FI förordnar revisor efter it-incident i Swedbank

CET: 10.38

Finansinspektionen (FI) utser en revisor för att kartlägga den it-incident som inträffade hos Swedbank natten mellan 28 och 29 april och som medförde felaktiga saldon på kunders konton.

Förordnandet sker med stöd av 13 kap. 9 § lagen (2004:297) om bank- och finansieringsrörelse. Den förordnade revisorn har i uppdrag att kartlägga händelseförloppet som ledde fram till incidenten, hur incidenten hanterades och åtgärdades samt bankens kontroller och beredskap.

Revisorn kommer att dokumentera sina iakttagelser i en rapport till FI. FI beslutar därefter om vidare hantering.

Text: Finansinspektionen

Källa: Finansinspektionen

Omvärldsläget ökar risken för cyberangrepp – så skyddar du din verksamhet mot informationsläckor

CET – 19.11 – Uppdaterad 2022-03-15, kl 11.22

Foto: RAPS News

Omvärldsläget efter Rysslands invasion av Ukraina ökar risken för olika typer av cyberangrepp. Alla, både individer och verksamheter, måste skärpa uppmärksamheten men framför allt säkerhetstänkandet. Vad ska man då tänka på när det gäller att skydda sitt privata nät eller organisationens IT-nätverk. Vi kan inte täcka in alla områden och tänkbara situationer. Nedan ger vi exempel på områden som där man behöver vara uppmärksam och vidta lämpliga skyddsåtgärder.

