fredag 12 oktober 2018

Facex Worm

Svenska Techworld rapporterar att en ny typ av skadlig kod kallad Facex Worm just nu sprider sig via Facebooks meddelandetjänst Messenger. Koden snappar upp lösenord och stjäl kryptovaluta.

Den som klickar på länken som dyker upp leds till en Youtube-liknande sida som infekterar webbläsaren med ett skadligt tillägg för webbläsaren Chrome. Skulle man inte använda Chrome så leds man vidare till en annan webbsida med skadlig kod.

Forskarna på säkerhetsföretaget Trend Micro som upptäckt koden hävdar att den är extra svår att avslöja, eftersom meddelanden som bär på smittan kommer från ens vänner på det sociala nätverket.

https://searchsecurity.techtarget.com/answer/How-does-FacexWorm-malware-use-Facebook-Messenger-to-spread

https://techworld.idg.se/2.2524/1.708583/facexworm-messenger?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+idg%2Fvzzs+%28IDG.se%3A+Hetaste+IT-nyheterna+fr%C3%A5n+IDG.se%29

onsdag 10 oktober 2018



Den kinesiska spionhärvan i USA växer. Ett stort amerikanskt telekombolag har upptäckt manipulerad hårdvara från Super Micro Computer, rapporterar Bloomberg.

Det planterade spionverktyget upptäcktes när inhyrda säkerhetsexperter sökte igenom företagets serverhallar i augusti.

Bloomberg har tidigare rapporterat om att kinesiska underleverantörer till hårdvarutillverkan Super Micro Computer ska ha installerat spionverktyg i form av microchipp. Syftet ska ha varit att samla in företagshemligheter och handelsdata från amerikanska bolag.

http://tt.omni.se/uppgifter-om-kinesiskt-serverspionage-i-usa/a/wEG1gA

torsdag 4 oktober 2018

En nordkoreansk hackergrupp pekas ut som ansvariga för en rad cyberattacker mot utländska banker, uppger cybersäkerhetsfirman FireEye i en rapport enligt AFP.

Den utpekade gruppen, APT38, har kopplingar till den nordkoreanska regimen, som ska ha tagit emot de ”hundratals miljoner” dollar man kommit över i attackerna. Gruppen ingår i den så kallade Lazarus-gruppen, som pekats ut som hjärnorna bakom en lång rad cyberattacker.

http://afp.omni.se/elite-n-korean-hacker-group-tied-to-bank-attacks-researchers/a/WL5V9L

onsdag 12 september 2018

Säkerhets tjänster i fem länder vill att du ska använda mindre krypterade kommunikation...

Säkerhetstjänsterna i USA, Storbritannien, Kanada, Australien och Nya Zeeland har under det gemensamma namnet ”Five Eyes” i ett dokument nu klargjort att man kommer att utöva påtryckningar för att i möjligaste mån få laglig tillgång till krypterad data.

De fem länderna hoppas nu på att techföretagen frivilligt kommer att erbjuda lösningar som gör det möjligt att komma åt data trots kryptering.

Five Eyes menar också att man bör undvika kryptering så ofta det är möjligt, då det möjliggör hemlig kommunikation mellan bland annat terrorister och kriminella gäng.

https://www.zdnet.com/article/five-eyes-governments-get-even-tougher-on-encryption/

måndag 27 augusti 2018

Vem kan man lita på

Den amerikanska mobiloperatören T-Mobile har hackats och nu kommer uppgifter om att fler har drabbats och att ännu mer data än man tidigare redovisat har exponerats till följd av sårbarheter som manér inte haft någon kontroll över.

Den här gången handlar det om både T-Mobile och konkurrenten AT&T, vars kunders PIN-koder exponerats till följd av säkerhetsbrister hos tredje part. I AT&T:s fall så har koderna läckt ut via en webbsida tillhörande telefonförsäkringsbolaget Asurion. För T-Mobiles del så har koderna läckt ut via Apples onlinebutik.

Hur många av AT&T :s kunder som drabbats är oklart, men i T-Mobiles fall handlar det om 77 miljoner kunder.

#verkliga_hot
#riskmedvetenhet
#informationsvärde

https://www.buzzfeednews.com/article/nicolenguyen/tmobile-att-account-pin-security-flaw-apple

torsdag 23 augusti 2018

Säkerhet är inte bara en kostnad och ett nödvändigt ont.

Med rätt hantering kan säkerheten vara med och lyfta hela organisationen.

I ett föråldrat tänkande ses säkerhet främst som ett stort svart hål där man bara kastar ner pengar. Det är dags för ledare och ledningsgrupper att inse att god säkerhet faktiskt stärker bilden av organisationen och möjliggör fler affärer. En rätt stor mängd människor har tidigare sett säkerhet som något som förpliktigar, något man måste bara ta sig förbi. Ju fler ledningsgrupper som ser säkerhet som en möjliggörare och ett verktyg för att nå nya kunder och fler affärer, desto bättre läge hamnar vi i.

Förtroende mellan företag och dess kunder är nyckeln till framgång.

Utan förtroende blir det inga affärer. Idag omfattar detta också ett förtroende digitalt. I det arbetet kan, och bör, informationssäkerhetschefen (CISO) spela en central roll och att organisationen låter säkerhet bli en ledande faktor som för att få bättre kundrelationer och slutligen mer pengar in i verksamheten. Förtroende mellan organisationer är något som är fundamentet i affären och utan det kommer organisationer kämpa mot varandra och fortsätta konkurrera.

I en rapport från mjukvaruorganisationen CA Technologies blir trenden tydlig. Flera av de tillfrågade företagen har märkt att satsningar på bra säkerhet har påverkat finanserna positivt. Utöver att bara undvika kostnader vid händelse av exempelvis IT-haveri eller dylikt.

