Cyber Security

En svensk tiger – behövs det för dagens cybersecurity / cybersäkerhet? Det ser ljusare ut! Medvetenheten hos användarna ökar och skyddsfunktionerna från hårdvaru- och operativsystem stärks i ett högt tempo – så fort en attack blivit känd. Systemen blir alltså bättre, men social engineering; när någon kontaktar dig och luras är fortfarande vanligt. Mänsklig kommunikation utnyttjas som svag länk i en annars stark kedja. En ny svag länk är också Internet of Things, alla våra nya uppkopplade prylar. Jonas Lejon, IT-säkerhetsexpert med tjugo års erfarenhet från bl a FRA/Försvarsmakten, guidar oss genom cyberhoten.

VD-bedrägerier rapporteras regelbundet; fejkade kända/pålitliga personer skickar filer som används för phising, alltså att stjäla kontouppgifter. De slår ofta brett först, många företag eller medarbetare – sedan dyker de djupare när någon blottat sig.

Som företagare eller privatperson ska man fråga sig vad som är skyddsvärt – och hur vet vi om någon har varit där, inte för att ta information ifrån dig, utan för att kopiera den? Spårbarhet och loggar är viktiga komponenter när intrång skett. Cybersäkerhetsexperter kan se hur mycket kraft som gått åt för intrånget och på så sätt uppskatta vem som står bakom.

Vilka datorer och prylar har vi, är de skyddade? Kan vi spåra vad som händer medan det pågår? Görs inloggningar från udda platser? Vem har administratörsaccess? Har vi tvåvägsautentisering? Hur skulle en angripare göra? Ställ de här frågorna till dig själv och till medarbetarna. Skapa medvetande inom it-säkerhet! Informera och genomför även tester i organisationen.

Jonas Lejon, Jonas Jaani (23:36)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post

Follow our prioritized set of actions to protect your organization and data from known cyber attack vectors.

Kryptera.se – om kryptering och kvalificerad IT-säkerhet 

Kontaktuppgifter: Jonas Lejon

Vår säkerhetsexpert Torbjörn förklarar macrotrenden blockchain. Blockkedja – en matematisk metod för att säkerställa transaktioner i just en kedja. Allt för att göra säkrare transaktioner, genom en decentraliserad modell för exempelvis säker e-handel. Tänk Über, AirBnB; två av alla decentraliserade koncept. De gör överenskommelser direkt mellan individer, utbyter värde utan att passera en traditionell central organisation. Utmaningarna är att se bortom centraliseringen (som fortfarande Über och AirBnB är) och få transaktionen att funka mellan individer.

Det mest kända exemplet där blockchain används är emellertid Bitcoin, som förklaras på ett enkelt sätt – men blockkedjor används också i Internet of Things (IoT), uppkopplade prylar i vår vardag. Det finns många områden som vinner på snabbare och säkrare sätt att göra transaktioner – digitala kontrakt – utan att passera bankens servrar. Visionärerna tror att hela samhället kommer att förändras, det blir svårare att vara korrupt, vi får ett demokratiskt stöd. Följ debatten, håll dig uppdaterad – massor händer inom det här området just nu!

Torbjörn Andersson, Jonas Jaani (21:03)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post
[hjälp? hur lyssnar jag på podcast]

Mer material/länkar:

Detta är Blockchain – så fungerar den stekheta tekniken

Direktlänk till detta avsnitt: https://www.effekten.se/blockchain/ 

Alla podcastavsnitt av Effekten finns där du hittar poddar tex  Apple Podcasts, Overcast, Acast och YouTube

Vårt moderna samhälle är helt beroende av att myndigheters och privata aktörers system fungerar. Infrastruktur som el, vatten, internet och samhällsfunktioner som media, polis, sjukvård och försvar är alla sårbara och ständigt utsatta för attacker. Regeringen har nu tagit fram en nationell strategi för samhällets informations- och cybersäkerhet.

Strategidokumentet är på 33 lättlästa sidor, men vi låter vår expert Torbjörn Andersson sammanfatta och reda ut begreppen här. Den röda tråden är samordning och informationsutbyte mellan myndigheter för att stärka motståndskraften mot cyberattacker, främst i alla de samhällsviktiga funktionerna.

