Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Resultatet av corona: Minskad kunskapsbrist inom cybersäkerhet med MDR

| Kronika

Cyberattacker som utnyttjar covid-19 har ökat stadigt sedan pandemin började. Nya branschrapporter pekar på kunskapsbristen inom cybersäkerhet som ett viktigt skäl bakom framgången med dessa hacker-kampanjer. Emellertid har pandemin också gett infosecproffs en värdefull möjlighet att utvärdera sin strategi och planera för det oväntade.

Driftstopp orsakad av en cyberattack kostar företag upp till 67 miljoner dollar under två år, medan små företag kan komma upp i kostnader på upp till 50 000 dollar per timme, visar nya studier. I sektorer som militär och försvar, utbildning och hälso- och sjukvård sträcker sig eftersläpningen av en cyberattack utöver det ekonomiska och direkt in i medborgarnas välfärd.

Säkerhetsuppgifter nedprioriterades för att hjälpa till med vardagliga IT-frågor

Enligt undersökningen (ISC)2 COVID-19 Cybersecurity Pulse där 256 globala cybersäkerhetsproffs deltagit uppgav 23 procent av dem att attacker har ökat i samband med övergången till distansarbete. Vissa sa att de spårade upp till dubbelt så många attacker som innan corona. Nästan hälften uppgav också att några eller alla typiska säkerhetsuppgifter nedprioriterandes i början av pandemin för att istället kunna hjälpa till med rutinmässiga IT-relaterade uppgifter i samband med den övergången.

En månad senare släppte Bitdefender resultaten från en liknande undersökning som analyserade cybersäkerhetslandskapet i samband med pandemin. Så många som 86 procent av de svarande sa att attackerna ökat under denna period. Många erkänner att covid-19 dramatiskt förändrade hur deras verksamhet fungerar.

Avlägsna anställda kan vara för ”avslappnade”

Eftersom fler anställda arbetar hemifrån under pandemin, och kanske även i framtiden, är infosecproffs bekymrade över säkerhetsfrågan. 34 procent säger att de är rädda för att anställda är mer avslappnade med säkerhetsfrågor på grund av sin omgivning i hemmet, medan andra säger att anställda inte håller sig till protokollet, särskilt när det gäller att identifiera och flagga misstänksam aktivitet. Som ett resultat av ökningen av hemarbetare är företagsledarna eniga om att förändringar har gjorts i säkerhetsstrategier.

Trots sin rädsla för en ökning av attacker har endast 14 procent investerat en betydande summa pengar för att uppgradera säkerhetslösningar, endast 12 procent har köpt ytterligare cybersäkerhetsförsäkringar, och endast 11 procent har genomfört en nollförtroendepolicy.

Phishing och BEC de vanligaste attacktyperna

Medan distansmedarbetare stöter på corona-relaterade phishing-e-postmeddelanden, får chefer ta emot BEC-kampanjer (business e-mail compromise). Dessa är de vanligaste typerna av attacker som ökat under pandemin. Samtidigt ökar gapet för cybersäkerhetskompetens, med IT-avdelningar som saknar upp till tio viktiga anställda inom cybersäkerhet under 2020.

Företag som har råd att bygga och underhålla sitt eget säkerhetsoperationscenter (SOC) kan tyckas bättre lämpade för att förhindra eller åtminstone svara på cyberhot. Men så är inte alltid fallet. Bara 22 procent av frontlinjearbetarna spårar genomsnittlig tid för upptäckt, vilket hjälper till att bestämma en hackers uppehållstid, enligt en ny undersökning från Exabeam. 40 procent av de undersökta organisationerna sa att de kämpar med personalbrist för SOC och hitta kvalificerade människor.

En möjlighet för beslutsfattare att lysa

Det växande antalet sofistikerade cyberhot, i kombination med ett ständigt växande kompetensgap, kommer en öka efterfrågan på Managed Detection and Response (MDR) -lösningar från näringslivet. En ny prognos från företagskonsultjätten Frost & Sullivan säger att marknaden för MDR-lösningar är beredd att växa i en sammansatt årlig tillväxttakt (CAGR) på 16,4 procent mellan 2019 och 2024. Pandemin har gett infosec-proffs en värdefull möjlighet att lära sig hantera förändringar i arbetskraftsmönster. En av tre infosec-proffs i Bitdefenders undersökning säger att de tänker behålla IT-support 24 timmar om dygnet, sju dagar i veckan, och lovar att öka antalet utbildningar inom IT-säkerhet för anställda. Nästan en fjärdedel har också lovat att öka samarbeten med viktiga intressenter när de fastställer cybersäkerhetspolicys, och en lika stor andel uppger att de kommer att, i större utsträckning, ta hjälp av extern IT-säkerhetskompetens.

MDR framträder snabbt som en viktig investering i cybermedvetna organisationer. Prospekterande köpare bör söka erbjudanden som inkluderar förebyggande och upptäckt av slutpunkter, riskanalys, nätverkstrafikanalys med integrerad hotinformation, hotjakt och säkerhetspolicy.

Liviu Arsene, senior e-säkerhetsexpert på Bitdefender

Effektivt säkerhetsarbete kräver tillit – och träning

| Kronika

När vi under april månad frågade svenska IT-säkerhetsansvariga om deras beredskap för cybersäkerhet visade det sig att tilltron till medarbetarna var en av de faktorer som störde nattsömnen mest.

Vi har gjort undersökningen i flera länder och en punkt där Sverige sticker ut från mängden är hur man ser på de anställda utifrån säkerhetsperspektivet. Nästan hälften, 48 procent, av deltagarna, upplevde att företagets anställda gjorde verksamheten mer sårbar för cyberattacker – och hälften av dem var mest oroade för att anställda skulle läcka data eller intellektuellt kapital.

