Aktuell Säkerhet

Tidningen för dig som vill göra säkrare affärer

Advertisement

Många små och medelstora företag förbiser molnets fallgropar

| Kronika

Potentialen i molntjänster är verkligen stor för små och medelstora företag, men de måste också se upp för fallgroparna – särskilt kring många molnlösningars brist på säkerhetskopiering.

Det finns många bra skäl för mindre företag att använda molntjänster. Man slipper exempelvis att använda fysiska servrar för applikationer, databaser, lagring, e-post och mycket mer. Samtidigt är det också enkelt och flexibelt att kunna skruva upp och ner användningen och lagringen av data och därmed bättre kunna förutse kostnaderna för IT-driften. Men vår erfarenhet visar att många företag ofta förbiser såväl backup som cybersäkerhet då de hoppar på molntåget.

Att glömma backup ett vanligt misstag
Att molnlösningar innebär flexibilitet och kostnadseffektivitet är de flesta små och medelstora företag medvetna om, men något som ofta glöms är dataskyddet och lagringen. För även om företagens data till viss del är skyddat av de olika molnleverantörerna, säkerhetskopieras inte den automatiskt såvida detta inte uttryckligen har avtalats. Därför har många företag upplevt obehagliga överraskningar eftersom de inte har haft en offline-kopia av sin data. Säkerhetskopiering och återställning är inte något som ingår automatiskt när man använder en molntjänst, det är något du måste välja aktivt från din molnleverantör. Att förbise detta kan få ödesdigra konsekvenser om du skulle råka ut för dataförlust.

En försäkring för dataskydd
För vissa mindre företag kan en molntjänst uppfattas som en stor investering, och det kan också uppfattas som ett stort steg att ta in externa aktörer att ansvara för företagets IT-verksamhet och säkerhetskopiering. Men om olyckan är framme, exempelvis i form av en ransomware-attack, kan företag, om de har en solid backup-lösning på plats, snabbt och utan några större utgifter återgå till normal drift. Härifrån kan de återställa sina filer, inställningar och annat, och smidigt återgå till sin vanliga verksamhet.

Man kan se det som en försäkring som skyddar mot oförutsedda händelser. Med en av de stora molnleverantörerna bakom dig, inklusive en backup-lösning, har du som ett litet företag plötsligt stora muskler i kampen mot cyberbrottslingar och har därmed också en verklig chans att slå tillbaka. Om du å andra sidan står ensam mot hackarna behövs en bredare strategi för att hålla dem utanför dörren.

Ett delat ansvar
I mitt arbete upplever jag ofta att många företag är skeptiska till att lägga sin data- och cybersäkerhet i händerna på en extern molnleverantör. Men egentligen handlar det inte om att lämna säkerheten till någon annan utan det är ett delat ansvar mellan företaget och molnleverantören.

Molnleverantören tar ansvar för tjänsten de erbjuder, i form av tillgänglighet, säkerhet och en stabil infrastruktur, medan kunden i sin tur ansvarar för användningen av de olika molnapplikationerna och att de används på ett säkert, konfidentiellt och GDPR-säkrat sätt. Detta görs bland annat genom att använda starka lösenord, skärpa åtkomsten till konfidentiella filer och använda tvåfaktorautentisering för molnåtkomst.

Hotbedömning och utbildning fortfarande A och O
Dessutom måste du se till att de anställda utbildas i säker hantering av konfidentiella uppgifter och att du har en detaljerad och väl testad beredskapsplan i händelse av ett potentiellt dataintrång. Jag vet att vi inom cybersäkerhetsbranschen ofta tjatar om det här med utbildning av anställda, men det går verkligen inte att överskatta vikten av att de anställda också har ett ansvar för företagets cybersäkerhet.

Men trots god utbildning kan olyckan i form av dataintrång och datastöld ändå vara framme. Därför måste man dessutom utarbeta en hotbedömning, som bland annat innehåller en ansvarsfördelning och en plan för hur och hur snabbt data kan återställas från säkerhetskopian. Om du använder en leverantör av IT-funktionstjänster (MSP) eller någon annan typ av IT-servicepartner är det standard att en hotbedömning utarbetas gemensamt, så att du kan luta dig tillbaka och fokusera på det viktigaste: företagets strategi, verksamhet och tillväxt. Så låt oss tillsammans arbeta för ett säkert 2021, där även små företag kan utvecklas utan att behöva riskera sin data, och dra nytta av alla de fördelar som finns i att bedriva en molnbaserad verksamhet.

Scott Gower, Nordenchef på Datto

Svenska företag behöver enhetliga EU-regler för digital handel

| Kronika

Svenska företag, svensk innovation och svensk entreprenörsanda når stora framgångar, inte minst i Europa. Svenska techbolag och e-handelsföretag är ofta internationellt verksamma från dag ett. Ett skavande problem, som de delar med andra företag som verkar online i Europa, är dock svårigheterna att klara av att möta alla regelverk. Många länder har egna regler som företag måste anpassa sig till. Det är krångligt och skapar osäkerhet. Utvecklingen bromsas. Det menar Erik Olofsson, Nordenchef Stripe.

EU:s medlemsländer vill skapa en reglerad ekonomi som ger skydd och säkerhet åt en halv miljard människor. Och höga krav står inte i motsättning till ekonomisk tillväxt. Det visar Europas stigande välstånd. Vad företag önskar är att dessa regelverk harmoniseras.

Den gemensamma inre digitala marknaden lämnar ur det perspektivet en hel del mer att önska. Enligt en studie, utförd av B2B International på uppdrag av Stripe, menar tre fjärdedelar av EU:s onlineföretag att regelefterlevnad är ett hinder för deras tillväxt. Nästan två tredjedelar (64 procent) bedömer att de skulle haft verksamhet i minst tio europeiska länder om reglerna varit mer likartade i hela EU. Därtill menar 42 procent av beslutsfattarna att efterlevnad blir allt svårare när reglerna blir fler och spretar mellan olika länder.

Om hanteringen av regleringar, efterlevnad och moms var enklare och likformig i de olika medlemsländerna skulle företag som verkar online, menar de själva, kunna öka sin omsättning med hela 30 procent. Sett till alla onlineföretag inom B2C i hela EU skulle enbart detta marknadssegment då kunna omsätta ytterligare 100 miljarder euro.

