Etikettarkiv: GDPR

Dags att byta lösenord igen?

Du känner säkert som jag att det är jobbigt att hitta på nya lösenord hela tiden, och speciellt när det inte får vara i närheten av det tidigare eller nått annat som redan har använts!

Tankarna får dig till att hitta på ett lösenord som är lätt att komma ihåg och som du har bra chanser att kunna skriva snabbt utan att titta på tangentbordet.

När du sedan tror att du har hittat rätta kombinationen av STORA och små bokstäver och känner dig väldigt nöjd med ditt nya lösenord. Du har ju redan provat minst 3-5 varianter på samma innan, då kommer valideringsprocessen in och skriver på skärmen att du måste ha minst 1 av följande tecken ”!”#€%&/()=?*^”.

Nu är du väldigt nära att ge upp ……

Bra lösenord som jag har hittat via google.com:

  • d3ltagamm@
  • a11Black$
  • $m3llycat
  • SterlingGmail20.15

 

När du efter ännu ett antal försök har hittat rätt kombination av STORA och små bokstäver samt specialtecken kommer du känna dig nöjd

MEN då inser du att du ska även använda dessa lösenord på din telefon eller mobila enhet, då kommer du tycka att det är väldigt jobbigt, samt du har säkert redan glömt bort ditt lösenord som du ändrade på din dator….

När du sen ska skriva in ditt nya lösenord på din telefon eller mobile enhet kommer du inse att det är ett ganska krångligt lösenord du har valt… du måste bytta till olika tangentbord på mobila enheten, trist … såå jobbigt…

 

Du vet väl om att IT avdelningen och era säkerhetsföreskrifter säger att du inte får använda samma lösenord till fler system, speciellt inte om det är utanför företagets intranät.

Du kommer nu under de närmaste dagarna och veckorna ändra alla konton som du har på olika ställen till ditt nya fina lösenord och kan leva i lugn och ro i denna period tills att det är dags att bytta lösenord…. Eller hur?

Du känner med al sannolikhet igen dig, och du har säkert ett smart system som bara du känner till för att hantera detta och dina lösenord är dokumenterat ett eller annat ställe som bara du känner till!!! I telefonen? På papper? En liten notislapp under tangentbordet på jobbet och hemma? Eller varför inte en Smart App för hantering av lösenord?

Appar som läcker

Vet du om att ca 1 av 3 ”Appar” till Android läcker data? Tar information ifrån din telefon och skickar det till någon som lyssnar och dokumenterar!

Har du en app som tar hand om dina passwords? 9 mest populära Password Manager apps läcker data / information:

http://thehackernews.com/2017/02/password-manager-apps.html

Bytt är Bytt

Jag är ganska säker på att du byter lösenord ofta och att du har hittat på ett system eller metod som funkar för dig, men oavsett hur du gör och vart du gömmer dina lösenord så kommer de alltid att vara ett mål för de som vill tjäna pengar på dig och din data.

Hela tiden läggs det ut fällor på nättet för att du och jag ska skriva in vårt lösenord på en sida för att systemet på har sett att vi är i fara av att mista allt som vi har sparat just på denna webbplats:

Fällor

  • Dropbox denies hack, says old logins were scraped from third-party services

https://www.cultofmac.com/299528/millions-dropbox-accounts-allegedly-compromised-massive-hack/

  • Cyber-attack hits accounting giant Deloitte with clients’ details, passwords and emails stolen

https://www.thesun.co.uk/tech/4541402/cyber-attack-hits-accounting-giant-deloitte-with-clients-details-passwords-and-emails-stolen/

Gone phishing

Min poäng här är att det kan vara enkelt att lura dig till att lämna ifrån ditt lösenord bara genom att skicka ett mail från just ett av de system som du använder ofta.. detta kallas för phishing / att fiska …. (https://en.wikipedia.org/wiki/Phishing)

Jag vill så gärna slå ett slag för att detta är nått som företagen tar på alvar och lär deras användare att tolka vad som är bra och vad som är ett phishing epost.

Detta bör vara en del av alla företags löpande utbildning, och denna typ av utbildning och test bör aldrig ha paus!!!!

Här kan du testa en liten grupp helt gratis genom att skapa ett konto (kostnadsfritt) – https://phishinsight.trendmicro.com/en/

 

Cyber Säkerhet och GDPR tankar

Det kan inte bara vara jag som tycker det vore skönt och enkelt att ha en checklista över vad man skal titta på, rätta till, installera, konfigurera eller bara implementera av säkerhetslösningar för att vara GDPR redo! Det finns inte och det är inte tanken bakom GDPR.