Konsumenter gillar säkerhet och tror de att organisationen de vänt sig till är bra på att skydda deras information och göra säkra produkter – om deras digitala förtroende är hög – finns en benägenhet att spendera mer pengar. Enligt rapporten säger 27 procent av cheferna att säkerhetsinitiativ har en negativ inverkan på investeringarna, alltså på ROI (return on investment). Samtidigt säger 86 procent av konsumenterna att de föredrar säkra lösningar före bekväma sådana.

En rejäl krock mellan verklighet och fantasi.

Värdet av att äga ett förtroende kan inte underskattas, det skulle nog många företagsledare skriva under på. Däremot är det många som överskattar sin egen ställning i kundernas ögon och hur de står sig i konkurrensen.

Rapporten visar på ett stort gap mellan kundernas faktiska förtroende till organisationernas förmåga att hantera persondata på ett korrekt sätt, och den nivå företagen faktiskt tror sig ligga på. Bara en tredjedel av de tillfrågade konsumenterna säger att deras allmänna förtroende till företag har ökat de två senaste åren. Jämfört med 84 procent av företagsledarna som tror att förtroenden har ökat. Särskilt när man ställer siffrorna mot antalet företag som säger sig ha råkat ut för dataintrång.

Att tro att man är väldigt bra och ha den falska uppfattningen kring den egna säkerheten är en fälla man lätt fastna i och den är farlig.

Säkerhet är inte bara en ruta att kryssa i

Så snabbt som hotbilden förändras har det visat sig att bara för att man är någorlunda säkrad ett år, betyder det inte att man är det nästa.

Dataattacker eller haverier kan bli en dyr historia för de drabbade. Men på samma sätt som de kan äta hål i plånboken naggar de också på varumärket. Hälften av organisationerna som tillfrågats i rapporten säger att de varit inblandade i någon form av dataintrång. Det har haft en negativ inverkan över lång tid på både omsättning och kundernas lojalitet.

Hälften av konsumenterna säger att de skulle överge ett företags tjänster om de drabbades av en it-attack och gå till en konkurrent.

Vem bär ansvaret?

Det ligger nära till hans att lägga allt säkerhetsansvar på informationssäkerhetschefen (CISO) . Verkligheten är dock mer komplex. Det handlar inte enbart om att köpa in rätt lösningar och fatta rätt beslut. Man måste också förankra och kommunicera besluten även utåt. Konsumenterna måste få en chans att förstå. Därför säger det mer eller mindre sig självt att fler måste vara engagerade i frågan.

Alla i ledningsgruppen, oavsett om de jobbar med marknadsföring eller ekonomi, borde vara intresserade och ha ansvar för den gemensamma säkerheten och bygga förtroenden mellan organisationen och dess kundbas.

CISOs roll förändras

I mitt arbete har jag redan sett hur CISOs roll förändrats och hur organisationer startat projekt på eget bevåg. Det övergripande ansvar bör vila på organisationens vd. Men även säkerhetschefen måste kunna vara med i det löpande arbetet, i den externa såväl som den interna kommunikationen.

En förutsättning för att få förtroende som lyfts fram i rapporten är transparens, organisationen måste vara ärliga med hur de arbetar. Vilka uppgifter är det som sparas, hur används den och vilka åtgärder har vidtagits för att säkra denna information. Det är också krav som måste levas upp till i enlighet med EU:s dataskyddlagstiftning, GDPR.

GDPR är definitivt ett gyllene tillfälle för alla organisationer och de som tar säkerhet på allvar kommer vara de som bygger förtroende till konsumenter och andra företag. Däremot, om man framstår som en organisation som bara ser GDPR som ytterligare en ruta att kryssa i, en uppgift som ska betas av, är man mer sårbar än andra.


Det kan hända även här, valet är nära och utrikiska makter har intressen i hur det går.

Facebook har tagit bort 652 sidor, grupper och konton som har ägnat sig åt koordinerade kampanjer för desinformation på Facebook och på Instagram, meddelar Mark Zuckerberg. Företaget har riktat in sig på att motverka falsk propaganda inför mellanårsvalet i USA.

Vissa av kontona har enligt Facebook kopplingar till Iran och andra till vad USA har identifierat som rysk säkerhetstjänst. Kontona har utgett sig för att representera bland annat nyhetsmedier. 

Bland kontona på Facebook upptäcktes bland andra användaren "Quest 4 Truth", som påstod sig vara en iransk oberoende medieorganisation kopplat till det iranska statliga mediet Press tv.

Innehållet på kontona riktar sig främst till Facebook-användare i Storbritannien, Sydamerika, Mellanöstern och USA, med syftet att så tvivel kring fakta, enligt den republikanske senatorn Richard Burr.

2018 är ett väldigt viktigt valår, inte bara i USA. Så detta är högst allvarligt. Det är företagets främsta prioritet, säger Facebooks grundare Mark Zuckerberg inför en utfrågning om utländsk påverkan i sociala medier som han ska delta i den femte september. 
Samtidigt meddelar Twitter att 284 konton har stängts av för koordinerad manipulation. Företaget uppger att många av de avstängda kontona har kopplingar till Iran.

Det kan hända även här, valet är nära så var källkritiska. 


söndag 19 augusti 2018

GDPR är inte bara jobbigt och problem

GDPR är inte bara jobbigt och problem, men man måste veta vad man gör.

Det är lätt gjort att tro sig köpa en vision när man i själva verket köper ett system. Vägen till målet, idealbilden, kan ofta kräva stora förändringar. Till exempel behov av ny kompetens bland medarbetarna och helt nya rutiner.