Dock är det självklart lättare att samordna regelverk i teorin än i praktiken. Att EU:s 27 medlemsländer har sina respektive politiska, juridiska och ekonomiska kulturer gör det bara än mer angeläget. Alternativkostnaden för denna fragmentering är uppenbar. Lägg därtill att endast 33 procent av företagen känner sig trygga med att de verkligen uppfyller alla regulatoriska krav i de länder där de verkar. För Sveriges del är siffran till och med något lägre, 30 procent. Tre fjärdedelar säger att de är osäkra på om de ens förstår vilka regler som berör just dem – i Sverige är siffran 77 procent. Det är häpnadsväckande uppgifter eftersom företag i värsta fall kan gå under om de inte följer reglerna.

Att bättre synkronisera regelverken är helt klart en grundläggande förutsättning om Europas onlineekonomi ska fortsätta utvecklas och vara framgångsrik

Europakommissionen har gjort den digitala utvecklingen till sin hjärtefråga och diskuterar nu en rad lagförslag. Det är lika viktigt att se över möjligheterna att samordna lagstiftning och rättsskipning som att hantera trender inom artificiell intelligens och kryptovalutor. Det är särskilt angeläget för mindre företag, med under 100 anställda. De är mest ivriga att utöka sin verksamhet till alla EU-länder, men hindras av överdrivet komplexa regelverk.

Utmaningen är inte enbart politisk. Teknik kan hjälpa företag att anpassa sig till de regler inom EU som berör dem. Det växande utbudet av verktyg för regelefterlevnad (RegTech) kan vara en del av lösningen. Faktiskt använder 70 procent av e-handelsföretagen redan nu teknik som hjälper dem att hantera regler och efterlevnad. Olyckligtvis är även denna marknad fragmenterad eftersom de verktyg som står till buds är begränsade och fungerar i varje land för sig. Det återstår mycket arbete för teknikleverantörerna att skapa integrerade lösningar som kommer tillrätta med problemen för alla länder och branscher. Det skulle ge Europas startups en helt ny kick.

Men självklart kan vi inte förlita oss på att tech-branschen själva ska lösa problemet med komplexitet. Att samordna nationella regelverk är själva huvudnyckeln till fortsatt tillväxt för den europeiska online-ekonomin och politiker måste fortsätta arbeta för detta mål. Ett bra exempel på konstruktivt samarbete mellan lagstiftare och teknikföretag är utvecklingen av digital identifiering. Där behövs, förstås, både ett samordnat regelverk samt de rätta tekniska verktygen.

Samordning av regelverk i Europa är på sikt en strategisk fråga för svensk konkurrenskraft. Sverige är relativt sett en liten marknad och många techföretag är beroende av en harmoniserad och stark global marknad med förutsägbara villkor. Det gäller inte minst betalningsflöden. När de flesta betalningar nu sker online måste de kunna genomföras både säkert och smidigt. Lagstiftare och teknikföretag kan tillsammans öppna nya möjligheter för både företag och konsumenter. En öppnare och mer konkurrensneutral handel bidrar dessutom till ökat välstånd och ett mer enat Europa som står starkare inför kommande kriser.

Erik Olofsson, Nordenchef Stripe

Handlarnas ansvar att stoppa växande bedrägeriform

| Linda Kante

Det kommer att bli en ovanlig jul i år, både när det gäller hur vi ska fira själva högtiderna och hur vi ska hantera förberedelserna.

En allt större andel av julklappshandeln har flyttat ut på nätet på senare år, men i år är utvecklingen explosionsartad, drivet av pandemin och oron för smittspridningen i samhället och den egna hälsan – inte minst bland äldre. Enligt en undersökning från prisjämförelseföretaget Pricerunner förväntas e-handeln under julsäsongen öka med upp till 30 procent jämfört med 2019 och omsätta mer än 10 miljarder kronor.

Många som handlar årets julklappar på nätet kommer därmed att ha ingen eller väldigt begränsad erfarenhet av att e-handla, och det ökar förstås också risken för att drabbas av bedrägerier. Så här års är det högsäsong för cyberbedrägerier, och likaså för konsumentupplysning kring hur man som konsument skyddar sig från cyberbrott. Men informationen når inte alla och går inte alltid att ta till sig för den som är ovan vid teknik. Och ibland hittar de skickligaste kriminella vägar runt dem.

Ett råd som upprepas som det viktigaste i nästan varje sammanställning för att handla säkert är att ”kolla att avsändaradressen stämmer” när du får ett mejl som ser ut att komma från en e-handelssajt eller en leverantör. Det är förstås ett i högsta grad relevant råd då majoriteten av bedrägeriförsök fortfarande är ganska klumpigt utförda. Problemet är att det inte alltid är tillräckligt.

Idag är det väldigt enkelt att utföra ”domänspoofing”, det vill säga att maskera avsändaren så att den ser ut att komma från ett legitimt företag.

Tänk er scenariot att du får ett professionellt utfört meddelande från en nätbutik du just beställt en vara från. Du har ansträngt dig för att vara försiktig, läst konsumentråden och konstaterar att domänadressen är korrekt innan du följer anvisningarna. Men du luras ändå i fällan, trots att du gjort rätt.

Det är relativt lätt att skydda en domän från att spoofas. Men en ny undersökning bland 25 av de största svenska e-handelssajterna visade att bara 15 procent av dem använde ett sådant skydd fullt ut. Skyddet, ett protokoll som kallas DMARC, gör att domänägaren spärrar spoofade e-postmeddelanden från att nå mottagaren. Det är en förbättring jämfört med 2019, då bara fem procent av de största sajterna använde ett sådant skydd, men ändå långt kvar till en acceptabel konsumentsäkerhet. Bedrägeriförsök som bygger på domänspoofing ökade tiofaldigt mellan 2018 och 2019, och även om ökningstakten dämpats beräknas fler än tre miljarder sådana mejl skickas ut och tas emot varje dag världen över. Vi har under de senaste åren sett allt mer sofistikerade svenskspråkiga bedrägerivågor äga rum, och i kombination med en spoofad avsändaradress blir det ännu svårare för dig som köpare att avgöra vad som är äkta och vad som är falskt.

Det finns förstås fler viktiga råd att följa som konsument – att aldrig klicka på osäkra länkar, och aldrig öppna bifogade filer – men när det gäller avsändaradressen ligger det stora ansvaret för att försvåra för de cyberkriminella på handlarna. Det är redan en tillräckligt stor utmaning för konsumenter att freda sig mot olika former av bedrägeriförsök – särskilt de som aldrig har e-handlat förr. Låt oss inte göra det ännu svårare för dem.