Det är data man kan tolka på olika sätt. Å ena sidan visar det på en insikt och förståelse kring att medarbetare idag är den överlägset mest sårbara attackytan för kriminella. Förr var bilden av en hackare någon som tog sig in via svaga punkter i företagets fysiska infrastruktur. Idag är nio av tio cyberattacker istället riktade mot människor. Det är kopplat till att en  modern IT-infrastruktur blivit allt bättre på att hantera cyberattacker i den traditionella bemärkelsen – överbelastningsattacker, serviceattacker och liknande.

Själva ordet attack ger associationer till storskaliga angrepp, det ligger i ordets natur. I själva verket är de mest framgångsrika angreppen idag oftast resultatet av kvalificerad och långvarig informationsinhämtning på individnivå – man kartlägger sårbara personer, med tillgång till ”rätt” material på djupet, både yrkesmässigt och privata intressen. Man skaffar information om företagets beslutsprocesser och strukturer, ända ner till semesterscheman och vilka som tillfälligt får nya roller. När attacken kommer ska den inte ens märkas.

Utifrån den kunskapen kan man som säkerhetsansvarig välja att se de anställda som hjälplösa offer, i det ständigt pågående cyberkriget, och lägga alla sina resurser på att skademinimera genom övervakning, verifieringar och tillgångsbegränsning – men det gör också att man som anställd ofta inte kan arbeta effektivt. En konsekvens av detta kan bli att medarbetare försöker hitta vägar runt åtgärderna, inte med illvilja utan bara för att kunna utföra sina jobb. Det skapar dels nya hål i säkerhetsnätet men en annan konsekvens är hur det påverkar möjligheten för säkerhetsansvariga att skapa en sund kultur av säkerhetsmedvetande. Om cybersäkerhet upplevs som ett nödvändigt ont, eller i värsta fall ett onödigt ont, och som ett hinder mot en effektiv arbetsdag blir uppiften att skydda de anställda och verksamhens data mycket svårare.

Det är inte minst aktuellt under de senaste månaderna, när 60 procent av de företag som representerades i undersökningen tvingats implementera en långtgående policy för distansarbete. Över en femtedel av de säkerhetsansvariga hade noterat ett ökat antal nätfiskeförsök, samtidigt som de mest framgångsrika nätfiskeförsöken förstås inte upptäcks förrän skadan redan är skedd.

Men det finns också en annan väg – att bygga tillit genom att investera i de anställdas trygghet. En majoritet av deltagarna i undersökningen, nästan tre fjärdedelar, tror att de kommer att få en större budget för att bygga ut och investera i säkerhetsarbetet. Då är frågan var de pengarna ska läggas. Idag är det bara 24 procent som utbildar de anställda regelbundet, och det nyckeltalet säger inte heller något om utbildningens kvalitet och relevans.

Den bästa lektionen är den som både ger ut information och skapar en aha-upplevelse. Det viktigaste är att utbildningen är flexibel, utgår från det egna företagets verklighet, är ständigt uppdaterad och anpassningsbar ända ner till individnivå. Med samma förkunskaper och research som de kriminella kan komma över. Om den faktureringsansvarige är Bayern München-supporter eller marknadschefen samlar på sällsynta Pokémonkort, är båda de privata intressena potentiella angreppsvägar, och har man den vetskapen sänks tröskeln för att lura dem att klicka på fel länk, eller öppna fel fil. Men det omvända är också sant. Men att medvetandegöra hur mycket information om sig själv man faktiskt delar öppet med omvärlden kan också öka förståelsen, och leda till nya insikter.

Effektiva, flexibla och engagerande cybersäkerhetsutbildningar som är anpassade till det enskilda företagets mål stoppar inte angreppen, och kan inte lösa problemet med anställda som hanterar känsliga data i ont uppsåt. Men de bidrar till att rusta de anställda att vara redo för utmaningen, brinna för uppdraget och möta nästa attack med skarpslipade sinnen.

Ibland är försvar bästa anfall.

Örjan Westman, regional director, Nordics, Proofpoint

GDPR fyller två – hur har det gått?

| Kronika

I dagarna firade EU-reglementet General Data Protection Regulation två år. Innan GDPR trädde i kraft var diskussionerna många och farhågorna stora – men det är först nu vi kan titta närmare på hur det egentligen gått. Det menar Linus Svensson, presales chef på Dell Technologies i Sverige.

GDPR ger användare rättigheter som i ett internationellt perspektiv är tämligen långtgående gällande hur deras information samlas in, hur den sparas och hur den raderas. Till skillnad mot många andra initiativ så ges enskilda länder stora möjligheter att kännbart tillrättavisa de organisationer som inte följer lagstiftningen. Om böter på fyra procent av årsomsättningen inte är ett tillräckligt incitament för att ta GDPR på allvar så torde de potentiella skadorna för varumärket göra det.

Högt upp på listan över de drygaste bötesbeloppen efter GDPR-införandet finner vi British Airways som fick betala den nätta summan av 183 miljoner pund för sina överträdelser. Men det land som delat ut flest böter är Spanien – 80 bötfällningar på totalt 2,5 miljoner euro. Vi kan således konstatera att det finns en stor spännvidd bland bötesbeloppen.

Under de här två åren har 237 bötfällningar delats ut över Europa. Fem av dessa i Sverige. De vanligaste överträdelserna har varit: otillräckliga tekniska och verksamma åtgärder för att garantera informationens säkerhet, otillräcklig laglig grund att lagra data och bristande efterlevnad av generella datalagringsprinciper.