Är man inte med på detta från början kan resultatet i stället bli dubbla kostnader, manuell administration och stor besvikelse.

https://www.voister.se/artikel/2018/07/kalmar-utvecklas-med-gdpr/

lördag 18 augusti 2018

Donald Trump gör politiskt utspel

Amerikanska myndigheter försöker tvinga Facebook att tillåta avlyssning av meddelandeappen Messenger inom ramen för brottsutredningar. Det uppger tre källor med insyn för Reuters.
Ärendet väcker nytt liv i en tidigare diskussion om hur mycket makt myndigheterna har att tvinga företag att anpassa sina produkter och tjänster för att tillåta övervakning av olika slag.
Det aktuella fallet ska gälla en utredning av det kriminella nätverket MS-13 i Kalifornien, enligt en av källorna.
Varken Facebook eller det amerikanska justitiedepartementet har kommenterat uppgifterna.

https://www.reuters.com

https://www.reuters.com/article/us-facebook-encryption-exclusive/exclusive-u-s-government-seeks-facebook-help-to-wiretap-messenger-sources-idUSKBN1L226D?il=0

16 åring hackade Apple!

En 16-årig pojke från Australien har nu erkänt att han hackat sig in hos Apple och laddat ned totalt 90 GB data från den amerikanska it-jätten. Det är vid flera tillfällen som pojken tagit sig in på Apples nätverk och kommit över information, som han sedan lagrat i en mapp på sin dator.

Apple förnekat att några känsliga uppgifter om kunder skulle ha läckt ut i samband med intrången, det spekuleras i att tonåringen bland annat ska ha kommit över inloggningsnycklar. 16-åringen ska dessutom ha delat med sig av de uppgifter han kommit över via en Whatsapp-grupp.

https://www.theguardian.com/australia-news/2018/aug/17/melbourne-teen-pleads-guilty-to-hacking-into-apple-network

tisdag 31 juli 2018

Virus genom annonser på webbsidor.

It-säkerhetsföretaget Check Point har avslöjat vad som beskrivs som en massiv kampanj för spridning av virus och malware genom annonser på webbsidor. Det rapporterar bland annat Computer Business Review och Bleeping Computer.
Enligt Check Points rapport ska aktörerna bakom virusspridningen ha riktat in sig på annonsnätverk och -försäljare för att kapa deras trafik och bland annat infektera användarnas datorer med exempelvis trojaner och annat. Kampanjen, som beskrivs som komplex i sin struktur, har fått namnet Master134.
Omkring 40 000 försök att föra viruset vidare görs per vecka, enligt Check Point.

https://www.bleepingcomputer.com/news/security/massive-malvertising-campaign-discovered-attempting-40-000-infections-per-week/

https://www.cbronline.com/news/checkpoint-malvertising

torsdag 26 juli 2018

It-säkerhetshot kommer att drabba fler företag på mer skilda sätt, och som är svårare att förutse.

Trots att 95 procent av bolagens it-chefer tror att cyberhoten ökar de närmaste tre åren har bara 65 procent av organisationerna en it-säkerhetsexpert. Det visar analysföretaget Gartners undersökning 2018 CIO Agenda Survey med 3 160 it-direktörer (CIO:er) i 98 länder, rapporterar Computer Sweden.

– På ett förvridet sätt är många cyberkriminella digitala pionjärer, säger Gartners analytiker Rob McMillan.

( https://www.gartner.com/imagesrv/cio-trends/pdf/cio_agenda_2018.pdf )

lördag 21 juli 2018

Landstingens och kommunernas informationssäkerhet påverkar samhällsviktig infrastruktur.

NIS, GDPR och den reviderade säkerhetsskyddslagen ökar kraven på landstingens och kommunernas säkerhet. Men i glappet mellan tillgängliga medborgartjänster och sviktande skatteunderlag kan främmande aktörer utan större ansträngning ta sig in och sabotera samhällsviktig infrastruktur.

Det största hotet när främmande stater är intresserade av att sabotera vår infrastruktur för att störa för vårt land. Det är vad vi kontinuerligt behöver förbereda oss för, så att vi inte tillåter några sådana risker.

Dels med tekniska lösningar, dels med omvärldsbevakning för att förstå vilka hot som finns. Det är en jätteviktig del, men vi måste även jobba med att testa och verifiera att installerade lösningar är hållbara.

För kommunerna är det en utmaning att prioritera säkerhet i konflikt med sviktande skatteunderlag och behoven inom skola, vård och omsorg. Samtidigt har de viktig infrastruktur, som elbolag och vattenverk, som it-mässigt sitter ihop och därmed är både lättillgänglig och sårbar.

Har en hacker väl kommit in på kommunens nät ser man att det nästan alltid är vidöppet och då kommer man in till el- och vattenverket och kan stänga av tillförseln till utvalda mottagare. Generellt sett är inte säkerheten så bra. 

Kommunerna behöver dessutom titta på säkerhetsskyddslagen som kommer i en ny, förstärkt tappning till våren 2019. Den innebär bland annat att kommunerna behöver analysera om en säkerhetsfråga rör rikets säkerhet. 

En huvudstadskommun kan till exempel inte friskriva sig från ansvar genom att säga att detta är en lokal angelägenhet, de är en nationell angelägenhet. 

Det finns också ett antal tillsynsmyndigheter som nu arbetar med frågan och i vissa fall ligger lite efter i nuläget. En del av dem, som Statens energimyndighet, har som uppgift att ge stöd till kommunerna. Bland annat genom att utforma regelverk och riktlinjer så att kommunerna har något att arbeta efter.

NIS, säkerhetsskyddslagen och GDPR är hjälp till verksamheter och företag i Sverige att säkerställa att vi skyddar vårt samhälle på ett korrekt sätt. 

Jag hoppas att botens storlek påverkar hur det viktiga arbetet bedrivs.

fredag 13 juli 2018

Snittkostnaden för en dataläcka: 34 miljoner

IBM har sponsrat en rapport från Ponemon Institute där man tittat närmare på dataläckor globalt. En av de slutsatser man kommit fram till är att det är oerhört dyrt med dataläckor.