De flesta företag som jag har varit i kontakt med och talat GDPR med, har ett pågående GDPR-projekt som gräver djupt in i organisationen, djupt i företagets processer och IT-system. Stora delar av projektet handlar om att kartlägga personligt data och personlig datas möjlig delning och spridning. Vart finns data om individen, vad för information har vi, vilka system har data, vem använder information om individen, vart är data delat i företaget och till vilka externa företag och hur skyddar man data om individen? MEN nu är det även viktigt att kunna bevisa att data om individen kan tas bort på begäran inom skälig tid.

Vart finns data om individen? När jag tänker efter så finns data ju över allt … vem har inte data om individen på jobbdatorn, hemmadatorn, ipad & tablet, och på telefonen! Vart sprider denna data sig? Vilken kontroll har jag som bärare av data på mina enheter? Massor med studier visar att vår ”APPS” läcker* information och data ifrån våra smarta telefoner, utan att vi vet om det – så hur kan man vara GDPR compliant om man inte har kontroll?

När jag som individ har svårt att veta vart data tar vägen utan att jag vet om det eller hur det sprider sig utan att jag vet om det – eller utan att jag tänker över att backup ligger på dropbox, Box, icloud, onedrive mm – då börjar det att bli en lite tydligare bild av vilka frågeställningar som företagen har!

Jag tror att DLP (Data Loss Prevention) kommer att bli väldigt viktigt, väldigt snabbt – det finns väldigt bra kontroller och möjlighet för att styra vad och hur data för sprida sig ifrån företagen.

Jag vill gärna slå ett slag för att vi lär oss mer om DLP och vilka funktioner, möjligheter och hjälp vi kan få i jakten för att skydda data och vara GDPR-compliant.

Läs gärna mer här:

https://www.trendmicro.com/en_us/business/products/user-protection/sps/endpoint/integrated-data-loss-prevention.html

Jag vill även dela med mig av en länk till ett väldigt bra dokument som handlar om GDPR och skrevet av Trend Micro:

Are you state of the Art?

GDPR is coming in 246 days and companies need to be secured on a state of the art

http://www.trendmicro.co.uk/enterprise/general-data-protection-regulation.html

*våra smarta telefoner läcker:

https://www.tripwire.com/state-of-security/latest-security-news/ios-android-apps-found-leaking-user-privacy-data-researchers-say/

 

 

HOTBILDEN I 2017 OCH FRAM – DEL2

Det händer mycket nu och det sker saker på fler fronter samtidigt. Man undrar ju hur mycket det är som kommer att komma upp till ytan nästa år när rapporteringsskyldigheten blir något helt annat än vad den är idag!

GDPR kommer helt klart att ge mycket mer insikt i vad som händer angående IT säkerhet och angrep mot företag då rapporteringsskyldigheten kommer att kräva rapportering inom 72 timmar. Ska bli spännande och se hur detta kommer att ge mer insikt i vår cyber säkerhetsvärld.

GDPR kommer att beröras i ett senare inlägg.

FÖRUTSÄGELSE 2;

Vid denna tidpunkt tror jag att nästan alla vet vad IoT (Internet of Things) är – annars finns det en bra beskrivning här: https://iotsverige.se/internet-things/

”IoT är ett samlingsbegrepp för den utveckling som innebar att maskiner, fordon, gods, hushållsapparater, kläder och andra saker samt varelser (inklusive människor), förses med små inbyggda sensorer och processorer. Detta medför att dessa enheter kan uppfatta sin omvärld, kommunicera med den och på så satt skapa ett situations anpassat beteende och medverka till att skapa smarta, attraktiva och hjälpsamma miljöer, varor och tjänster.”

Det är vid fler tillfällen bevisat att saker som är anslutna till Internet och har svaga eller standard lösenordsskydd har blivit ”kidnappade” och infekterat med skadlig kod som kan styras ifrån någon annanstans – dessa saker har omvandlats till sovande och osynlig krigare samt att man kan samla information om där saken finns – det är bara att börja använda fantasien för att förstå vad för information som kan samlas in och delas via denna sak.