Så visst kan man säga att GDPR upprätthålls, vilket är bra. Men att de stora bötesbeloppen så tydligt kopplas till stora bolag kan ge en falsk känsla av säkerhet för mindre bolag. Dessa siffror tar inte hänsyn till den svårmätbara skadan på bolagets anseende och den inverkan det har på kundernas tillit.

Efter en förhållandevis lugn start slogs det i mars i år rekord i antal utfärdade böter inom ramarna för GDPR. Idag, när digitaliseringen ute på företagen går ännu snabbare i svallvågorna av den globala pandemin är det absolut nödvändigt att företag inte bara förstår det ansvar de har över sina kunders data, utan att de i samma snabba takt utvecklar sitt dataskydd och säkerhetsarbete.

Färska siffror från Dell Technologies Global Data Protection Index 2020 visar på en kraftig ökning av cyberattacker, intrång och andra säkerhetsincidenter. Hela 82 procent av de tillfrågade organisationerna säger sig varit utsatta under de senaste 12 månaderna. Det är skrämmande i sig, men nästan än mer oroväckande är det faktum att 68 procent av dem är rädda för att deras organisation kommer drabbas av en allvarlig händelse eller attack under de kommande 12 månaderna.

För små och medelstora företag är de potentiella konsekvenserna svårare att överblicka. De har i regel stramare budgetar och mindre IT-avdelningar och riskerar att bli överväldigade av de resurser och de insatser som krävs för ett fullgott dataskydd. Att samtidigt säkerställa efterlevnad av GDPR gör situationen än mer komplicerad. Därför är det glädjande att se de steg som kontrollerande myndigheter tagit över hela Europa för att ge goda råd till dessa företag.

Det finns gott om åtgärder som kan vidtas utan stor budget. Att investera i lösningar för dataskydd och strategier är en grundläggande del i att framtidsäkra en verksamhet i en digital värld. Kort sagt – dataskydd behöver vara en central del i verksamhetens affärsstrategi – inte minst i takt med att IT-sidan blir alltmer komplex.

Linus Svensson, Dell Technologies Sverige.

Insights for next crisis

| Linda Kante

The digital collaboration map is forever changed with new risks and threats. It is now about time to make an analysis of lessons learned and identify the success-factors. Because the only thing we know is that there will be another pandemic sooner or later, and we need to be prepared.

But what have we learned so far and can we make any conclusive lessons at this point?  

Over the course of this pandemic crisis many operations have found themselves in lock down mode. Not only as society as a whole but even business worldwide. Many operations have been in crisis management mode as a “new normality” in various degree. This incident, this crisis, has put a lot of operations business continuity planning to the test. I can distinctively see five areas I feel you should revise and plan before next crisis knocks on the door.

These five areas are related to the need to manage cross-functional teams to perform working remote as if located together in an office. Managers need to understand that even if this crisis has put the security culture in your operation to the test it is far from all negative. This crisis has just added a level of mindset to which you need to adapt to in order to maintain “business as usual” or as usual it can get when the next crisis hits.

Status quo

You staff needs to be security aware and resilient over time. This crisis has thought us that people work around the clock, or more precise – online around the clock. This affects productivity, performance and security for your infrastructure. You need to think on how to lead remote and how to maintain and encourage staff to keep “the flow”, to keep the status quo as if the team operated from the office. In the future flexibility and ability to make quick adjustments is going to be key components based on a prior planning to prevent poor performance.

Normality

Regardless of crisis we need to keep up appearance, day to day operations like normal. Communications is the key in a digital era. Coffee breaks, after work meetings and more is essential when working remote. As a manager you need to understand that in the realm of communication a fundamental thing is to communicate in order to keep the normal as normal can get. So, schedule coffee breaks, lunches and after work hang outs. This is essential for all to feel included and for the manager to pick up signs of isolation strains, depressions and more. In a quarantine or isolation, the negativity has but only one person to combat instead of you team together as a whole prior to the crisis. Maintain effectiveness for the team by communicate to them as if you all where at the office.

Maintain Movement

Just because you´re now in lock down and you work remote there is no just cause to drop major projects or priorities. If so, it reflects that you didn´t plan for this. So, start to plan now. Every project or prioritization you had prior to this is still as equally important. So, find new ways to have this project meetings, sessions to evaluate the prioritizations and maintain flow and momentum. When clear of the crisis you will have a much shorter ramp up faze to reach the “new normality” than others. 

Take notes

There is no way you can learn if you don’t keep records during crisis. The “war diary” (incident log) is the most essential document containing notes of decisions, incidents and more to ensure you can update policies, procedures and operations to be better prepared. Your business continuity effectiveness in the future may very well depend on the lessons you learn today. These notes can identify opportunities, improvements and which activities results in productivity. Immediately, assign someone to take notes during the crisis and meet whit the crisis managers often. The feedback gained from this document can very much make or break your business in the future.  

Understand the phases

Recognize that every crisis has a lifecycle. The manager needs to be the organizations STAR during a crisis. To be able to Stop Think Ask and Report/React is crucial. To be able to take a step back and look on the crisis in a holistic perspective is of the essence to understand and recognize the phases of a crisis, where one ends, and another starts. The phases in a crisis affects the momentum and/or effectiveness of the staff. Continually asses and evaluate every decision, what was the intent of the decision and what was the effect. Adjust accordingly and repeat.

A crisis is a crisis is a crisis. They are all the same but also very different. A crucial variable in this is your employees and your leadership. As new members and leaders comes and goes the processes derived from business continuity planning and policies needs to be solid, systematic and communicated. It’s all about the communication, a crystal clear and honest communication to raise and maintain awareness and readiness for crisis yet to come.