 Den genomsnittliga kostnaden för en läckt datapost ligger på motsvarande 1 300 kronor. Och i snitt kostar således en dataläcka inte mindre än motsvarande 34,2 miljoner kronor.

 Utvecklingen verkar dessutom gå åt fel håll, den genomsnittliga kostnadsökningen för dataläckor anges till 6,4 procent och de tror inte att det kommer att bli bättre. 

 Rapporten är baserad på intervjuer med drygt 2 200 personer i it-branschen, fördelat på 477 företag som varit utsatta för läckor eller intrång under det senaste året.

 Enligt rapporten är den genomsnittliga kostnadsminskningen per läckt datapost 14 dollar (cirka 124 kronor) om man har ett team för att hantera säkerhetsincidenter vilket skulle innebära en kostnadsminskning på cirka 9,5 procent. Det borde i alla fall innebära en intressant kostnadsminskning.

https://gizmodo.com/mega-data-breaches-cost-companies-a-staggering-fortune-1827510737

söndag 8 juli 2018

Okunskap och naivitet sänker informationssäkerhet

Ett HVB-hem brann ned för Hammarö kommun i juli 2017. 

Vad har det med informationssäkerhet att göra?

Kommunens ledning fick efter branden uppgifter som sa att inga papper skulle kunna finnas kvar och gjorde då inte någon egen kontroll efteråt om det fanns känsligt material som inte brunnit upp.

Men det fanns kvar. 
Inte roligt för någon. 

Kommunen verkar efter händelsen, dvs när man fått reda på att information bokstavligen spridits för vinden, ha handlat på ett ganska bra sätt, men på grund av att de var lite okunniga och naiva kunde detta ske som inte får ske.  

De hade inte förberett sig tillräckligt och hade bevisligen ingen testad, fungerande katastrofplan förberedd. 

Hur skulle man ha gjort?

Visst är det lätt att vara efterklok och med facit i handen säga vad som borde ha gjorts. Men det är faktiskt precis vad riskanalyser är till för, att tänka igenom alla sannolika och osannolika scenario i förväg.

Hade man satt ett värde på informationen som förvarades på hemmet och ponerat att en brand kunnat ske, vilket inte är så långsökt, så hade steget inte varit långt till att göra en enkel checklista där någon hade fått ansvaret att personligen verifiera om det fanns kvar information i anslutning till att branden släkts. 

Hammarö kommun har i mina ögon en hög fokus på informationssäkerhet så detta handlar inte om att racka ned på dem, snarare att belysa att även de som har lite koll på läget behöver höja sin nivå och faktiskt följa de rekommendationer som ges i standarder och samtidigt genomföra analyser och tester innan katastrofer händer. 


fredag 6 juli 2018

Forskare påstår; Få Android-appar spionerar på användarna

Det finns inga bevis för att appar som begär tillgång till mikrofonen på mobila enheter skulle användas för att spionera på användarna. Det är slutsatsen som forskare vid Northwestern University och UCLA kommit med efter att ha studerat 17 260 Android-appar mycket noggrant. 15 627 av apparna kom direkt från Googles Playbutik och de övriga från tredjeparts-butiker.

De flesta appar som begär tillgång till diverse funktioner på telefonerna använder sig påfallade ofta överhuvudtaget inte av möjligheterna som tillståndet ger, menar forskarna. Av samtliga appar som man tittade närmare på så var det bara 21 som faktiskt spelade in material och lagrade informationen externt. Då handlade det om skärmdumpar och information i klartext.

En av de appar man tittade på – matleverans-appen Gopuff – skickade skärmdumpar och videoinspelningar av användarnas skärmar till en analysfirma, något som man inte klargjort i sina allmänna villkor.

https://www.bleepingcomputer.com/news/security/study-of-17-260-android-apps-doesn-t-find-evidence-of-secret-spying/

tisdag 26 juni 2018

E-posten vanligaste vägen in för de kriminella

För cyberkriminella som vill tjäna pengar finns det idag en rad olika angreppsmetoder att använda sig av, men den gemensamma nämnaren för de flesta är att de startar via offrets e-post. Det visar en ny rapport från säkerhetsföretaget Trend Micro.

Mejlen är fortfarande den vanligaste vägen in för de kriminella, bland annat kommer 94 procent av alla ransomware-angrepp via mejlinkorgen.

Under första halvan av 2017 upptäckte Trend Micro dubbelt så många bluffmejl som samma period 2016, och flera av angreppen var så kallade vd-mejl, alltså bluffmejl där en bedragare utger sig för att vara en högt uppsatt chef på ett företag för att lura ekonomiavdelningen till att göra en utbetalning till ett konto.

Det här är rena bedrägerier och mejlen innehåller ingen skadlig kod. I stället rör det sig om social ingenjörskonst där de kriminella snappat upp vad som händer på ett företag för att lura personalen. Det kan till exempel vara som så att de sett på LinkedIn att CIO:n befinner sig i London och då ser de till att få med det i mejlet.

Det här är ofta väldigt avancerade angrepp där bedragaren lagt ned mycket tid på att skräddarsy sin bluff. Och de verkar bara bli bättre och bättre. Förut var de här mejlen ofta skrivna på dålig svenska, oftast översatt från ett annat språk med hjälp av Google Translate. Men idag är det inte ovanligt att innehållet är skrivet på klanderfri svenska.

Ibland ringer de kriminella även upp företaget för att bekräfta utbetalningen och för att hetsa på, även det på perfekt svenska.

onsdag 20 juni 2018

Hotet finns

För att få en förändring till stånd måste det ske något som gör att hotet känns reellt och att det faktiskt gäller mig personligen.

Det är svårt att få ledare att förstå vad som händer runt oss idag. Nedan händelse från veckan som gick är så sofistikerad att den endast fick att upptäcka med artificiell intelligens, en skyddsåtgärder jag känner är ganska avlägsen för oss på mitt jobb den närmaste tiden.