Var vaksamma i julhanden, och ta hand om varandra.

Örjan Westman, Nordenchef Proofpoint

Bara idioter tvingar kvar sin partner

| Kronika

Otryggheten ökar inom alltfler yrkesgrupper och efterfrågan på säkerhet ökar i takt med den trista trenden. Det innebär givetvis möjligheter för oss i säkerhetsbranschen, men det är tydligt att det också lämnar utrymme för fulknep och oseriösa aktörer.

Vi som drivs av visionen om ett säkert samhälle har ett stort ansvar: att skapa trygghet och aldrig någonsin spela på rädsla.

Som säkerhetsleverantör brottas man ständigt med en omogen beställarkompetens. Vi ser tydligt behovet, men möter inte sällan en förfrågan eller upphandling som helt skjuter över målet. Vår inställning är att man måste jobba proaktivt för att göra skillnad på riktigt. Vi sätter ett värde i att hjälpa till att öka förståelsen för helheten, även om det ibland innebär att vi förlorar en potentiell affär.

Ta skolvärlden som exempel. Vi har ett antal skolor som kunder och vi vet att hot och våld i skolan är ett stort arbetsmiljöproblem. Vår kärnverksamhet är personsäkerhet i allmänhet och personlarm i synnerhet. Men, och det här är viktigt, personlarm är enligt mig den sista utvägen i skolvärlden. Det finns undantag, men generellt skulle jag vilja påstå att skolor inte behöver fler personlarm – skolor behöver mer personal.

Vi vet att det inträffar incidenter på raster, att det gått vilt till i korridorerna och att så många som var femte lärare känner ett obehag inför risken att utsättas för hot, våld eller trakasserier när de går till arbetet. Det är skandal. Skolan har ett gigantiskt problem som skolan behöver ta hand om, men personlarm är inte lösningen. Det behövs mer personal i varje situation, i klassrummet, i omklädningsrummet och på skolgården – och alla som jobbar i skolan ska ha tillräcklig kompetens för att minimera risker på arbetsplatsen. Här vågar jag påstå att det många gånger brister.

När det skiter sig trots allt, när personaltätheten inte hålls uppe och en anställd utsätts för ett tillbud med inslag av hot och/eller våld, så måste den som drabbas snabbt kunna slå larm. Det är ett tydligt krav i lagen, och det är här våra produkter kommer in i bilden. Men innan dess spelar hot- och våldsutbildningar, konflikthantering och riskanalysen huvudrollerna hela vägen.

Vi välkomnar konkurrens och tror att det på alla sätt bidrar till utveckling och ett bättre utbud. Konkurrens gör att vi hela tiden måste jobba framåt för att hålla oss relevanta och i framkant, för att våra kunder ska känna att vi levererar Sveriges främsta personlarmspaket precis som utlovat. Står vi stilla och gör som vi alltid ha gjort blir vi omsprungna på nolltid.

Dock möter vi allt oftare kunder som upplever sig bakbundna av leverantörer man tidigare valt. Oseriösa avtal håller kunden i ett järngrepp i åratal, utan löpande uppföljning. När avtalet sedan äntligen löper ut, visar det sig att avtalet har en automatisk förlängning på flera år.

Vi älskar att gå i bräschen, och vill utmana våra branschkollegor att hänga på. Ledordet är hållbarhet. Minns ni för några år sedan, när mobilmarknaden fullständigt ritades om och skapade en ny norm med total frihet för kunden? Vi går åt det hållet! Vi förbättrar ständigt våra avtal, för att tvinga kvar en partner som vill gå vidare är oseriöst.

Vi förordar långsiktighet, men vill vara långsiktiga på schyssta villkor. Så länge vår partner är nöjd med vår relation, så känner vi oss trygga med att relationen kommer att hålla. Det är egentligen inte konstigare än vilken annan relation som helst, oavsett om det handlar om en vänskapsrelation eller en kärleksrelation. Och ärligt talat, vilket äktenskap mår bra av att den ena parten tvingats kvar i ett snårigt kontrakt på 24 månader?

Hållbarhet genomsyrar allt vi gör. Personlarmen blir mindre och drifttiden allt längre, det är toppen. Men vi måste titta på vilka klimatavtryck produktionen och distributionen av larmen gör. Det finns fantastiskt fina utsläppsfria fabriker som utvecklar framtidens teknik redan idag. Personlarm må vara en liten produkt i samhället, men alla måste ta sitt ansvar.

Det är några exempel på hur vi på Axel Group tar vårt ansvar på vägen mot ett säkert samhälle, utan att någonsin spela på rädsla. Utmana oss gärna, och kom ihåg att det är viktigt att våga säga nej till en affär som inte gynnar både dig och din partner.

Johannes Jacobsson, vd Axel Group

Tre sanningar om ransomware – därför görs det inte tillräckligt mycket

| Kronika

Ransomware-attacker fortsätter att drabba företag av alla storlekar. Nyligen fick två incidenter enorm uppmärksamhet: Gunnebo och Vannepsyk – och även om mycket fortfarande är oklart kring båda dessa kan vi nog fastslå att det visar på allvarliga brister.

Faktum är att de här två fallen bara är toppen av ett isberg. Det fastslogs inte minst efter MSB:s skarpa varning om att ransomware-attacker är på kraftig uppgång. Bakgrunden till den varningen är att amerikanska CISA nyligen uppmärksammat att sjukvårdssektorn i USA är utsatt för större ransomware-hot. Samma utveckling spås drabba Sverige.

Varför ser det då ut så här? En delförklaring är att säkerhetsområdet idag är så komplext och oförutsägbart. Den pågående pandemin har dessutom skapat ytterligare utmaningar för organisationer över hela världen. I takt med att anställda får andra rutiner blir det svårare att upptäcka oregelbunden trafik och misstänkta aktiviteter.

Säkerhetsavdelningar brottas varje dag med oväntade utmaningar, till följd av en ständigt pågående digital transformation. Nyligen publicerade vi på One Identity en större undersökning som visar att endast 38 procent av respondenterna i Skandinavien anser att övergången till distansarbete fungerat smidigt. Och bara 42 procent säger sig vara tillräckligt förberedda för de nödvändiga IT-förändringar som behöver ske när de anställda så småningom återgår till kontoret. Det skapar en perfekt storm för nätkriminella. Det är inte det minsta anmärkningsvärt att vi nu ser en våg av ransomware-incidenter och att det varnas för ännu fler.