Robert Willborg, Junglemap

Vad finns det egentligen för säkerhetsrisker med att jobba hemifrån?

| Linda Kante

Liviu Arsene, Bitfedefender

”Att arbeta hemifrån ökar säkerhetsriskerna för företag.”
Vi hör fortfarande detta mantra efter mer än två månaders tid av hemmajobb. Men vad är dessa risker, exakt? Nu när många företag har skickat hem de flesta medarbetarna, låt oss titta närmare på vad företag måste ta itu med.

Teckna din prenumeration på Aktuell Säkerhet här

Cybersäkerhet är en term som många gånger används för lättsamt, men det har aldrig varit tydligare att cybersäkerhet är en viktig tillgång för alla företag. Tyvärr inser inte organisationer detta enkla faktum, och vissa gör det bara när det redan är för sent.

Att de flesta medarbetarna skulle arbeta hemifrån ansågs inte ens vara ett alternativ innan pandemin kom. Företag var extra försiktiga med att använda denna strategi i stora skalor. covid-19-pandemin fick dem att tänka om. Plötsligt flyttade miljoner människor från kontorsstolen till soffan. I de flesta fall inträffade flytten över en natt, vilket gav IT-avdelningarna allt för lite tid att förbereda sig.

Målet att hålla företaget vid liv gick före över alla möjliga cybersäkerhetsfrågor och lämnade anställda med eget ansvar över säkerheten. Automatisering är ofta involverat i cybersäkerhet men implementeras sällan av små och medelstora företag som inte alltid prioriterar cybersäkerhet.

Idealiskt sett borde arbetsplatser, efter ett skifte i arbetssätt som detta, genomgå en lång och djupgående utbildning i hur anställda håller sina enheter säkra och minimera risken att äventyra företagens nätverk. Men den tiden fanns inte. Den prioriteringen har inte gjorts.

Vi hör fortfarande om hur människor som arbetar hemifrån kan utsätta företagen för onödiga risker, och dessa risker är inte teoretiska. Så låt oss ta en titt på vad människor kan göra fel och hur dessa risker kan mildras.

1. Osäker hårdvara och platser

Nu när du arbetar hemifrån öppnar du upp din bärbara dator och ansluter till ditt Wi-Fi-nätverk – det är då problemet börjar. Som de flesta har du en vanlig router. I många fall är den en gammal, troligen inte uppdaterad på länge. Dessutom är det få användare som ändrar standardinloggningsuppgifterna för routern. Till exempel har 53 procent av människor inte bytt lösenord på 12 månader och 91 procent använder variationer på äldre lösenord. Om den routern har en sårbarhet, i kombination med standarduppgifterna, blir det ett enkelt mål.

Ett liknande problem uppstår när människor ansluter sig till sin arbetsplats via offentligt Wi-Fi-nätverk, vilket är ännu värre än att använda routern hemma. Med rätt verktyg kan Wi-Fi spioneras och användas för att stjäla data. Om en krypteringspolicy inte tillämpas tekniskt kan alla som har tillgång till den fysiska enheten få tillgång till känslig information eller till och med komma åt företagets infrastruktur om enheten inte är lösenordskyddad.

2. Ospecifika VPN-tjänster

Att arbeta hemifrån innebär att du troligen använder en VPN-tjänst för att ansluta dig till företagets infrastruktur. Vissa organisationer har strikt policy och verkställer användningen av godkända VPN-appar, men så är inte alltid fallet. Det är ett mardrömsscenario att ansluta till företagsinfrastrukturen med hjälp av en VPN-tjänst eller app som är känslig för exploatering.

Den bästa lösningen är att använda appen som krävs av IT-avdelningen, eller fråga dem vad de ska använda om det inte finns någon officiellt överenskommen app.

3. Phishing-bedrägerier ökar

Det är ingen hemlighet att antalet phishing-e-postmeddelanden har ökat sedan folk började arbeta hemifrån. De är vanligtvis relaterade till covid-19-pandemin, men inte alltid.
I de flesta fall har företag inte en säkerhetslösning som kan detonera eller fånga skadliga e-postmeddelanden. Istället blir det upp till användaren att avgöra om ett meddelande är skräppost.

Spear phishing är särskilt aggressivt just nu och riktar sig direkt till anställda. I ett exempel på phishing luras användare, via ett mail som uppges komma från IT-avdelningen, att ändra sina inloggningsuppgifter.

Tyvärr växer spam och phishing-meddelanden fortfarande eftersom användare fortsätter att klicka på länkar och öppna bilagor som är skadliga. Och det beteendet kan uppmuntras av den mer avslappnade atmosfären i hemmiljön.

4. Säkerheten för interna resurser

Många organisationer har olika online-resurser som endast är tillgängliga när användare finns i nätverksinfrastrukturen, som på det faktiska kontoret. Men nu arbetar människor hemifrån, och de behöver fortfarande tillgång till dessa resurser, så företag måste göra dem tillgängliga för distansarbete.

Om bara en enda anställd har en kompromissad bärbar dator, är samtliga interna resurser nu också kompromissade. Det är svårt att skilja en legitim användare som är inloggad i nätverket från en angripare som använder stulna inloggningsuppgifter.

5. Smarta enheter utan smart säkerhet

BYOD är en förkortning för ”bring your own device ”, och företag har vanligtvis strikt policy om vilka enheter de tillåter i sin infrastruktur. Med människor som arbetar från sitt vardagsrum verkar den termen inte längre gälla, men cybersäkerhetsaspekten är mycket mer komplicerad.