Det som har hänt är att experter från cybersäkerhetsjätten Symantec hävdar att det skett en hackerattack mot amerikanska satellitoperatörer och telekombolag i USA och Sydostasien, och att attacken haft sitt ursprung i Kina.

Enligt Symantec ser målet ut att ha varit att spionera och fånga upp både militär och civil kommunikation. Man går däremot inte så långt som att hävda att attacken skulle vara statssponsrad.

Symantec ska redan ha informerat FBI och det amerikanska departementet för inrikes säkerhet, liksom liknande instanser i Sydostasien. Hackarna ska dessutom ha stängts ute från systemen.

Fotnot: Satelliter spelar en mycket viktigt roll för både telefon- och internetförbindelser i världen, men också för positioneringssystem som exempelvis GPS.

Enligt FRA är hotet från liknande attacker större än någonsin och alla måste hjälpa till och ta det på allvar för rikets säkerhets skull.

https://www.cnet.com/news/china-based-espionage-campaign-targets-satellite-defense-companies/

lördag 16 juni 2018

Säker hantering av information

För att prata om en säker hantering av information måste vi först göra vissa påståenden. Om vi helt enkelt antar att alla håller med om följande uttalande så kan vi fortsätta.

Utgångsläge:
  • Information är all data i tal och skrift vare sig det handlar känslig information, talad information, skriven på papper eller i ett IT-system, lagrad i papperskorgen eller i ett datavalv.
  • Informationen är en värdefull resurs för alla. För varje person i privatlivet, i det dagliga arbetet och i den egna verksamheten.
  • Information är värdelös om man inte kan använda den eller om man inte kan lita på den.
  • Vi kan inte lita på information om vi vem som gjort något med den och inte vet vad som hänt med den.
Min sammanfattning
De uppgifter som utförs av företag, myndigheter, kommuner och landsting förutsätter att information inkommer, bearbetas, kommuniceras, lagras samt skyddas på ett sätt som garanterar innehåll, sammanhang och äkthet. -Inte en så dålig formulering tycker jag. Kan vi komma överens om det, i iallafall just nu? 

- Bra. Då går vi vidare.

Hur gör vi för att kunna hantera information säkert?

Trots att informationshanteringen är en så viktig fråga kan det vara svårt att åstadkomma rätt grad av styrning när det gäller hur informationen ska och får hanteras. Första steget för att kunna skydda och effektivt nyttja den viktiga resurs som informationen utgör är alltså att analysera vilken information som faktiskt hanteras och på vilket sätt det sker. 

- Det är väl ganska mycket vanligt bondförnuft att om vi ska kunna skydda något måste vi veta vad det är och var? Jag tycker därför att det logiska måste vara att först kartlägga all information som hanteras och var. 

Kartlägg all information

Vi måste börja med följande:
  1. Analysera vilken information som hanteras
  2. Analysera var och hur informationen hanteras
Det vill säga att kartlägga och analysera den information som organisationen är beroende av och skapa en tydlig bild av vilken information det är samt vilka system och tjänster som används för att hantera informationen.

En kartläggning av informationsflödet måste därför ta hänsyn inte bara till hur informationen kommuniceras och lagras inom den egna organisationen utan också till vilka externa aktörer och resurser som är involverade. Det kan ske i större eller mindre skala, från outsourcing till användande av kommersiella molntjänster för exempelvis lagring.

Ytterligare en aspekt att ta hänsyn till är de kanaler som mer eller mindre aktivt väljs för kommunikation, till exempel sociala medier eller sms. För att kunna få grepp om vilken information som organisationen skapar och utnyttjar är nödvändigt att identifiera och analysera  samtliga verksamhetsprocesser. 

Kartlägg all verksamhetsprocesserna

Processerna är den naturliga beskrivningen av en verksamhet. Därför är processbeskrivningar det enklaste sättet att åskådliggöra en organisations informationsflöden. Genom att beskriva verksamheten i processer blir det lättare att förstå hur helheten samverkar för att skapar värde för organisationen. - För att processbeskrivningar ska hålla över tiden beskrivs de som regel ur ett organisationsoberoende perspektiv. 

Processen visar alltså vad som ska göras oavsett vem som gör det. -Betrakta en process som en struktur av aktiviteter. 

Processerna förverkligar verksamhetsmålen genom att beskriva:
  • varför en verksamhet finns till (vilka behov som ska tillfredsställas)
  • vad som ska produceras (processernas output)
  • hur detta ska gå till (aktiviteter, resurser, information och deras relationer till varandra).
- Annorlunda uttryckt, processer är egentligen inget annat än ett gemensamt
arbetssätt. 

I kartläggningen ska det ingå en beskrivning av verksamhetsprocesserna, de informationsflöden som stödjer dessa samt av de resurser som används för att hantera informationen.

Eftersom  processkartläggning är en aktivitet som kan genomföras på olika sätt och med olika syften bör det understrykas att vi i denna kartläggning inte avser att ge stöd för verksamhetsutveckling eller organisationsförändringar. Avsikten är istället att göra en analys av befintliga processer och den information som används för att stödja processerna. 

En processkartläggning beskrivs lättast av tre lager:
  1. Verksamhetslagret, där man beskriver en organisations verksamhet och hur olika delar samverkar med varandra genom exempelvis målstrukturer, begreppsmodeller och processmodeller.
  2. Informationslagret, där man beskriver de informationsmängder som skapas och används i processen.
  3. Informationsbärarlagret, där man beskriver de informationsbärare/kanaler där processens information hanteras och lagras. Informationsbärarlagret kan bestå av andra bärare än just IT-system, till exempel papper eller telefoni.
- Informationslagret och informationsbärarlagret kan också beskriva externa tjänster som till exempel molntjänster för lagring. 