Lägg därtill att det inte existerar någon enkel lösning till detta eskalerande problem. Snarare bör varje enskild organisation arbeta utifrån en kombination av flera förebyggande åtgärder och anpassa dessa efter sin egen struktur.

  • Anställda slarvar fortsatt med det mest rudimentära
    Ransomware-attacker är förrädiska på så sätt att de nästan alltid börjar med någon annan typ av attack. Mycket är fortfarande oklart kring Gunnebo-incidenten men vad vi vet är att en grupp påstår sig ha kommit över data via ett numera nedsläckt Twitter-konto. Utifrån det har man utfört attacker mot en rad större bolag. Dels är det extremt allvarligt att anställda saknar förståelse för hur bristande rutiner riskerar att skada företaget, dels är det en utmaning att skydda alla dessa konton som cirkulerar.
  • Det saknas ordentlig kartläggning
    Att utgå från att samtliga inom organisationen sköter sina best practises är att vara godtrogen. I säkerhetsbranschen talar vi om att antingen använda en least privileged- (vem som har tillgång till vilka data) eller en zero trust-strategi (att kontrollera samtliga förfrågningar). Genom sådana implementationer blir det mycket enklare att sätta in förebyggande åtgärder på rätt plats och stoppa incidenter innan de blir kritiska.
  • Tillräcklig detektering behöver sättas in
    När väl en incident inträffar är det nödvändigt att rätt resurser sätts in i ett så tidigt skede som möjligt. Genom att segmentera strukturen och arbeta effektivt med priviligierad accesshantering och it-styrning gör man sig själv till en oattraktiv måltavla av den enkla anledningen att det blir för krångligt att utföra en attack.

För att återgå till Nordamerika föreslår det amerikanska finansdepartementet att det framöver ska bli olagligt att betala lösensumma vid en ransomware-attack, och att organisationer som gör så kan komma att åtalas. Det är ett klokt och nödvändigt steg för att vända kurvan och något EU bör ta efter.

Någon ”quick fix” är det dock inte, betalning sker fortsatt i det dolda och trenden pekar åt helt fel håll. Så länge organisationer inte är tillräckligt förberedda lär vi även fortsättningsvis höra om storskaliga incidenter som sätter hela företagets rykte på spel.

Elisabeth Ström Gullberg, Nordenchef på One Identity

Från låsa till läcka – låt inte den senaste tidens ”tysta” utpressningsattacker leda till avstannad digitalisering

| Kronika

Att genomföra utpressningsattacker kan vara mycket lönsamt, och det finns ingen brist på ligor som skapat omfattande affärsverksamheter kring fenomenet, inte minst gentemot svenska verksamheter. Genom att ta sig in i offrets system och låsa tillgången till data via kryptering kan angripare lamslå företag och organisationer. Först när den angripne betalar dekrypterar angriparen data så att verksamheten kan fortgå. Den här typen av attacker sker till stor del via automatiska funktioner utan någon större manuell handpåläggning. Det innebär att angripare kan driftsätta attacker i stor skala till ett billigt pris. Väl inne i systemet kan angripare sen kryptera data ganska urskillningslöst. Samtidigt är dessa attacker mer högljudda än manuella attacker och det finns därmed vissa möjligheter för säkerhetsteam att upptäcka attackerna utifrån de trafikavvikelser som uppstår. Via smarta lösningar för säkerhetskopiering och återställning av data kan också en stor del av den skada som denna typ av attacker ställer till med hanteras proaktivt.

Under oktober, vilket ironiskt nog är den europeiska cybersäkerhetsmånaden 2020, drabbades  plötsligt flera företag av en annan typ av utpressningsattacker. Det handlar om attacker där angriparen läcker, eller hotar med att läcka, data till obehöriga – exempelvis via Darknet. Dessa attacker är mer fokuserade och innebär inte att något krypteras. De blir därmed mindre högljudda och svårare att upptäcka än automatiska attacker. Det innebär också att säkerhetskopiering och återställning av data inte löser problemet.

Vid denna typ av attacker kontaktar angriparen verksamheten, och i vissa fall dess kunder, efter ett lyckat intrång och talar om att de har stulit data och att den drabbade behöver betala för att man inte ska läcka den. För att lyckas stjäla data som är så känslig att företag och privatpersoner är beredda att betala mycket pengar för att undvika att den exponeras krävs fokus och manuellt arbete. Det medför att denna attacktyp är betydligt dyrare att genomföra. Kostnaden har hittills varit den största orsaken till varför angripare som är ute efter pengar valt den automatiska och mindre resurskrävande intrångsmetoden. Men i oktober har det alltså visat sig att detta håller på att förändras.

Ifall offren väljer att inte betala börjar angriparen läcka data och man ser dessutom gärna att media skriver om attackerna för att därigenom bli ett fruktat och föraktat namn. Därmed har man, även vid uteblivna intäkter, i alla fall vunnit en typ av respekt som kommer angriparna tillgodo vid framtida utpressningar. Denna typ av attacker är inte nya i sig. Det första exemplet sträcker sig bakåt till 2014 när Sony drabbades av en läckningsattack som misstänks komma från Nordkorea.  Det som är nytt är att allt pekar på att angripare numera tycks genomföra dem för att tjäna pengar snarare än, som tidigare, för att främja ett politiskt syfte.

Läckningsattackerna i oktober pekar dock på att intäkterna nu blivit så pass stora att de motiverar de dyrare intrångsmetoderna. Hur stora vet vi inte eftersom lyckade attacker inte kommer till allmän kännedom. Det vi med säkerhet vet är att åtminstone tre företag, och dess kunder, inte betalat. Tillvägagångssätten i dessa fall understryker att angripare lägger stora resurser på sina attacker. Exempelvis har angripare lyckats komma åt data efter att ha nästlat sig in i mailkonversationer som om man vore en legitim medarbetare. De drabbade luras att klicka på länkar och att öppna filer och såväl språkbruk, sammanhang och e-postadress har inte gett drabbade anledning att misstänka något.

Utvecklingen är skrämmande och frågan är nu inte om det kommer mer utan vem som står näst på tur att drabbas. Troligtvis kommer det att vara verksamheter som hanterar särskilt känsliga data inom branscher som sjukvård, finans och leverantörer till offentlig sektor.