Människor har en mängd andra smarta enheter i sina hem, vanligtvis anslutna till samma nätverk som deras företagsenhet. Det viktigaste problemet med IoT-enheter är säkerhet, och konsumentens IoT-enheter är ökända för dålig säkerhet. Angripare som kompromissar en sådan enhet skulle snabbt och enkel kunna flytta sig i sidled till ett dåligt säkrat nätverk, som det i våra hem.

Slutsats

Det finns ingen magisk formel som löser det komplicerade problemet med att miljoner människor nu arbetar hemifrån. Den bästa och mest effektiva sättet att minska riskerna är helt enkelt att lära människor hur man arbetar hemifrån på ett säkert sätt.

Företag kan inte be människor att anpassa sig till en ny norm utan att genomföra samma transformation själva. Anställda måste bli mer säkerhetsmedvetna samtidigt som organisationer måste inse att förändringar måste göras och att det gamla sättet att tillhandahålla cybersäkerhet långsamt och säkert nu blir föråldrat.

Liviu Arsene, senior e-threat analyst, Bitdefender

The Elephant in the room

| Kronika

I hear it from near and far. Covid-19 is the reason that now, many managements in organizations are approving and demanding security in a high paste. What is wrong with this? Well stating the obvious, a Pandemic should not be the reason for us to work strategically with cyber security, little yet security awareness. If I could stand up like Émile Zola, and utter “I accuse,” I would, but I don’t think it would help much. What will then?

Security experts have for decades been standing on the digital barricades, shouting from the top of their lungs pointing out the risks and threats in cyber space. We have pleaded for sustainable security processes, how they can be the salvation for a secure business, and in the long term saves a buck load of money. This pandemic crisis has made one phrase obvious for management, “if you think security cost, try a crisis”. And in an era where what happens in Vegas ends up on YouTube, security and privacy is not for the passive or someone firmly believe the can dodge the economic “bullet” by handling security and privacy as projects rather than fully commit to the process they require. This is if they are dealt with at all.

So, in spite of bad rhetoric’s I accuse management to intentionally having for years been avoiding recognizing the elephant in the room, only to now in the time of crisis start pointing the fingers across the boardroom searching for who to blame. Let’s start with ransomware. Just recently Sophos released a report on this topic (The State of Ransomware 2020) stating that the cost of handling ransomware is close to 710k €. In Sweden this number is close to 2.45 m €. The countermeasures do not cost this amount by far. In fact, the cost of the project dealing whit a ransomware incident fades in comparison to the cost of implementing right procedures and processes to minimize risks, secure infrastructure and security awareness as a process pre-crisis. And the prognosis is that ransomware attacks will escalate rather than the opposite.

But it is more than just ransomware attacks. This crisis has revealed that management have not even planned for a situation like this pandemic. The BCP (Business Continuity Planning) that should act like a beacon in these dark times on how to continue in a crisis shines with its absence, lack of content or simply not communicated little yet understood. You could argue that no one could predict this pandemic and impact. Again, this is not the first time nor the last.

We are in the middle of our times industrial revolution – global digitization – where a state’s borders are replaced by a domain. A digitization we didn’t went to a pole box to vote upon but was inevitable as soon as we invented computers. This digital train cannot be stopped. This digital industrial global revolution is exposing the gold nuggets of our time – personal information.

Businesses has gone from a life expectancy from 75 years to a decennium, two at the most (SAS CEO Jan Carlzon in a lecture 2015). To survive longer than this expectancy you can either get on the train or not. To be on the train you need to understand that the Elephant (i.e. Security and privacy) is a force to not only be recon with but an essential ingredient to survive as you need a mature and structural approach to these matters to protect todays true currency – information and personal information especially.

But not all is bad. A crisis often creates an internal dialogue and an incentive for the processes around cyber and digital security to evolve. Management tend to post crisis invest in security. However, they are often cut short or even halted after a while due the organization deem these security investments as a showstopper for business, the nemesis of the sales process or time-consuming. Three reposts to this:

a) This is only true if security comes last, is the last in every development and/or projects

b) This is only true if you keep on treating security as the elephant in the room or something abstract and

c) this is only true if you hire an expert and tell them what to do instead of doing what they tell you what to do.

Add to this. Incidents will keep on happening Even more so if you discard/forget to raise security awareness whit the purpose of risk reduction throughout your operations as a process. To raise awareness to reduce risk via education is a sure path to not evolving security-wise.

We need to start recognizing the elephant in the room, start to take it seriously. This pandemic and the impact on society up to date have made one thing crystal clear – the landscape of business is forever changed. It poses new challenges in the areas of cyber and digital communications and operations. This new normality and the level of security needed for subjects and business relies solely on how we deal whit the elephant. The risks are different, the threats are different, and the new world is altogether different in surviving not only business wise. We can only make this by pulling together, including the elephant in the process.

Robert Willborg, Junglemap  

Paket eller plock – Varför mjukvarutillverkarna inte vill att du ska kunna välja fritt

| Kronika

Paketlösningar. Ett ord som kan väcka både glädje och avsky. Glädje för att det kan vara praktiskt att få allt man behöver i ett paket till ett specifikt pris. Avsky för att man alltför ofta tvingas välja ett paket som inte alls är avsett för ens aktuella behov. Till typexemplen hör kanaler för kabelteve där man tvingas köpa flera kanalpaket fast man egentligen bara vill se en eller två av de kanaler som ingår i varje paket. Syftet är förstås att skapa ökade intäkter för leverantörerna, men är knappast kundtillvänt i dessa fall.

Liknande scenario gäller när man köper licenser för mjukvara. Licensutgivarna ”optimerar” sina paketlösningar tillsammans med tillhörande teknologier. Och i takt med att företagen satsat på molnet, har antalet paketlösningar ökat. Med tillhörande frustrationer – vilket paket är bäst för just oss. Om något.