Processer kan beskrivas enbart med text, men en visuell beskrivning ökar tydligheten och överskådligheten. För att förstå en verksamhetsprocess krävs att varje delprocess har välavgränsade aktiviteter. Om dessa aktiviteter saknas är processerna bara begrepp som kan tolkas olika av olika betraktare.

En viktig faktor är också att detaljeringsnivån på aktiviteterna ska vara balanserad. Aktiviteter (eller aktivitetssteg om man så vill) ska beskrivas på en generell nivå och därefter kan vid behov fördjupningar göras.

- Behoven styr detaljeringsgraden och perspektiv. Har man inget behov av att illustrera aktiviteter, utan vill fokusera på informationsflödena, så gör man det. Vill man använda processmodellen som konkret stöd i hanteringen av information kan uppgifter om gallring, sekretess med mera läggas till.

Att genomföra en ändamålsenlig kartläggning

För att genomföra en ändamålsenlig kartläggning behövs både verksamhetskunskap och metodkunskap. Dessutom kan olika specialister behövas för att de frågeställningar som behandlas ska få sin rätta belysning. Det kan till exempel behövas juridisk bakgrund för att legala kravställningar ska kunna behandlas.

Ett annat exempel är medarbetare från it-funktionen kan behöva delta för förståelsen av hur informationslagret utnyttjar informationsbärarlagret. Sammantaget är det viktigt att se att kartläggningen av informationshanteringen i verksamhetens processer inte är en ensam skrivbordsövning utan att den mest lämpliga formen är en workshop där olika kompetenser kan samverka för bästa resultat.

För att en workshop ska fungera bra och kännas meningsfull för deltagarna krävs att den är väl förberedd. Det krävs också att deltagarna känner sig trygga i sina respektive uppgifter och är förberedda på vad de förväntas bidra med i workshopen. - Att klargöra "rollspelet" för deltagarna är därför en viktig del i förberedelserna.

Bemanning av workshop

Innan det är möjligt att börja bemanna och förbereda workshopen måste ett viktigt steg tas, nämligen att bestämma vilken process som ska kartläggas.

Det kan verka enkelt men leder ofta till frågor som bör vara lösta innan förberedelser kan inledas. Vanliga fällor är att organisation träder framför process eller att man inte sätter upp en tydlig avgränsning för den process som ska kartläggas.
Avgränsingar
Definition och avgränsning av processen ger underlaget för vilka aktörer som ska delta och vilka förberedelser som bör göras. Hur själva kartläggningen ska utformas beror på den aktuella verksamhetens organisation och regelverk.

Processkartläggningar bör ses som en rutin som genomförs regelbundet och det är därför bra om det finns dokumenterade regler för hur en kartläggning ska vara utformad. 

Roller

Med samma reservation som ovan, att allt beror på den egna organisationens
förutsättningar, kan ändå fyra rolltyper ses som lämpliga:

  1. Verksamhetsrepresentanter
  2. Specialister
  3. Analysledare
  4. Sekreterare
Verksamhetsrepresentanter
När det gäller informationssäkerhet används ofta begreppet informationsägare, d.v.s. den som har ansvar för en viss verksamhet har också ansvar för informationshanteringen. Under ideala former är informationsägaren delaktig i kartläggningen eftersom det ju är han eller hon som ytterst är den som bäst kan bedöma vilken funktion och betydelse en viss informationsmängd har för verksamheten. 

Detta är inte alltid möjligt att få till stånd och då är alternativet att välja verksamhetsrepresentanter som både har djupare kunskap om den aktuella processen och som har ett stort förtroende hos informationsägaren. 

Förtroendet är viktigt för att de bedömningar som görs ska ha fäste hos den som har ansvar för processen. Om den processen passerar organisatoriska gränser måste detta avspeglas i bemanningen av workshopen så att de olika organisatoriska enheternas intressen tillvaratas.

Specialister
Beroende på vilken process som kartläggs kan olika typer av specialister vara lämpliga deltagare.

Förutom arkivarier och informationssäkerhetsansvariga bör bland annat följande specialister övervägas som deltagare:
  • jurist
  • it-ansvarig
  • kvalitetsansvarig
  • personuppgiftsombud.
Analysledare
För att workshopen ska fungera måste den ledas av någon som utgör metodstöd, här kallad analysledare. Analysledaren kan vara arkivarie eller informationssäkerhetsansvarig men också en inhyrd expert. Det viktiga är att analysledaren besitter rätt kompetens och personliga egenskaper för att kunna leda kartläggningen på ett bra sätt. 

De personliga egenskaperna är viktiga eftersom analysledaren är ansvarig för att förbereda och genomföra workshopen samt för att säkerställa att det finns ett dokumenterat resultat av workshopen. För att klara detta bör man vara strukturerad och analytisk som person, kunna leda och entusiasmera en grupp samt kunna förstå verksamhetens behov. 

Kompetensmässigt bör analysledaren vara kunnig inom informationshantering och processkartläggning.

Sekreterare
Även om diskussionerna under en workshop i sig kan skapa samförstånd och nya insikter är det också viktigt att workshopen efterlämnar mer bestående resultat, som en ordentlig dokumentation. 

Dokumentationen kan innehålla visuella beskrivningar av den kartlagda processen men som tidigare påpekats används den bildmässiga beskrivningen av processen i första hand som stöd för en analys.

Huvudsaken är alltså de resonemang och slutsatser som framkommer under kartläggningen. Detta kräver en insats under själva workshopen som analysledaren knappast hinner med. Att ha en medarbetare som fungerar som sekreterare har en kvalitetshöjande effekt både på workshopen, eftersom analysledaren då kan koncentrera sig på sin uppgift, och sekreteraren på den rapport som bör vara resultatet från workshopen.