Vad göra?
För att klara den uppkomna situationen krävs krafttag. Som vanligt finns inget recept som löser alla problem, men en sak som alla kan göra direkt är att sluta att peka finger och att istället inse att det krävs gemensamma insatser. Tillsammans kan företag, även konkurrenter, och institutioner hjälpa varandra att både vässa befintliga lösningar och tänka nytt genom att:

  • Kombinera verksamhetskompetens och teknikkompetens för att skapa flera lager av säkerhet
  • Vässa förmågan att övervaka och logga händelser
  • Agera på hur jobb hemifrån och användning av privata mobiler och laptops i jobbet påverkar säkerheten. Pandemin har medfört stora förändringar här och angripare är pigga på att kapitalisera på detta
  • Glöm inte bort backup och återställning av data – allt tyder på att låsnings-attacker kommer att leva vidare parallellt med läcknings-attacker
  • Kräv att partners tar säkerheten på allvar och att de visar hur. Goda personliga relationer räcker inte längre för att kvalificera en partner
  • Inför ett nytänk kring inköpsprocesser där vikten av pris och kvalitet av säkerhetsprocesser och lösningar omvärderas utifrån hur verkligheten ser ut
  • Stresstesta och säkerhetstesta processer och system

Detta är några aktiviteter som är avgörande för företag och individer framöver. Med en gemensam approach kring dessa punkter kan vi se till att svenska bolag och institutioner inte tvingas stanna upp sina digitaliseringsresor på grund av den tystare typen av utpressningsattacker som uppmärksammats under de senaste veckorna. Det är avgörande för såväl individer som för hur Sverige som land utvecklas.

Av Christoffer Jerkeby, F-Secure

Data måste hanteras säkert även utanför datacentrets fyra väggar

| Linda Kante

Nära fyra av tio personer inom EU började arbeta på distans under årets första månader, enligt en undersökning från Eurofund. Detta är en jätteförändring och nu när många verksamheter och anställda har upplevt några av fördelarna med distansarbete är det troligt att företag fortsätter med det i någon grad även långsiktigt. För IT-avdelningarna innebär detta i sin tur ytterligare förändringar att hantera.

En digital fästning

För en tid sedan fanns all IT-infrastruktur inom företagets egna väggar. Anställdas PCs, skrivare och telefoner stannade på kontoret, medan datorprogram och data lagrades I egna datacenters som även de fanns i anslutning till företagets kontor. IT hade kontroll på IT-miljön både ur ett prestandaperspektiv och ett säkerhetsperspektiv. Distansarbete hanterades via VPN, vilket innebar att det enda som lämnade datacentret var den anställde själv och hans eller hennes hårdvaruenheter. Via VPN kunde IT-avdelningen bibehålla kontrollen och hantera administratörernas behörigheter så att anställda inte installerade icke godkänd, och potentiellt skadlig, mjukvara.

Sedan kom molnet och genast kunde företag skala upp sin datalagringskapacitet och börja säkerhetskopiera filer till andra fysiska platser. Med molnet följde också mer flexibilitet och valfrihet för de anställda. Shadow IT blev ett vanligt begrepp när anställda började installera de applikationer de ville och prenumerera på de online-tjänster de ansåg att de behövde för att lagra och komma åt data utanför företagets datacenter. Som en följd uppstod nya utmaningar för IT-avdelningen. När nära hälften av alla medarbetare under perioder arbetat på distans, samtidigt som distansarbete tidigare inte varit ett alternativ alls på vissa företag, är det inte konstigt att den nya situationen blivit utmanande. Dessutom har många distansarbetat via laptops och mobiler som inte tillhör företaget, vilket medför ytterligare säkerhetsrisker, vilket även har uppmärksammats av CERT.

Det gamla on-premise-datacentret skulle kunna ses som en nästintill ointaglig fästning. Allt som gick in i och ut kontrollerades noggrant, vilket medförde att risker utifrån kunde hanteras relativt säkert. Det är också därför som ett av de mest kända hoten är så kallade Trojaner som försöker lura offret att tro att det hör hemma i fästningen. Idag skulle man kunna säga att hela porten till fästningen är borttagen och de människor som tidigare arbetade där finns utspridda på olika fysiska platser. Varje enskild medarbetare som arbetar på distans utgör en potentiell ingång för skadlig kod, vilket innebär att attackytan inte bara har ökat – den har exploderat.

Större attackyta

Vid distansarbete är det även viktigt att de anställda får ta del av utbildningar och säkerhetspolicys att förhålla sig till. IT-avdelningar har ofta liten eller ingen insyn i om anställda kopplar upp sig via VPN, särskilt i de fall de använder egna enheter. Dessutom används enheterna ofta i en hemmiljö där det inte finns någon insyn i hur och vem som använder enheten. Verksamheten har därmed förlorat kontrollen på datahanteringen, samtidigt som den är ansvarig för den.

Därför måste företag ha en genomtänkt molndata-strategi som säkerställer backup, skydd och återställning av data över alla enheter och applikationer. Utbildningar spelar här en viktig roll och hjälper IT-ansvariga att se till att anställda är uppkopplade via VPN och att de lagrar företagsdata i säkra molnmiljöer, istället för på personliga konton eller på sina egna laptops. Om data inte säkerhetskopieras är den inte skyddad och ifall verksamheten drabbas av ett avbrott eller en cyberattack kan det vara omöjligt att återställa den. Dessutom inför företag SaaS-lösningar i snabb takt. Microsoft Teams växte exempelvis från 32 miljoner till 72 miljoner användare mellan mars 2019 och april 2020. Företag som använder Microsoft Teams och Microsoft Office 365 måste se till att säkerhetskopiera data löpande – antingen on-premise eller i molnet. Först då kan de skydda sig från avbrott som ligger utanför företagets kontroll.

När företag, inklusive de som tidigare inte tillämpade distansarbete, allt oftare kombinerar distansarbete med arbete från kontoret, ökar säkerhetsriskerna. Det är därför avgörande för företag att skapa och genomföra strategier för att hantera data över flera system och enheter. Detta inkluderar att säkerställa att data säkerhetskopieras löpande, att data kan återställas ifall det skulle behövas, att företaget kan hantera potentiella driftstopp och att företaget skapar ett så bra skydd från externa hot som möjligt.