Datakommunikation och kryptering måste förstås göras på rätt sätt, men innan dess: informationsklassning! Digitaliseringen har bitvis gått för fort och man har missat att göra grundjobbet; säkerhetsklassning av information. Det finns flera exempel där svenska myndigheter felat, och där bristen på tydlig strategi kring hantering av känslig information saknats. Att skapa en strategi är första steget, sedan kommer nästa, som kan vara nog så svårt: att leva upp till den!

Torbjörn Andersson, Jonas Jaani (15:14)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post

Mer material / länkar:

Rapporten Nationell strategi för samhällets informations- och cybersäkerhet

Poddintervjun ovan i textform

Mer poddavsnitt av Effekten med Torbjörn Andersson

Direktlänk till detta avsnitt: https://www.effekten.se/strategi-for-nationens-sakerhet

Machine Learning, IoT och säkerhet. Du vill bli övervakad! Din mobil samlar in massor av data om dig. Den tipsar dig och ger dig goda råd om allt ifrån hälsa till resande. Det handlar om Machine Learning, första steget till Artificiell Intelligens. Än så länge hjälper maskinerna oss att ta beslut, men även det omvända sker: vi människor förväntas att agera på maskinernas signaler.

Machine Learning gör också själva användandet säkrare: den analyserar vårt beteende för att larma vid oväntade mönster, detekterar incidenter och följer hackergruppers rörelser på nätet. Den upptäcker inloggning från okänd geografisk plats, kanske till och med på fel avdelning på kontoret eller vid fel tid av dygnet. Om inte inpasseringstaggen dragits vid ytterdörren, så är det inte du som använder din dator på kontoret. Lösenordet kan ha varit rätt vid inloggningen, men om rörelsemönstret, rytmen när det skrevs in, är fel så kan du bli kontaktad för en bekräftelse via sms.

Personuppgifter är ytterligare ett område inom personsäkerhet och integritet. Många IoT-prylar har ingen skärm, men kan likväl lagra och bearbeta data om dig och din identitet. Känsligt ur ett GDPR-perspektiv, men syftet kan vara gott; bilen utnyttjar det den vet om ditt beteende för att göra resan säkrare. Torbjörn Andersson ger sin syn på Machine Learning och Internet of Things ur ett säkerhetsperspektiv.

Torbjörn Andersson, Jonas Jaani (19:34)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post

Mer material / länkar:

Torbjörn Andersson på LinkedIn

TEMA: Säkerhet (avsnitt 38)

Direktlänk till detta avsnitt: https://www.effekten.se/ml_iot_sakerhet/

 

Vi närmar oss 25 maj 2018, dagen då vi får en gemensam lag inom EU för hur vi tillåts behandla personuppgifter. GDPR. Med sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av omsättningen har detta blivit en angelägen fråga för såväl företag, myndigheter och verksamheter i offentlig sektor. Men hur börjar man?

”Börja med Datainspektionens webb, de har mycket bra material kring GDPR!” säger Torbjörn Andersson, informationssäkerhetskonsult, som just nu jobbar för högtryck för att stötta sina kunder som startat sina GDPR-projekt. ”Om man tar sig an att läsa hela förordningen så glöm inte beaktande teserna som tillhör varje artikel. Dessa är en motivering från lagstiftaren som kan ge bättre förståelse för lagen i sitt sammanhang” tipsar han.

Flera vägledningar och tolkningar har också kommit från EU:s arbetsgrupp i dataskyddsfrågor som kallar sig “Artikel 29-gruppen”. De har senaste månaderna givit ut stödjande dokument kring hur man ska tolka olika områden i GDPR, t ex dataskyddsombudets roll. Fler dokument är att vänta fram till maj 2018.

Vad förväntas man då göra? ”Du måste gå från ord till handling om din organisation tar dataskyddsfrågor på allvar ” säger Torbjörn. ”Våga anta utmaningen, ett GDPR-projekt visar sig ofta föra med sig många positiva mervärden. Informationsflöden synliggörs, verksamhetens behov av informations- och it-säkerhet blir tydligare och mer definierat.”
Många kunder Torbjörn träffar ställer ofta tekniska frågor och missar ibland att GDPR även handlar om verksamhet och processer.