Förberedelser

Analysledaren bör ha ansvar även för förberedelsefasen för att få systematik i arbetet och för att de verksamhetsansvariga inte ska tyngas av uppgifter som de inte har rutin på att utföra. 

I korthet kan förberedelserna delas in i följande steg: 
  1. Överenskommelse om att kartläggning ska ske mellan informationsägare eller motsvarande funktion och den organisatoriska enhet som ansvarar för kartläggning av processer. I överenskommelsen ska ingå en tydlig avgränsning av vilken process som ska kartläggas. 
  2. Analysledaren fördjupar sig i processen och dess förutsättningar. Här ingår även förslag på tidsomfattning för workshop, vanligen 3-4 timmar. Därefter skickas förslag på tid och deltagare till informationsägare eller motsvarande funktion för godkännande. 
  3. Efter godkännande samlar analysledaren in det bakgrundsmaterial som kan vara relevant i sammanhanget. 
  4. Inbjudan skickas ut med tydlig beskrivning av syfte med och utformning av workshopen. 
  5. Analysledaren förbereder workshopen med rum, materiel och eventuell förtäring.
    - Dessutom bör naturligtvis analysledaren och den medarbetare som ska fungera som sekreterare tillsammans förbereda arbetsfördelningen och gå igenom de förväntningar man har på varandra.

Genomförande

Förslagsvis används notis-lappar och whiteboard för att beskriva aktiviteterna i processen för att uppnå stor flexibilitet.

Analysledaren ska ha ett positivt förhållningssätt men också kunna ställa penetrerande frågor för att motverka den eventuella hemmablindhet som kan finnas hos de deltagare som har verksamhetskunskap.

Vid workshopen är det viktigt att analysledaren är uppmärksam på styrande faktorer och tar ett ansvar för att analysera dessa närmare med stöd av specialistkompetens som till exempel en deltagande jurist. Likaså bör viktiga tekniska sammanhang klarläggas med hjälp av it-ansvariga.

Sekreteraren antecknar och sammanställer de gemensamma ställningstaganden
som görs under kartläggningen.

-Men det finns också vissa generella aspekter som bör regleras. Exempel på detta är hur kartläggningarna ska förvaltas och återanvändas. 

Kvalitetskontroll

När analysledaren och sekreteraren är klara med rapporten efter workshopen bör denna kvalitetskontrolleras med den grupp som deltog i workshopen och med informationsägaren. 

Ett bra tillvägagångssätt är att gruppen återsamlas för ett kortare möte med genomgång av rapporten där deltagarna får bedöma hur väl den överensstämmer med deras uppfattning. 

- Om informationsägaren inte deltar bör hon eller han få möjlighet att godkänna
kartläggningen på något annat sätt.

Och sedan?

I kommande inlägg beskrivs hur Processorienterad informationskartläggning är ett gemensamt intresse för arkiv och informationssäkerhet och hur kartläggningen kan användas i arkivhanteringen samt i arbetet med att förbättra informationssäkerheten. 

- En rekommendation är ju att kartläggningarna sker på ett rutinmässigt sätt och att processer gås igenom regelbundet. Därför behövs bland annat versions- och ändringshantering.


torsdag 14 juni 2018

SS-ISO/IEC 27000 serien och ledningssystem för informationssäkerhet


För säkerhets skull beskriver jag vad standarderna i SS-ISO/IEC 27000-serien är. 

De är framtagna av internationella expertgrupper inom ISO och IEC där Sverige medverkar genom SIS, Swedish Standards Institute. SIS deltar aktivt i det internationella arbetet i såväl ISO som CEN.

ISO är det globala standardiseringsorganet med ca 160 medlemmar, från lika många länder. CEN är den europeiska standardiseringsorganisationen med 30 medlemsnationer. Den svenska kompetensen inom området är organiserat i SIS Tekniska kommitté TK 318 Informationssäkerhet.

Genom att utgå från och implementera kraven och riktlinjerna i ISO 27001 får organisationen bl.a. följande fördelar:
  • Kunskap och medvetenhet om relevanta informationssäkerhetshot
  • En beprövad struktur för att systematiskt identifiera, hantera och kontinuerligt utvärdera informationssäkerhetsrisker
  • Möjlighet att certifiera organisationen mot ISO 27001 
ISO 27001 innehåller dessutom många av de komponenter som behövs för att uppfylla kraven i andra vanligt förekommande ISO standarder som t.ex. ISO 9001 och ISO 14001 och vice versa vilket ger mycket god möjlighet att bygga ett integrerat ledningssystem.


tisdag 12 juni 2018

Vad är informationssäkerhet för just dig?

Hur beskriver man något som informationssäkerhet på ett enkelt sätt?

Jag har försökt; på väldigt många sätt; beskriva informationssäkerhet förenklat så många ska kunna relatera och förstå vad det handlar om. Jag har dragit liknelser mot t.ex. en bil, vilket många har erfarenhet av. Sedan försökte jag med en kaffekopp, det här ännu fler erfarenhet av.

Så här det fortsatt men till slut kommer vi till läget där vi måste lära på en djupare nivå. Orsaken är till stor del att vi måste få ett gemensamt språk när vi pratar om informationssäkerhet för att kunna förstå varandra. Om en pratar kaffe medans en annan pratar bilar kommer vi inte förstå, inte helt i alla fall.

Det uppstår problem när vi kallar saker olika namn och i värsta fall har ett gemensamt namn för något men det är inte samma sak. Ta ordet information till exempel...

Vad är information? 

En tycker det är allt som skickas till och från varandra. En annan tycker det är sådant man lagrar på datorer eller det man ser på tv eller hör på radios nyheter osv. Men vad menar du med ordet information? Vad är det?

Jag tittade upp ordet på SAOL.

