personer tillåts bara sittande gäster. Det påverkar till exempel nattklubbar, konserter och teatrar. 

Från och med den 23 december gäller följande:

  • Alla bör undvika miljöer med trängsel.
  • Alla bör arbeta hemifrån i den mån som arbetet tillåter.
  • För mässor, handelsplatser och platser för kultur och fritidsverksamheter ställs krav på 10 kvadratmeter per person.
  • Avrådan från cuper och läger inomhus som inte innebär yrkesmässig utövning. Däremot kan ordinarie aktiviteter med träningar, övningar, matcher, föreställning och tävlingar fortgå.
  • Smittskyddsåtgärder rekommenderas för utbildningar för vuxna, så att trängsel och stora samlingar undviks. Närundervisning är huvudregeln, men för universitet och högskolor kan undervisning på distans användas som ett verktyg för att glesa ut i undervisningslokalerna.
  • Bara sittande gäster tillåts på serveringsställen och en meters avstånd mellan olika sällskap krävs.
  • Vid allmänna sammankomster och offentliga tillställningar inomhus med fler än 20 personer tillåts bara sittande gäster, oavsett vaccinationsbevis. 
  • Utan vaccinationsbevis ställs även krav på avstånd mellan sällskapen, en maxstorlek på 8 personer inom sällskapen och ett maxantal på 500 gäster eller deltagare.
  • Vid tillställningar på fler än 500 gäster eller deltagare krävs vaccinationsbevis samt avstånd mellan sällskapen och en maxstorlek på 8 personer per sällskap.

Folkhälsomyndigheten vill även att regeringen ska fatta beslut om följande:

  • Maxtak på 50 personer vid uthyrning av platser för privata sammankomster.
  • Enbart sittande resenärer vid långväga kollektivtrafik.
  • Krav på negativt covidtest som är max 48 timmar gammalt för utländska medborgare som reser in i Sverige. Gäller från 12 års ålder.

Bakgrunden till de nya åtgärderna är bland annat den ökade smittsprdningen och belastningen på hälso- och sjukvården. 

Källa: Folkhälsomyndigheten (FoHM) / Krisinformation.se

Ändringar av avrådan från icke nödvändiga resor till alla länder

Utrikesdepartementet beslutar att från och med den 1 oktober 2021 häva den avrådan från icke nödvändiga resor till alla länder som infördes med anledning av covid-19-pandemin. Denna avrådan beslutades den 14 mars 2020 och har därefter förlängts vid flera tillfällen samt hävts för vissa länder. Från och med den 1 oktober 2021 upphör denna avrådan helt att gälla. 

I vissa länder och områden har Utrikesdepartementet beslutat om avrådan från resor av andra anledningar än covid-19. Dessa beslut gäller även efter den 1 oktober 2021 och till dess annat meddelas.

Detta innebär att den pandemirelaterade avrådan från icke nödvändiga resor för samtliga länder gäller fram till och med 30 september 2021, utom för de länder där avrådan hävts. Dessa är

Albanien, Andorra, Armenien, Australien, Azerbajdzjan, Belgien, Bosnien och Hercegovina, Brunei, Bulgarien, Cypern, Danmark, Estland, Finland, Frankrike, Förenade kungariket Storbritannien och Nordirland, Grekland, Irland, Island, Israel, Italien, Japan, Jordanien, Kanada, Kosovo, Kroatien, Lettland, Libanon, Liechtenstein, Litauen, Luxemburg, Malta, Moldavien, Monaco, Montenegro, Nederländerna, Nordmakedonien, Norge, Nya Zeeland, Polen, Portugal, Qatar, Rumänien, San Marino, Saudiarabien, Schweiz, Serbien, Singapore, Slovakien, Slovenien, Spanien, Sydkorea, Tjeckien, Tyskland, Ukraina, Ungern, USA, Vatikanstaten och Österrike, samt Hongkong, Macao och Taiwan.

Fler restriktioner lyfts den 29 september

Regeringen meddelade idag vid en pressträff att fler restriktioner än de tidigare beslutade skall tas bort den 29 september. Bland annat tas taket bort för allmänna sammankomster och offentliga tillställningar. Man går heller inte vidare med frågan om vaccinpass.

Folkhälsomyndighetens samlade bedömning är att det är möjligt att ta steg 4 i regeringens plan för avveckling av restriktionerna den 29 september 2021. Det innebär att flera av de restriktioner som har införts för att minska spridningen av sjukdomen covid-19 kan tas bort.

Regeringens avvecklingsplan för steg 4

  • Deltagartaken för allmänna sammankomster och offentliga tillställningar tas bort
  • Deltagartaken för privata sammankomster i t.ex. hyrda lokaler tas bort
  • De kvarvarande restriktioner som finns på serveringsställen, t.ex. storlek på sällskap och avstånd mellan sällskap tas bort
  • Folkhälsomyndighetens råd om att arbeta hemifrån tas bort och en successiv återgång till arbetsplatsen kan inledas. Den som har symtom bör fortsatt stanna hemma och testa sig, och arbetsgivare bör då underlätta för hemarbete.

Vaccinationsbevis för större allmänna sammankomster och offentliga tillställningar vid eventuella behov

I linje med regeringens plan för avveckling av restriktioner har Folkhälsomyndigheten dock tidigare fört fram att vissa särskilda regleringar möjligtvis kan behövas när det gäller mycket stora allmänna sammankomster och offentliga tillställningar även fortsättningsvis.