  • Skaffa en översikt genom att inventera den utrustning du använder hemma eller som ni som organisation har i verksamheten. Gör en lista över utrustningen och vad den används till.
  • Inventera skyddsvärd information. Skyddsvärd eller åtråvärd information är sådan information som ligger på en enhet och som inte får komma i orätta händer. Det kan vara dokument med dina personuppgifter, känslig information om hälsa, ekonomi eller annat som du vill hålla privat. Det kan också vara USB-minnen, hårddiskar och olika typer av minneskort. Du ska givetvis alltid skydda Bank-ID och dina ID-handlingar om du har något sådant digitalt lagrad på din enhet.
  • Uppdatera dina enheter (mobiltelefon, surfplattor, datorer, router, hubbar, switchar m m. Det är viktigt att alla enheter som är kopplade till nätet har de senaste patcharna och säkerhetsuppdateringarna.
  • Svårforcerade lösenord är en viktig del av ditt digitala skydd. Det som behöver skyddas är alla enheter som använder sig av lösord. Så t ex ska mobiler, datorer, surfplattor, routrar och hubbar ha lösenord som är svåra att forcera. Ett bra lösenord innehåller inte bara siffror eller bokstäver. Många använder lösenordsbanker där man sparar sina lösenord för att komma ihåg dem.
  • Lås enheten. Mobiler, datorer och surfplattor har digitala kodlås. Dagens mobiler har också en funktion som låser enheten efter t ex 30 sekunder. Denna funktion ska alltid användas. Dessutom ska du alltid låsa din enhet när du inte är i närheten av den. Oftast har man möjligheter att lägga in mellan 4-8 siffror långt lösenord. Ett kodlås på som är sex siffror långt ger mycket hög säkerhet. Har enheten biometrisk fingeravtrycksläsare kan man på många enheter ställa in den så att man både måste ange sifferkoden och läsa av fingeravtrycket. Vi avråder från att man använder ansiktsigenkänning på någon enhet eftersom det är lättare att manipulera en sådan enhet än en motsvarande med fingeravläsare.
  • Digitala enheter är värdehandlingar. Digitala enheter som mobiler, surfplattor och datorer ska betraktas som värdehandlingar. Du ska aldrig lägga ifrån dig din enhet utan uppsikt när du är utanför hemmet. Innan du gör dig av med enhet skall du radera allt innehåll på enheten. Det gör du genom att göra en fabriksåterställning.
  • Visa inte din skärm för obehöriga. Det är vanligt att man pluggar eller arbetar med sin dator eller annan enhet i offentliga miljöer t ex caféer, i launcher, på tåget eller på coworking-kontor. Därför är det viktigt att tänka på vad man visar på sin skärm så att det inte är något som är känsligt eller hemligt.
  • Tänk på vad du pratar om , var du gör det och när. Samtal i offentliga miljöer som rör affärshemligheter eller annan känslig eller hemlig information får inte förekoma över huvud taget. Platser som man ska vara extra försiktig med är taxi, buss, tåg, flyg och serveringsställen. Som anställd omfattas du bl a lojalitetsplikt mot din arbetsgivare. Att avslöja affärshemligheter t ex om kunder eller leverantör kan utgöra ett brott mot ditt anställningsavtal och kan därmed ligga till grund för arbetsrättsliga åtgärder. Om du är offentliganställd kan du omfattas av olika lagar och förordningar som gör att du inte får prata om vissa saker på offentliga platser eller med obehöriga. Arbetar du t ex på ett börsnoterat företag får du inte yppa icke publicerad kurspåverkande information var som helst eller till vem som helst.
  • Bilar är en vanlig plats där man pratar hemligheter. I många nya bilar finns inbyggda mikrofoner med automatiska uppringningsanordningar till nödnummer om bilen råkar ut för en olycka. Dessa kan mycket enkelt manipuleras och det är möjligt att avlyssna samtalet. I synnerhet ska man vara försiktig med hyrbilar, taxibilar eller bilar som man inte själva har kontroll över t ex i bilpooler och liknande.
  • Hemliga eller känsliga dokument. Hemliga eller känsliga dokument ska alltid hanteras med stor försiktighet. Beroende på vad du arbetar med, om du är privatanställd eller offentliganställd, gäller olika lagstiftningar och förordningar. Vissa handlingar får över huvud taget inte tas med hem. Det kan gälla handlingar som rör rikets säkerhet. Att ändå ta med dem hem kan vara brottsligt. Vissa dokument eller viss information får man över huvud taget inte skicka över mejl eller meddelandetjänster som Whatsapp, Telegram eller Signal.
  • Stäng av Siri och liknande röststyrningsprogram. Det finns olika röststyrningsprogram med vilka man kan styra elektronik i bostaden eller på kontoret. Vi vill allvarligt varna för denna typ av program eftersom de kan användas i avlyssningssyfte. En bedömning får göras från fall till fall men dessa funktioner utgör en allvarlig informationssäkerhetsrisk.
  • Dela inte platsinformation. Nyckelpersoner och dess familjemedlemmar ska inte dela platsinformation via sina mobiltelefoner eller andra enheter. Det är sådan åtråvärd information som angripare antingen kan köpa eller hacka sig till via apputvecklare.

Cecilia Uneram ny förbundsdirektör för Södertörns Brandförsvarsförbund (SBFF)

Cecilia Uneram har utsetts till ny förbundsdirektör för Södertörns Brandförsvarsförbund (SBFF). Cecilia har en lång karriär inom räddningstjänsten och är bl a brandingenjör med examen från Lunds Tekniska Högskola och räddningstjänstutbildning. Hon har även varit marknads- och kommunikationschef för Brandskyddsföreningen samt ambassadör för Mötesplats Samhällssäkerhet. Cecilia har de senaste åren drivit konsultverksamhet i eget bolag. Parallellt har hon haft fler internationella uppdrag för Myndigheten för Samhällsskydd och Beredskap (MSB).

Hon tillträder tjänsten som förbundsdirektör den 3 januari 2022.

Länk till SBFF pressmeddelande

Charlotte Petri Gornitzska ny GD för MSB

Nuvarande assisterande generalsekreteraren för UNICEF, Charlotte Petri Gornitzska blir ny generaldirektör för Myndigheten för Samhällsskydd och Beredskap (MSB). Petri Gornitzska har tidigare varit generalsekreterare för Rädda Barnen i Sverige, GD för SIDA och har erfarenhet av internationellt utvecklingsarbete inom OECD.

Petri Gornitzka tillträder den 10 december i år. Tills dess fungerar Camilla Asp som tillförordnad GD.