Michael Cade, Senior Global Technologist, Veeam

Sverige sticker ut som den perfekta platsen för datacenter

| Kronika

På senare år har datacenterindustrin vuxit snabbt i Norden. Enligt det Nordiska Ministerrådet väntas ytterligare kraftig ökning av nordiska datacenter fram till 2025. Sverige har under senare år lockat till sig moln- och teknikjättar som Facebook, Amazon, Google och Microsoft, som alltså valt att etablera sina datacenter på svensk mark. Tillgång till fossilfri elproduktion, vårt kalla klimat och digital mognad är några av anledningarna till att vårt avlånga land är en eftertraktad destination för datacenter.

När Facebook etablerade sitt första datacenter utanför USA, i Luleå, blev det den första stora datacenterinvesteringen i Sverige, vilket också satte igång en snöbollseffekt av datacenterbyggnationer i landet. Det kan konstateras att digitaliseringen av våra samhällen, präglat av bland annat sociala medie-beroenden samt övergången till molntjänster, har ökat behovet av moderna och effektiva datacenter. För Sverige har det dels inneburit att allt fler lokala företag och organisationer använder sig av redan etablerade datacenter, dels att internationella jättar väljer att etablera datacenter här. Vad betyder det för Sverige? Väldigt mycket.

Datacenterexpansionen i Sverige är viktig eftersom den möjliggör nödvändig infrastruktur, som utvecklingen av kvalificerade molntjänster och driften av flera olika verksamheter som allt snabbare digitaliseras. Etableringen av datacenter i Sverige bidrar till den lokala ekonomin eftersom det leder till investeringar och försäljningsmöjligheter, samtidigt som kompetensutveckling möjliggörs. Dessutom följer nya direkta och indirekta arbetsmöjligheter, bland annat i samband med uppbyggnaden av datacentren men också för själva driften.

Varför sticker Sverige ut?

Vi ska självklart inte glömma att dessa komplexa anläggningar kommer med höga krav på säkerhet, tillgänglighet och energieffektiv drift. Enligt Business Sweden så är miljöpåverkan en av de viktigaste faktorerna när företag väljer datacenter. Därför är det direkt nödvändigt att datacenter etableras på platser där klimatpåverkan är så liten som möjligt. Här sticker Sverige ut med några av de bästa förutsättningarna i hela världen.

Vår alltmer uppkopplade vardag kräver snabb tillgång till enorma mängder data. All data som cirkulerar innebär att datacentren kräver stora mängder energi. Ett problem idag är dock att många av världens datacenter drivs av fossila bränslen. I Sverige är däremot drygt 98 procent av elproduktionen fossilfri, vilket innebär att dataöverföringen i Sverige är väldigt klimatvänlig. Det är en stor konkurrensfördel. Att det svenska elsystemet dessutom är av hög kvalitet och stabilt, på grund av produktionsmixen av vatten- och kärnkraft, innebär också att det sällan uppkommer störningar som kan vara förödande för känsliga datacenterservrar.

Det svenska naturligt kalla klimatet är också en fördel. Medan många andra länder behöver tillföra energi för att kyla datorerna i datacentren så kan vi istället kyla på ett smidigt och kostnadseffektivt sätt. Det öppnar också upp för möjligheten att använda värmen som servrarna producerar till att värma upp allt från bostäder till industrier via fjärrvärmenätet, något som har utnyttjats vid flera tillfällen i Stockholm och nyligen på Västkusten.

Det är också billigare här. Nyligen minskades energiskatten för datacenter i Sverige, vilket innebär att vi idag tillhandahåller den lägsta totala elkostnaden inom EU. Detta har beskrivits som en nödvändighet och en stor anledning till att Sverige idag kan konkurrera internationellt inom datacenterindustrin.

Viktigt att nämna är också att Sverige är snabba i utvecklingen när det kommer till digitalisering, IT och tillväxten av molnanvändning. Det innebär att vi idag har stor tillgång till kunnig arbetskraft och expertis som är nödvändig för att driften av datacentren ska fungera på ett hållbart, säkert och effektivt sätt.

Datacenterframtiden

Dataexpansionen har bara börjat. Pandemin har dessutom inneburit att vår digitala vardag har accelererat, med allt från vård på nätet och digitala arbetssätt, till ökad streaming via olika onlinetjänster. Detta kräver enorma mängder data. På Kingston ser vi att datacentertekniken måste utvecklas för att möta dagens och framtidens behov, vilket innebär optimerad lagringskapacitet, snabbare servrar och effektivare komprimering. Om datacentrens interna system effektiviseras så kommer det finnas möjlighet att skapa en framtida svensk datacenterindustri som kommer bli ännu starkare och ytterligare konkurrenskraftig.

Jan Terje Kleiven, Business Development Manager på Kingston EMEA

Skyddar GDPR och Datainspektionen egentligen den enskildes integritet?

| Linda Kante

Europaparlamentets och Rådets förordning (EU) 2016/679 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (GDPR) har nu gällt i nästan två och ett halvt år. Tillsynsmyndigheterna i de olika EU-länderna har hunnit genomföra ett stort antal tillsynsärenden där många av ärendena har lett till sanktionsavgifter. I vissa fall har myndigheterna påfört höga avgiftsbelopp, inte minst i Storbritannien. Även i Sverige har ett fall med en till beloppet hög sanktionsavgift förekommit. Datainspektionen påförde Google en sanktionsavgift om 75 miljoner kronor (se Datainspektionens beslut 2020-03-10, dnr DI-2018-9274). Beslutet har överklagats till Förvaltningsrätten där någon dom ännu inte meddelats.

För den enskilde registrerade som anser sig ha fått sina personuppgifter behandlade på ett sätt som strider mot GDPR finns i princip två möjligheter att agera. Den registrerade kan anmäla behandlingen till Datainspektionen och hoppas på att myndigheten inleder en tillsyn mot den personuppgiftsansvarige. Därtill kan den registrerade vid allmän domstol (tingsrätt) väcka skadeståndstalan mot den personuppgiftsansvarige för att få ekonomisk kompensation för den skada som behandlingen medfört. Den registrerade kan naturligtvis även vända sig direkt till den personuppgiftsansvarige och begära att behandlingen upphör eller korrigeras, vilket bör vara en naturlig första åtgärd att vidta. Men om detta inte hjälper återstår det för den registrerade att göra en anmälan till Datainspektionen eller att väcka skadeståndstalan. Den fråga som då inställer sig är om det egentligen är någon idé att vidta dessa åtgärder, eller om möjligheterna att anmäla behandlingen och väcka talan om skadestånd i praktiken inte har något värde för den registrerade och rentav endast är ett spel för galleriet.