Den drivande kraften bakom en molnflytt är möjligheten att snabbare digitalisera verksamheten och vässa erbjudandet till marknaden. Och därmed stärka konkurrenskraften. Kanske också spara en slant.

Men utan rätt analys är risken stor att en flytt resulterar i en kostnadsexplosion. Våra egna undersökningar visar att det kan handla om uppemot 58 procent högre kostnader. Även efter att effektivitetsvinster räknats in. Orsakerna är flera:

En tydlig molnstrategi saknas. Vilka krav ska vi ställa på prestanda, tillgänglighet och säkerhet? Vem ska sköta lösningen – företaget självt, molnleverantören eller tredje part? Ska IT eller verksamheten äga lösningen? Ska vi binda licensavtal till en fast kostnad eller låta det vara rörligt?

Kostnader för på-plats miljön. En dubbel it-miljö kan existera längre än förväntat, av tvång eller val för att inte skapa beroenden. Kostnaden kan bli en kalldusch.

Oklar flyttkostnad till molnet. Befintliga kostnader för hård- och mjukvara, konsulter, säkerhet och underhållsavtal har man ofta koll på. Liksom målen för molnet och/eller den produktivitetsvinst man önskar uppnå. Men flyttkostnaderna?

Kostnaderna i molnet. På/av-knappen för olika resurser i molnet gör att kostnaderna lätt kan skena. Pågående arbete med att optimera licensanvändning och arbetssätt kan innebära förändrade licensbehov och kostnadskonsekvenser genom bindningstider i den nya lösningen.

Det handlar förstås inte alltid om att spara pengar med molnet. Men på något sätt måste förändringen ändå sättas i relation till utgångsläget. När och hur stora produktivitetsvinster som kan realiseras och hur effektivitetsvinsten kan användas för att höja konkurrenskraften, är ofta viktigare. Som i sin tur ofta innebär ny eller uppgraderad mjukvara för medarbetarna.

Bindningstider för licensavtal är då en central fråga – en fast kostnad är en trygghet, men också en chansning över tid. Lite som att binda räntan för ett bolån, man kan både vinna och förlora på det.

Fel analys och tidsbrist gör ofta att företaget riskerar att satsa på både hängslen och livrem för inköpen. Inte minst då licensgivarna hela tiden paketerar om sina modeller, vilket förändrar ”spelplanen” och gör att eventuellt ingångna avtal riskerar att bli väldigt dyra och passa sämre under avtalstiden. Eller till och med tvinga till nya inköp av licenser för att inte stjälpa organisationen helt.

Det vita molnet skapar gråa hår i takt med att kostnaderna skenar. Målen kanske inte nås. Här har självklart mjukvarubolagen en stor uppgift att göra regelverket så pass enkelt att förstå att kunderna själva kan hitta rätt nivå i licensieringsdjungeln. Och att erbjuda möjlighet till ”plock” istället för paket av sina licenser.

Då skulle vi, samtliga involverade parter, gemensamt kunna fokusera på det som är mycket viktigare för organisationerna, nämligen att blicka framåt och driva utvecklingen av verksamheten för att åstadkomma innovation. Det som entreprenörer brinner för.

Ordning och reda blir aldrig omodernt. Frågan är – kommer oordningen vid flytten till molnet på grund av krångliga licensregler någonsin att bli det?

Ira Kolehmainen, sverigechef SoftwareOne

Hackare riktar attacker mot medicinska institut i den värsta tänkbara tid

| Linda Kante

Mellan 2017 och 2018 blev kritiska infrastrukturer, inklusive energileverantörer och sjukvårdsanläggningar, snabbt heta mål för hackare. Men högprofilerade cyberbrottsgrupper undvek ofta kritiska system, särskilt sjukhus, då deras handlingar oavsiktligt kunde ta oskyldiga liv. På den tiden hade Black Hat-hackare etiken kvar.

Kanske det mest anmärkningsvärda exemplet på moral kom från den ökända hacker-gruppen känd som GandCrab, kända för sina hänsynslösa ransomware-attacker. Efter att de hört berättelsen om en far vars enda minnen från hans förlorade barn hade krypterats av deras ransomware, gav hackergruppen ut dekrypteringsnycklarna gratis.

Idag, när hela världen ligger under hot av ett biologiskt virus och inte ett digitalt, verkar hackare dock ha förlorat sin etik helt.

Att rida på corona-vågen

Med covid-19-skräcken som tog upp ångan i början av 2020, började cyberbrottslingar anpassa sina kampanjer i enlighet därmed – genom att utnyttja hypen med phishing-bedrägerier och olika falska system. Experterna förutspådde att tjuvarna bara värmde upp och eftersom deras phishing-bedrägerier hade blivit så effektiva kunde de nu användas för att distribuera data som stjäl skadlig programvara och ransomware.

Medicinska institutioner, som är ökända för sin bristfälliga kompetens inom cybersäkerhet och skyddsåtgärder, har blivit det nya heta målet för ransomware-operatörer. Även de som lovade att sluta rikta attacker mot hälsoindustrin – som det ökända Maze Team – fortsatte att skapa offer bland medicinska anläggningar.

Hackare visar idag inte visar någon respekt för etik och stryper medvetet hälsoindustrin. Det verkar som om de inte ens bryr sig om att just de institutioner de riktar sina attacker mot kan behöva ta hand om deras egna nära och kära i morgon.

Att sparka på någon som ligger

I början av covid-19-pandemin attackerades ett sjukhus och en Corona-testanläggning i Tjeckien. Attacken tvingade anläggningen att stoppa testerna och fick istället hänvisa patienter till ett närliggande sjukhus, vilket påverkade försöken att stoppa spridningen av viruset.