Torbjörns åtgärdslista visar att detta inte är ännu ett it-projekt, utan involverar hela organisationen:

1. Inventera och säkra skydd för de personuppgifter du registrerat
2. Säkerställ att du är tillräckligt transparent mot de registrerade
3. Se över att dina samtycken är förenliga med GDPR
4. Sätt upp process för hur du rapporterar dataskyddsincidenter till Datainspektionen inom 72 timmar
5. Utbilda medarbetarna i hur man hanterar personuppgifter

Dokumentera arbetet!

Torbjörn Andersson, Jonas Jaani (19:50)

Mer material / länkar

Torbjörn Andersson på LinkedIn

Enkla grunder i dataskydd (pdf från Datainspektionen)

Dataskyddreformen – Datainspektionen

EU förordningen

”Artikel 29 gruppen”

GDPR – förklarat enkelt (poddavsnitt)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post

Losenörd, lös1ord, LØ5€n0rd! Bankkonton, molntjänster, sociala medier, jobbets system – alla har sina konton och vi tvingas att skapa olika identiteter hela tiden – och lika många lösenord. Kraven på lösenorden har ökat. Nu krävs åtta tecken, inklusive siffror, versaler och specialtecken – vilket leder till att man återanvänder lösenord eller skriver ner dem, vilket i sin tur gör helheten svagare. Användbarhet och säkerhet krockar. Är lösenord bästa typen av autentisering? EN identitet, privat och i arbetslivet vore optimalt menar Torbjörn, säkerhetsexpert, men då krävs autentiseringsmetoder som biometri, med tumavtryck och irisscanning. Fast vad händer då med den personliga integriteten? Kopplar vi ihop identiteten med internet of things kommer upplevelsen, till exempel rummet, att individualiseras efter dig som användare. Ett steg längre är att vi låter någon externt monitorera din hälsa, då krockar identitet och integritet. Hm… Vi vänder och vrider på problemen.

Torbjörn Andersson, Jonas Jaani (21:18)

PRENUMERERA på podcasten Effekten.
Direktleverans av nya avsnitt till: iPhone, Android, e-post

[lyssna även på det uppdaterade avsnittet ”GDPR – Allt du behöver veta + senaste nytt” från 2017-06-27 – klicka här]

En ny bokstavsförkortning att ta hänsyn till… Lagen GDPR – den allmänna dataskyddsförordningen – EUs nya lag träder i kraft 25 maj 2018!

Hur relaterar den till PUL? GDPR skärper individens integritet ytterligare. Datainspektionen kommer att kunna utdöma viten om 20 miljoner euro eller 4% av din globala omsättning, så lyssna noga på Torbjörn. Vad är egentligen personuppgifter? Hur får man hantera dem? Vilka nya kravs ställs på din organisation? Vilka rättigheter har jag som privatperson?

Torbjörns åtgärdslista visar att detta inte är ännu ett it-projekt, utan involverar hela organisationen – se listan.

Torbjörn Andersson, Jonas Jaani (18:28)

PRENUMERERA – podcast Effekten
iPhone, Android, e-post

Mer material / länkar:

GDPR – Allt du behöver veta + senaste nytt (poddavsnitt)

Dataskyddreformen – Datainspektionen

EU förordningen

Direktlänk till detta avsnitt: https://www.effekten.se/gdpr/

Säkerhet. IT-säkerhetskonsult berättar om aktuella risker:

• Ransomware – nätfiske – social engineering
• Dataläckage – informationsspridning
• Den mobila användaren – kliver utanför kontorets gamla murar

Bromsa inte utvecklingen, men ta med säkerhet från början och öka säkerhetsmedvetenheten bland medarbetare och vänner.
Vad ska jag skydda egentligen? Informationsklassa! Konsolidera!
Idag pratar vi inte Big Brother utan Another Brother.
Ger Microsofts operativsystem, moln och program en trygghet?

Checklistan för mitt företag:

• Säkerhetsanalys
• Informationsvärdet, klassning
• Skapa bra rutiner

Torbjörn Andersson, Jonas Jaani (19:03)

PRENUMERERA på Effekten och få leverans direkt: iPhone, Android eller e-post

Vad är information och vad är säkerhet? Vilket värde har din information – och hur skyddar du den? Hur minskar man riskexponeringen? Vad händer när du använder molnet, vad händer när du delar information? IT-säkerhetsexperten reder ut begreppen och ger dig rekommendationer! Inventera och värdera för sedan skydda det viktigaste genom verktyg, rutiner och intern kommunikation.

Torbjörn Andersson, Jonas Jaani (20:02)