Decentraliseringen av IT-drift och långtgående digitalisering ett säkerhetshot

Sedan i fredags har Coop kämpat mot klockan för att öppna upp varuhusen runt om i landet sedan en av kedjans underleverantörer drabbats av en IT-attack i form av en digital utpressning till ett belopp om 600 miljoner svenska kronor.

Igår kväll kom rapporter om att ytterligare rikstäckande kedjor drabbats av problem identiska med de som Coop och Apoteket Hjärtat haft med sina betalsystem.

Varför händer detta nu? Det finns inget enkelt svar på det. Vissa länder drabbas hårdare än andra. Till dessa hör Sverige vars storföretag under minst ett decennium drivit en mycket hård decentralisering av IT-driften samtidigt som vi digitaliserat betalningssystemet i en omfattning som få andra länder gjort. De flesta svenskar har inte mer än ett par 500-lappar hemma, i bästa fall. När de digitala betalsystemen slås ut som i Coops fall då tvingas butikerna stänga eftersom de inte kan ta betalt.

Decentralisering och outsourcing

Sedan åtminstone slutet på 00-talet har mycket av den dagliga IT-driften decentraliserats och outsourcats i många storföretag. Man har inte sett IT som en strategisk och verksamhetskritisk funktion utan som en tjänst man köper precis som man köper lokalvård eller kaffemaskiner på serviceavtal. En långgående decentralisering leder till att bolagen hamnar i händerna på leverantörerna, som ofta är de stora IT-konsulterna. De har med åren fått alltmer inflytande över strategiska och verksamhetskritiska beslut hos kunderna som t ex nivån på cyber- och informationssäkerhet och IT-säkerhet. Även om leverantörerna genomför olika kontroller av sina anställda man ändå utlämnad till strategiska partner. De företag som däremot satsat på IT-drift inhouse har istället stärkt kontrollen, behållt och vidareutvecklat kompetensen.

Cyber- och informationssäkerhet ett ledningsansvar

Enligt aktiebolagslagen är säkerhetsfrågorna oavsett var de rent organisatoriskt eller linjemässigt finns i verksamheten företagsledningens ansvar. Ytterst är det en fråga för både VD och styrelsen. Styrelsen måste vara sammansatt så att man kan uppdraga åt VD att prioritera cyber- och informationssäkerhetsarbetet som en verksamhetskritisk funktion. Dessa områden ska ha samma höga prioritet som det övriga säkerhetsarbetet i bolaget.

Naturligtvis måste man alltid väga kostnaden för en åtgärd mot risk. En risk behöver också ställas mot konsekvenserna om det värsta inträffar. En oacceptabel konsekvens av en risk får aldrig accepteras utan åtgärd. Sen kan åtgärderna se olika ut. Men företagsledning kan komma undan med att påstå att det som hände Coop är en extraordinär händelse. I en lång rad rapporter har såväl MSB (Myndigheten för Samhällsskydd och Beredskap) och olika branschorgan varnat bolagen för konsekvenserna av den långtgående decentraliseringen och outsourcingen av drift och andra nyckelfunktioner.

Ansvaret för det som hänt är företagsledningens, ytterst VD och styrelse. Aktieägarna ska kräva av ledningen att de förstår sin egen verksamhet när det kommer till att kartlägga och skydda företagets informationstillgångar. För i slutändan handlar det om veta vad som är skyddsvärt och sedan göra allt för att dessa skyddas. I detta ligger hela bolagsvärdet. Driver man en verksamhet där IT-driften är en del av affären då måste man självklart ha stenkoll på hela leverantörskedjan vilket innefattar leverantörens underleverantörer. IT-avdelningen måste förstå samtliga beroenden och hur de vid en attack påverkar verksamhetens affär. För kan man inte sälja därför att betalsystemet har blockerat av en attack då har man inga intäkter. Och utan intäkter kan man inte betala leverantörer, löner eller lokalhyror. Den här typen av händelser slår dessutom mot bolagets likviditet som bolagets Goodwill.