För drygt en månad attackerade den ökända ransomware-operationen, känd som Maze Team, ett medicinskt forskningsföretag planerat att testa ett potentiellt vaccin mot covid-19-viruset. Hackergruppen hade meddelat veckan innan att de skulle sluta rikta sina attacker mot enheter som bekämpar coronavirus-pandemin.

Strax därefter attackerades även en hälsoanläggning i USA. Två veckor senare attackerades bioteknikforskningsföretaget 10x Genomics med en ransomware-attack mitt i arbetet med potentiella covid-19-behandlingar.

WHO ser en dramatisk ökning av antalet cyberattacker riktade mot dess personal, liksom e-postbedrägerier riktade till allmänheten i stort. Amerikanska tjänstemän pekar fingret mot Kina och hävdar nu att de har sett en ökning av cyberattacker mot amerikanska myndigheter och läkemedelsföretag i ett försök att stjäla forskning för att stödja utvecklingen av behandlingar eller vaccin. Det är nu dags för medicinska anläggningar och regeringar över hela världen att agera mot dessa hacker-legioner.

Bekämpa en annan typ av pandemi – internetkriminalitet

När det gäller cyberhot är sjukvården en av de hårdast drabbade branscherna. Nya studier visar att cirka två tredjedelar av medicinska enheter över hela världen har varit offer för en cyberattack vid någon tidpunkt. Sjukvårdsleverantörer är ett enkelt och lukrativt mål. Mycket av utrustningen som används på sjukhus kan inte skyddas mot attacker med traditionella säkerhetslösningar. Läkare och sjuksköterskor är heller inte tillräckligt utbildade för att upptäcka ett potentiellt cyberhot och ofta är anläggningens IT-avdelning dåligt beredd att stoppa en pågående attack.

Vid en ransomware-attack riskeras liv på fler sätt än ett. Hälsojournaler går förlorade, sjukvårdssystemen är lamslagen och kritiska patienter måste vidarebefordras till angränsande enheter eller till och med utomlands. När timmar och minuter är viktiga är misslyckande inte ett alternativ.

Samtidigt som coronaviruset hotar länder runt om i världen måste världsregeringar vidta proaktiva åtgärder förr snarare än senare. Medicinsk personal, tjänsteleverantörer och vårdleverantörer måste genomföra cyberutbildning som en formalitet. Hälso- och sjukvårdsledningen måste göra cyber-säkerhet till en prioritet och använda de tekniska skyddsåtgärderna som finns tillgängliga.

I de värsta tänkbara tider blir digital krigsföring som detta lika viktigt som det hot som själva coronaviruset utger. Mer så, blir de etiklösa karaktärsdragen hos hackare än mer tydliga – oavsett om de är statligt sponsrade eller bara ekonomiskt motiverade. Enkelt uttryckt har inte kritiska infrastrukturer, som medicinska anläggningar, längre råd att bli offer för internetbrott. Om vi fortsätter tillåta det kommer alla av oss i slutändan att bli offer för cyberbrott.

Filip Truta, information security analyst på Bitdefender

Datasäkerhet – en förutsättning för hållbara samhällen

| Kronika

Sällan har medvetenheten kring och behovet av digitala lösningar accelererat i så snabb takt som under Coronakrisen. Till följd ställs nu etiska dilemman på sin spets då de mest innovativa lösningarna ofta handlar om att tillgängliggöra data som skapats utifrån information som människor mer eller mindre medvetet lämnat ifrån sig. På AddSecure, där samspelet mellan digitalisering och säkerhet är kärnan, ser vi hur definitionen av säkerhet är på väg att förändras. För att skapa framtidens hållbara lösningar så krävs mer och bättre data, samtidigt som vi måste hitta vägar för att skydda individer och företag.

I dagens uppkopplade värld präglar Internet of Things (IoT), informationsteknik och AI moderna samhällen och ekonomier. Med IoT kan vi mäta och automatisera tekniska lösningar som stöder en hållbar och klimatsmart utveckling. I processen genereras enorma mängder data med vilken vi ytterligare kan förändra sättet vi producerar, konsumerar och lever våra liv. Datatillgången påverkar alla aspekter av våra liv – om det så handlar om en mer medveten energiförbrukning, ändra människors köpmönster, att skapa förutsättningar för en mer effektiv hälsovård, eller för att skydda oss mot en pandemi.

I en kartläggning gjord av PwC på uppdrag av World Economic Forum är IoT en komponent i en tredjedel av de nya lösningar som krävs för att uppnå de globala målen och Agenda 2030. EU-kommissionen räknar å sin sida med att IT-baserade smarta lösningar kan bidra till en minskning av de globala utsläppen med upp till 15 procent. Vi kan konstatera att världen blir allt mer uppkopplad, och att det är en viktig och önskvärd utveckling. Men det innebär också att åtkomsten till data måste skyddas från obehöriga, samtidigt som privatpersoners och företags integritet säkras under delnings- och användningsprocessen. Först då möjliggörs utvecklingen av morgondagens effektiva tekniska lösningar. Först då kan vi optimera våra samhällsfunktioner och skapa förutsättningar för kommande generationer.

På AddSecure ser vi hur förståelsen av ”säker data” har gått från att handla om pålitliga uppkopplingar, obruten kommunikation och skydd från yttre påverkan till att nu också handla om trovärdighet, ärlighet och integritet. EU pratar i sin femåriga datastrategi om ”the European way” – att balansera ett ökat flöde och en dataanvändning med bibehållen integritet, säkerhet, trygghet och etik. EU:s mål är att skapa den mest attraktiva, säkraste och mest agila databaserade ekonomin i världen. Lyckas vi med det så ökar produktivitet och värdeskapande, samtidigt som förutsättningarna för att reducera miljöpåverkan och bygga bättre välfärdstjänster görs möjliga.