Att anmäla behandlingen till Datainspektionen – en meningslös åtgärd?

Om den registrerade väljer att göra en anmälan till Datainspektionen måste denna innehålla tillräcklig information för att myndigheten bland annat ska kunna bedöma vilka personuppgifter som behandlats, arten och omfattningen av behandlingen, på vilket sätt behandlingen skett i strid med GDPR, när behandlingen har skett, vem som ska anses ansvarig för behandlingen och vilka åtgärder från myndighetens sida som behandlingen bör föranleda. Detta kräver en ganska stor arbetsinsats från den registrerade för att denne ska lyckas åstadkomma en tillräckligt utförlig anmälan. Det är troligt att den registrerade kan komma att behöva ta hjälp för att samla in och sammanställa den dokumentation som behövs och att utforma innehållet i anmälan, en hjälp som inte sällan kommer att medföra kostnader för den registrerade. Om den registrerade ska känna att det kan vara meningsfullt att lägga ner en sådan arbetsinsats och att kanske ådra sig kostnader är det av stor betydelse att vederbörande kan räkna med en viss sannolikhet för att Datainspektionen kommer att inleda ett ärende med anledning av anmälan. Om det framstår som osannolikt att anmälan kommer att leda till något resultat blir det ju mer eller mindre meningslöst för den registrerade att engagera sig i att göra någon anmälan.

Därför blir det intressant att titta närmare på hur stor chans den registrerade egentligen har att få gehör för sin anmälan till Datainspektionen. I Datainspektionens årsredovisningar finns statistik bland annat över anmälningar som inkommer från de registrerade och hur många tillsynsärenden som myndigheten genomför. I årsredovisningen för 2018 anges att om tillsyn ska inledas beror på om det är fråga om systematiska brister i behandlingen av personuppgifter, om behandlingen rör många registrerade eller känsliga personuppgifter, eller om rättsläget är oklart och behöver klargöras (sid. 27 i årsredovisningen för 2018). Av årsredovisningen för 2018 kan konstateras att antalet klagomål enligt GDPR (och enligt brottsdatalagen) under året uppgått till totalt 1 420, medan endast 72 tillsynsärenden inleddes (sid. 27 f. i årsredovisningen för 2018). Det betyder att klagomålen under 2018 ledde till tillsyn endast i 5 % av fallen. Enligt Datainspektionens årsredovisning för 2019 är sannolikheten för att en anmälan ska leda till att myndigheten inleder tillsyn ännu lägre. Antalet klagomål uppgick under 2019 till 3 519, medan tillsyn inleddes i 51 ärenden (sid. 61 i årsredovisningen för 2019). Det betyder att klagomålen under 2019 ledde till tillsyn endast i knappt 1,5 % av fallen, alltså en ännu lägre siffra än för 2018.

Slutsatsen härav torde endast kunna bli en, nämligen att det utifrån den registrerades perspektiv är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att göra en anmälan till Datainspektionen.

Att väcka talan vid domstol – en värdelös möjlighet?

Datainspektionen kan och får inte ikläda sig en roll som innebär att myndigheten i praktiken blir ett juridiskt biträde åt den registrerade. Detta skulle rentav kunna innebära ett åsidosättande av de krav på opartiskhet och objektivitet som åvilar myndigheterna. Därför blir det intressant att titta närmare på vilka förutsättningar den registrerade står inför när denne överväger att väcka talan vid domstol mot den personuppgiftsansvarige. I en rättegång kan den registrerade räkna med att den personuppgiftsansvarige kommer att företrädas av någon med juridisk kompetens, antingen en anställd eller möjligen en utomstående jurist. Samtidigt kommer den registrerade sannolikt att behöva anlita jurist för att samla in och sammanställa den dokumentation som behövs och för att utforma stämningsansökan. Den registrerade kan räkna med att i domstolen möta en företrädare för den personuppgiftsansvarige som har en sådan juridisk kompetens som den registrerade inte kan matcha utan att anlita eget biträde. Detta innebär att den registrerade oftast blir tvungen att anlita juridiskt biträde, vilket kommer att medföra kostnader för biträdet.

Därför måste den registrerade bedöma inte bara chansen till framgång i rättegången, utan även vilka möjligheter denne har att få betalt för sina ombudskostnader. Enligt den rättspraxis som utvecklats blir skadeståndsbeloppens storlek vid lagstridig behandling av personuppgifter ytterst begränsade, 3 000 – 5 000 kronor (se Högsta domstolens dom 2013-12-06, T 2807-12). Till följd av reglerna om ersättning för kostnader i tvistemål som rör mindre värden (”småmål”) är det samtidigt i praktiken uteslutet för de registrerade att få ersättning för sina kostnader för juridiskt biträde (se 18 kap. 8 a § rättegångsbalken). Om den registrerade vinner framgång med sin talan och tilldöms 3 000 – 5 000 kronor i skadestånd, kommer detta inte att räcka för att betala ombudskostnaderna. När den registrerade knappast kan tillvarata sin rätt utan hjälp från jurist och inte kommer att få betalt för sina kostnader för juristen, blir det en Phyrrusseger och Ebberöds bank att driva en framgångsrik rättegång mot den personuppgiftsansvarige. Enligt artikel 82 och skäl 146 i GDPR bör full och effektiv ersättning utgå för den skada som lidits. Det bör därför kunna ifrågasättas om de skadeståndsnivåer som gäller enligt rättspraxis och som ligger mellan 3 000 – 5 000 kronor kan anses vara förenliga med GDPR.

Slutsatsen härav torde också endast kunna bli en, nämligen att det utifrån den registrerades perspektiv även är i princip meningslöst att lägga ner arbete och dra på sig kostnader för att väcka skadeståndstalan mot den personuppgiftsansvarige.