SAOL

tryckår: 2015  
in·­form·­at·ion substantiv ~en ~er • upp­lysningar, under­rättelser; plats där detta lämnas: ​sitta i informationen
1. (med­delad) mängd fakta vanligen av mer el. mindre exakt slag

2. inre struktur som reglerar viss process särsk. om cellernas molekyl­struktur som bestämmer arvs­anlagen

... och det slutade inte där.  Massor av förklaringar och exempel fanns att läsa (och vill du göra det så är länken).

Sedan kan man göra samma med ordet säkerhet. 

Vad är säkerhet?

SAOL

tryckår: 2015  
säker·­het substantiv ~en ~er till säker 1: ​an­svara för presidentens säkerhet; ​ställa säkerhet ställa pant el. borgentill säker 2​ – Alla sammansättn. med säkerhets- hör till säkerhet 1.
1. till­stånd som inte inne­bär fara
2. visshet
3. själv­förtroende
4. garanti för åter­betalning av lån i form av till­fälligt över­låtande e.d. av egendom


SAOL

tryckår: 2015  
in·­form·­at·ions|­säker·­hetsubstantiv ~en informationsäkerhet 1


Vad kan vi läsa ut av det?

Det är självklart att vi inte kan komma vidare med informationssäkerhet om vi inte ens kan komma överens om vad ordet betyder. 

Om du inte vet vad du menar med informationssäkerhet är det lätt att falla för frestelsen att googla upp det. 

Jag testar att googla bara ordet "Informationssäkerhet" och får upp följande (nu vet jag att det blir lite olika för alla och det är mitt specialområde men i alla fall. )

GOOGLE resultat


  1. Övervakning och konsulttjänster. Riskkontroll för er trygghet. Riskkontroll ökar vinst.

  2. Stabil driftspartner med fokus på informationssäkerhet. ISO 27001 certifierade

  3. If ger dig ersättning och dessutom experthjälp från IBM. Branschanpassad. För små och stora företag. Besked inom 24 timmar. Toppbetyg skadehantering. Skräddarsydda lösningar.

  4. Ladda ner vår ISO 27001 checklista och gör en egen bedömning redan idag.
En massa annonser om och från diverse företag,  men vad erbjuder de egentligen?

Om jag hoppar över annonserna ser vi resultat som..

Därför är informationssäkerhet viktigt. Information är medlet för att förmedla kunskap . Vi kan kommunicera information, vi kan lagra den, ...

Informationssäkerhet från www.msb.se

MSB har i uppgift att samordna arbetet med samhällets informationssäkerhet. Arbetet berör hela samhället – från organisationer, ...
Informationssäkerhet är de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs och för att informationen ...
Informationssäkerhet. Att information hanteras säkert är viktigt även för kommuner, landsting och regioner. I praktiken innebär det att ...
Du besökte den här sidan den 2018-04-25.

Informationssäkerhet från internt.slu.se

27 feb. 2018 · SLU:s LIS består av ramverk, processer och tillhörande resurser som gör att SLU kan uppnå bra informationssäkerhet.
Informationssäkerhet handlar om att rätt användare ska ha rätt information vid rätt tidpunkt. Det kan också vara viktigt att kunna gå bakåt ...

Google resultat (för mej ..)

För mig dyker SKL och MSB upp tidigt, jag använder mig mycket av deras metod stöd och rekommendationer.
Det jag vill visa här är att det är lätt att lyssna på dem som skriker högst och då hamnar vi i händerna på leverantörer som vill säga sina lösningar eller konsult tjänster. Men det är inte alls säkert att det är vad du behöver.

Men sätt ihop orden information och säkerhet så blir resultatet kanske mer förståeligt?.

- En mängd fakta (av mer el. mindre exakt slag) och en inre struktur som reglerar processer i ett till­stånd som inte inne­bär fara.

Inte helt rätt det heller. Inte helt lätt att förstå heller.

En gemensam definition

När vi ska hitta en definition tittar vi på standarder som finns och krav som ställs. 

En vanlig definition är att informationssäkerhet innebär att skydda sin information så:
  • att den alltid finns när vi behöver den (tillgänglighet)
  • att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)
  • att endast behöriga personer får ta del av den (konfidentialitet)
Det är egentligen inte en definition, mer en målbild, och alla är inte helt överens om ens den men den är bättre än annat jag hittat. 

Vissa (eller de flesta) har hört att man ska ha ett ledningssystem för informationssäkerhet (LIS) och ser det som lösningen. 

Ledningssystem för informationssäkerhet

Ledningssystem för informationssäkerhet, eller LIS, hänvisar till standardserien SS-ISO/IEC 27000 Ledningssystem för informationssäkerhet.  ISO 27000 serien är en internationell standard som ger ett beprövat ramverk för att få ett grepp om och hantera informationssäkerhet i organisationen. Standarden ger stöd för alla aspekter av informationssäkerhet på ett enkelt och konkret sätt.

Nej inte ens ett LIS är svaret på vad är informationssäkerhet. Men det ger en vägledning och erbjuder stöd genom standarder som visar lite om hur du bör göra och vilkas krav som kan ställas. Visst har man kommit en bit på väg med ett LIS men det förutsätter också en hel del, som till exempel att det är ett "levande system" och inte en pappers tiger. Det krävs att ledningen är engagerad och att alla anställda är väl förtrogna med regler och riktlinjer. Och följer dem?!
Men inget som sagt är LIS kommer inte ge dej informationssäkerhet. 
Informationssäkerhet handlar om något helt annat. 
För att gemensamt förstå och ha samma bild av informationssäkerhet och vad det är måste vi först få ett gemensamt språk som alla har accepterat och använder, sedan måste alla reda ut vad  informationssäkerhet innebär för just dem. 
Det krävs alltså att vi har en bra säkerhetskultur för att lyckas.
(Det är faktiskt inte så svårt som det låter men det är ganska mycket som ska göras och det kräver engagemang och att alla är med på tåget.)