Genom smarta och säkra konnektivitetslösningar bidrar AddSecure redan idag till utvecklingen av framtidens smarta elnät, trafikflödeslösningar för optimerad resursanvändning och minskade utsläpp, säkra arbets- och lärandemiljöer samt bärbara smarta lösningar för bättre vård och omsorg. Säkrad data och kritisk kommunikation är kärnan i vår verksamhet – och det område där vi hela tiden möter nya utmaningar.

Under Coronapandemin ser vi att försöken till att skada eller störa det digitala livet trappas upp, samtidigt som behovet av databaserade och uppkopplade lösningar ökar. Det har satt ljuset på frågor om individers integritet och skydd. När vi blickar framåt och fortsätter bygga AddSecure, så utgör frågan om data- och informationssäkerhet ett av våra prioriterade hållbarhetsområden. Vårt mål är att erbjuda lösningar som baseras på säker, uppriktig och tillförlitlig datahantering. Det här är inte en fråga vi löser på egen hand. Istället krävs samarbete med leverantörer, kunder och slutanvändare. Så ser vi till att data säkras och används på ett sätt som för samhällsutvecklingen i rätt riktning.

Johanna Giorgi, hållbarhetschef, AddSecure

Interna säkerhetsincidenter ett växande hot – så bekämpar du dem

| Linda Kante

Säkerhetsexperter tillbringar mycket tid på att försöka bekämpa hot utifrån – och det med god anledning. Men det är minst lika viktigt att skydda upp sig mot interna säkerhetsincidenter.

Teckna din prenumeration på Aktuell Säkerhet här

Enligt en ny undersökning från ObserveIT, som tagits fram tillsammans med Ponemon-institutet och IBM, har frekvensen av interna säkerhetsincidenter ökat med 47 procent på bara två år. Likaså har kostnaden för dessa skenat – idag lägger företag och organisationer 31 procent mer resurser på att bekämpa dessa jämfört med 2018.

Det är oroande siffror. Interna säkerhetsincidenter riskerar att orsaka stor skada och är dessutom notoriskt svåra att skydda sig mot. Förövaren befinner sig ju redan på insidan och har i värsta fall tillgång till mycket känsliga uppgifter.

Under den pågående pandemikrisen blir det försvaret av naturliga skäl ännu mer komplicerat, då en majoritet arbetar på distans, och beprövade processer för att hantera och dela information inte fungerar.  Även känsliga handlingar måste hanteras på digitala plattformar.

När du bygger ett försvar mot interna säkerhetsincidenter är det lätt att du hänför dig åt det gamla säkerhetstänket att inte lita på någon. Dessvärre är det en strategi som rent praktiskt är svår att genomföra på ett modernt företag.

Lyckligtvis finns det flera mindre drastiska åtgärder för att upptäcka dessa typer av hot och stoppa dem innan de får fäste. Det första som behöver göras är att förstå vad som driver en insiderbrottslig. Här kan vi normalt sett sortera i tre kategorier.

Oavsiktliga incidenter: Här kan vi placera anställda som på ett eller anat sätt slarvar med säkerheten, exempelvis genom att installera obehöriga program eller som uppvisar stora brister i sina lösenordsvanor. Dessa är vanligtvis mindre problematiska att åtgärda då de främst kräver robusta säkerhetsrutiner och kontinuerlig uppföljning.

Känslomässiga motiv: Dessa incidenter uppkommer vanligtvis från anställda som har någon form av vendetta mot organisationen – och som försöker placera hot med målet att skada företaget.

Finansiella motiv: Numera existerar en uppsjö av alternativ för den som vill dra olovlig nytta av en priviligierad åtkomst. Exempelvis kan känsliga data säljas vidare till nätkriminella.

Både incidenter där känslomässiga och finansiella motiv ligger bakom är svåra att upptäcka eftersom förövarna är medvetna om vad de gör och ofta är snabba på att sopa igen spåren efter sig. Här gäller det att vara uppmärksam på minsta beteendeförändring, exempelvis genom att noga övervaka nätaktiviteten.

Oavsett intention kan interna incidenter inträffa var som helst inom organisationen. Med det sagt är det vanligtvis svårast att upptäcka dem som startar längre ned i företagshierarkin där de anställda inte är lika noga övervakade och inte har lika goda säkerhetsvanor men ändå sitter inne på känslig information.

De skiljer sig dessutom mot externa incidenter så till vida att de tar mycket längre tid att upptäcka – om de upptäcks alls. Siffror har bland annat visat att 40 procent av alla interna säkerhetshot inte blivit upptäckta fem år.

Så hur ska man göra för att skydda sig mot dem? Som med det mesta inom cybersäkerhet handlar det om att vara så förberedd som möjligt och kombinera policys med bra verktyg och kvalitativ utbildning. Förutom att alla anställda regelbundet bör tränas kring hur de ska säkerhetsställa att de inte orsakar någon oavsiktlig skada för företaget behöver de också förstå hur de upptäcker misstänkt aktivitet och beteende bland sina kollegor.

Att bekämpa interna säkerhetsincidenter effektivt är en utmaning men det är inte omöjligt. Det handlar om att vara transparent och vaksam – och framför allt är det absolut nödvändigt att du vet vem som har tillgång till vilken information och hur de får tillgång till den.

Adenike Cosgrove
Säkerhetsexpert, Proofpoint

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29