Det kan därför ifrågasättas om inte effekten av nuvarande regler och rättspraxis är att den enskilde effektivt avskräcks från att hävda sina rättigheter, medan staten med stöd av de nya reglerna får ytterligare ett verktyg för att styra och kontrollera företag. Frågan är därför kanske snarast om de nya lagarna totalt sett ökar eller minskar friheten i samhället och hur vi tycker att det ska vara. Datainspektionens vision, Ett tryggt informationssamhälle – tillsammans värnar vi den personliga integriteten, vad är den egentligen värd för den enskilde registrerade och bryr sig samhället egentligen om vår personliga integritet om vi utgår ifrån de signaler vi får?

Conny Larsson, ordförande för Sig Security och advokat, Advokatfirman Singularity Law AB

”Landskapet av hot och sårbarheter förändras i ett rasande tempo”

| Linda Kante

Den pandemi vi nu befinner oss i, har redan satt sina spår i arbetslivet och har påverkat hur organisationer formas utifrån de nya förutsättningar som gäller. Inom ISACA har vi gjort en djupdykning i en mängd olika rapporter och undersökningar som publicerats de senaste två åren. Denna spaning som utgår från dessa rapporter är extra intressant eftersom vi i och med pandemin befinner oss i ett paradigmskifte. Landskapet av hot och sårbarheter förändras i ett rasande tempo, där det inte håller med att utgå från den magkänsla man hade innan pandemin bröt ut. Vi kan också konstatera att en hel del rapporter inte längre är lika relevanta eftersom de baserats på hur det såg ut innan pandemin, men det går att hitta fragment som kan vara värda att lyfta fram.

Vi kan börja med Threat Intelligence Report: Issue 5, 1H 2020 som Netscout har publicerat, vilken ger indikationer på en radikal förändring när det gäller DDoS attacker. Metoderna för dessa attacker har utvecklats till att vara kortare och snabbare och som slår hårdare. Attackerna har dessutom blivit allt mer komplexa och de baseras på långt många fler attackvektorer än tidigare. För organisationer vars processer baseras på åtkomst över Internet, vilket i högsta grad är relevant under den pandemi vi befinner oss i, är detta dåliga nyheter. En slutsats man kan dra mot bakgrund är att antalet DDoS attacker ökar och blir mer komplicerade, är att DDos attacker har industrialiserats och att man nu befinner sig i en innovations fas med fokus på att öka graden av komplexitet.

Ser vi vidare på hantering av epost har vi Mimecast, som har bidragit med sina erfarenheter i rapporten The State of Email Security Report. I denna rapport konstateras att e-post fortfarande är den mest populära attack vektorn, där även dessa attacker genomsyras av en hög innovationskraft med angripare som testar nya taktiska angreppssätt och nya tekniker för att tränga igenom de allt mer sofistikerade och komplicerade skydd som implementeras. Slutsatsen i rapporten visar på att det skydd som vi traditionellt använder oss av, inte längre är tillräckligt bra för att förhindra och skydda oss från angrepp.

När vi lyfter blicken lite högre och tittar på Cybercrime, då har LexisNexis presenterat sin lägesrapport i rapporten Risk Solutions Cybercrime Report January – June 2020. Denna rapport visar på ett mönster där attacker nu initieras av robotar i långt mycket större utsträckning än av en människor. Dessutom är ökningstakten av antalet attacker som initieras av robotar dramatisk, samtidigt som man kan se en häpnadsväckande minskning av antalet attacker som initieras av människor. En slutsats vi kan dra är att industrialiseringen av attacker omfattas av automatisering i allt större utsträckning, vilket börjar känns som science fiction fast på riktigt.

När vi tittar på hur det såg ut innan vi drabbades av pandemin, då ger 2020 Data Breach Investigations Report som publicerats av Verizon några intressanta trender. Framför allt gäller det hur olika typer av hot och sårbarheter har utvecklats de senaste sex åren. Vi kan bland annat se att den klassiska skadliga koden har rasat från en toppnotering till en bottennotering. Samtidigt konstateras att social engineering är lika aktuell som tidigare men i den nya skepnaden Phising. Även stöld av inloggningsuppgifter ligger kvar på en oförändrat hög nivå. Det som är mest framträdande i denna rapport är att fel i leverans respektive fel i konfiguration har ökat stadigt för varje år som passerat, där de nu är bland de mest framträdande typerna av hot och sårbarheter. Denna utveckling är också något som lyfts fram av MSB i deras Årsrapport it-incidentrapportering 2019, där det beskrivs som handhavandefel. Slutsatsen när det gäller hot och sårbarheter är att det i stort ser ut som tidigare men att det ändå är annorlunda.

Mot bakgrund av att attacker har industrialiserats och automatiserats kan vara aktuellt att belysa den underliggande säkerhetsarkitektur som används, där metoden Zero Trust visar på en betydande tillväxt. Detta är något som Zscaler lyfter fram i sin rapport 2019 Zero Trust Adoption Report by Cybersecurity Insiders. ZeroTrust metoden har ännu inte fått sitt stora genombrott och det råder exempelvis en stor osäkerhet på den egna förmågan att kunna införa det för de lösningar som nu är i drift. Däremot visar rapporten på att det finns ett stort intresse för ZeroTrust metoden och att man ser stora fördelar i tillämpningen av denna.

Kompetens inom cybersäkerhet indikeras i flera rapporter som en bristvara. I rapporten State of Cybersecurity 2020, Part 1: Global Update on Workforce Efforts and Resources som publicerats av ISACA, konstateras att det innan pandemin fanns en stor andel vakanser avseende roller som arbetar med cybersäkerhet. Rapporten pekar dessutom på det är främst är teknisk kompetens som efterfrågas mest, men att det finns en viss tillväxt även när det gäller roller som hanterar administrativa aspekter. En tydligt signal som rapporten ger, är att efterfrågan på kompetens inom cybersäkerhet inte minskar.

Den samlade bilden i dessa rapporter är att förutsättningar för informationssäkerhet och cybersäkerhet har förändrats, som allt annat i samhället och vi ser tydliga tecken på att industrin för cybersäkerhetsattacker utvecklas i ett rasande tempo. Vi attackeras nu av robotar istället av människor, vilka i sin tur använder sig av flera olika attackvektorer än tidigare och där antalet attacker dessutom ökar i antal. Detta leder till ett ökat behov av kompetens inom cybersäkerhet, där det är en nödvändighet att lägga ännu större tyngd på att utveckla den tekniska kompetensen.

John Wallhoff, Ordförande ISACA Sweden Chapter

Redaktionsadress

Aktuell Säkerhet
Stora Gråmunkegränd 11
111 27 Stockholm
Tel: 070-698 03 29