För att ha en beredskap kommer Socialdepartementet därför inom kort att remittera en promemoria med förslag om att vaccinationsbevis ska kunna användas vid dessa större allmänna sammankomster och offentliga tillställningar i steg 4.

Förslaget innebär att de eventuella deltagarbegränsningar som kan behövas för allmänna sammankomster och offentliga tillställningar med 15 000 deltagare eller fler inte ska gälla om systemet med vaccinationsbevis används. Det betyder att anordnaren inte ska vara skyldig att begränsa antalet deltagare i lokaler och avgränsade områden eller utrymmen som anordnaren disponerar om det finns restriktioner gällande detta. Undantag kommer att göras för barn under 16 år och för de personer som av medicinska skäl inte bör vaccinera sig.

Charlotte von Essen ny chef för SÄPO

Regeringen har utsett Charlotte von Essen till ny chef för Säkerhetspolisen (SÄPO). Hon är idag som biträdande chef för myndigheten och tillträder sitt förordnande den 1 oktober i år. Hon efterträder Claes Friberg, som lämnar som chef av privata skäl.

Charlotte Friberg var tidigare assessor i Kammarrätten, lagman vid Förvaltningsrätten i Uppsala för att sedan gå över till att arbeta på Justitiedepartementet som bl a rättschef.

Länkar

Regeringen utser Charlotte von Essen till ny generaldirektör och chef för Säkerhetspolisen – Regeringen.se

Pressmeddelande från Säkerhetspolisen –

Decentraliseringen av IT-drift och långtgående digitalisering ett säkerhetshot

Sedan i fredags har Coop kämpat mot klockan för att öppna upp varuhusen runt om i landet sedan en av kedjans underleverantörer drabbats av en IT-attack i form av en digital utpressning till ett belopp om 600 miljoner svenska kronor.

Igår kväll kom rapporter om att ytterligare rikstäckande kedjor drabbats av problem identiska med de som Coop och Apoteket Hjärtat haft med sina betalsystem.

Varför händer detta nu? Det finns inget enkelt svar på det. Vissa länder drabbas hårdare än andra. Till dessa hör Sverige vars storföretag under minst ett decennium drivit en mycket hård decentralisering av IT-driften samtidigt som vi digitaliserat betalningssystemet i en omfattning som få andra länder gjort. De flesta svenskar har inte mer än ett par 500-lappar hemma, i bästa fall. När de digitala betalsystemen slås ut som i Coops fall då tvingas butikerna stänga eftersom de inte kan ta betalt.

Decentralisering och outsourcing

Sedan åtminstone slutet på 00-talet har mycket av den dagliga IT-driften decentraliserats och outsourcats i många storföretag. Man har inte sett IT som en strategisk och verksamhetskritisk funktion utan som en tjänst man köper precis som man köper lokalvård eller kaffemaskiner på serviceavtal. En långgående decentralisering leder till att bolagen hamnar i händerna på leverantörerna, som ofta är de stora IT-konsulterna. De har med åren fått alltmer inflytande över strategiska och verksamhetskritiska beslut hos kunderna som t ex nivån på cyber- och informationssäkerhet och IT-säkerhet. Även om leverantörerna genomför olika kontroller av sina anställda man ändå utlämnad till strategiska partner. De företag som däremot satsat på IT-drift inhouse har istället stärkt kontrollen, behållt och vidareutvecklat kompetensen.

Cyber- och informationssäkerhet ett ledningsansvar

Enligt aktiebolagslagen är säkerhetsfrågorna oavsett var de rent organisatoriskt eller linjemässigt finns i verksamheten företagsledningens ansvar. Ytterst är det en fråga för både VD och styrelsen. Styrelsen måste vara sammansatt så att man kan uppdraga åt VD att prioritera cyber- och informationssäkerhetsarbetet som en verksamhetskritisk funktion. Dessa områden ska ha samma höga prioritet som det övriga säkerhetsarbetet i bolaget.

Naturligtvis måste man alltid väga kostnaden för en åtgärd mot risk. En risk behöver också ställas mot konsekvenserna om det värsta inträffar. En oacceptabel konsekvens av en risk får aldrig accepteras utan åtgärd. Sen kan åtgärderna se olika ut. Men företagsledning kan komma undan med att påstå att det som hände Coop är en extraordinär händelse. I en lång rad rapporter har såväl MSB (Myndigheten för Samhällsskydd och Beredskap) och olika branschorgan varnat bolagen för konsekvenserna av den långtgående decentraliseringen och outsourcingen av drift och andra nyckelfunktioner.

Ansvaret för det som hänt är företagsledningens, ytterst VD och styrelse. Aktieägarna ska kräva av ledningen att de förstår sin egen verksamhet när det kommer till att kartlägga och skydda företagets informationstillgångar. För i slutändan handlar det om veta vad som är skyddsvärt och sedan göra allt för att dessa skyddas. I detta ligger hela bolagsvärdet. Driver man en verksamhet där IT-driften är en del av affären då måste man självklart ha stenkoll på hela leverantörskedjan vilket innefattar leverantörens underleverantörer. IT-avdelningen måste förstå samtliga beroenden och hur de vid en attack påverkar verksamhetens affär. För kan man inte sälja därför att betalsystemet har blockerat av en attack då har man inga intäkter. Och utan intäkter kan man inte betala leverantörer, löner eller lokalhyror. Den här typen av händelser slår dessutom mot bolagets likviditet som bolagets Goodwill.