Jag har varit på många platser, och inte bara i Sverige där det är möjligt att komma åt saker som är kopplat på internet och även har ett trådlöst nätverk som är oskyddad eller skyddad med standard lösenord. Det kan ta ett par minuter och en liten gissningslek efter ett lösenord sedan är man ansluten och har tillgång till en del information.

I 2020 kommer det vara mer än 11 miljarder IoT-enheter internetanslutna, och i svenska hem kommer det finnas minst 7 enheter som är IoT – vi behöver mer kunskap om detta. Enligt en artikel i NyTeknik ser bilden ut såhär i svensk industri:

Bilden här under visar hur ett angrep går till – Mest vanligt har det varit att en dator som styrs av ”hacker” och sedan ett sätt att starta ett ”krig” emot en ”fiende”. Nu kan hackaren leta efter IoT enheter som är oskyddad och bygga en arme med soldater som kan jobba enligt instruktioner.

Hackaren kan även be IoT krigaren att leta efter andra IoT enheter som kan övertalas att vara med i samma arme. På detta sätt kommer en hemlig och osynlig arme byggas upp och när det finns tillräckligt med krigare kan ett angrep planeras och utföras. Det finns ingen gräns för hur stor denna arme kan bli – då det finns oskyddad IoT enheter i hela världen.

Det betyder att när en hacker ger kommando till alla soldater i detta nätverk / arme att börja ett krig emot en fiende, då är det dina och mina IoT enheter som slås i kriget.

 

Vem kommer det att krigas emot?

Vi på Trend Micro tror att det kommer krigas mot IT-system som finns i kategorien IIOT (Industrial Internet of Things) – Maskiner och saker som finns i industrien anslutna till internet.

Trend Micro Mark Nunnikhoven skriver såhär i en artikel som heter ” ABB robot hack: Why industrial systems need continuous delivery” –

”In the case of industrial robots, they cannot harm the humans working around them, they need to work reliably, and they cannot make a mistake in their work. These robots build cars and planes, and they manufacture and package food products and medicines. There is zero margin for error.”

 

Hur skyddar man sig för inte bli en del av kriget?

  • Ändra omedelbart standard lösenordet.
  • Se till att man har Internet routers som kan upptäcka/stoppa intrångsförsök
  • Ställa krav, IoT enheter ska vara lätta att uppdatera med ny firmware mm
  • Skydda sig med 2-faktor lösenord

Hur skyddar man sig emot angrep?

  • Kvalitetsgranskning av enheter som blir IoT / IIoT
  • Hård testning/härdning av anslutna enheter
  • Säkerhetssystem som är smarta och konstant lär sig nya hot
  • Vara uppdaterat med senaste version

Vill du veta mer om hur du kan skydda ditt företag? Kontakt oss och vi berättar mer.

Referens material:

Svenska IoT – https://iotsverige.se/om-iot-sverige/

DDoS – https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/security-101-distributed-denial-of-service-ddos-attacks

ABB robot hack: Why industrial systems need continuous delivery – https://techbeacon.com/abb-robot-hack-why-industrial-systems-need-continuous-delivery?linkId=38652795

 

 

Tänk på skyddet – GDPR

Efter en hel dag med seminarier, tal och presentationer i ämnet GDPR, vill jag dela med mig av lite erfarenheter ifrån dagen.

Det är tydligt att det inte enbart handlar om IT system, programvaror och maskiner utan även att en stor del av arbetet handlar om människor, processer och hantering av information.

GDPR är helt klart en fråga för ledningsgruppen i stora och medelstora företag och inte enbart en IT-fråga.

Vad är GDPR?

GDPR är en del av Digital single market (DSM):

The internet and digital technologies are transforming our world. But existing barriers online mean citizens miss out on goods and services, internet companies and start-ups have their horizons limited, and businesses and governments cannot fully benefit from digital tools. It’s time to make the EU’s single market fit for the digital age – tearing down regulatory walls and moving from 28 national markets to a single one. This could contribute €415 billion per year to our economy and create hundreds of thousands of new jobs.”

  • Europeiska Kommissionen – https://ec.europa.eu/commission/priorities/digital-single-market_en

DSM – ska hjälpa oss konsumenter med att få tillgång till vår data – information inom EU oavsett vart vi befinner oss. Ett exempel på detta är att vi från och med i sommar kan tala i mobiltelefon inom EU till samma kostand som vi gör i landet där vi bor och har tecknat vårt mobiltelefonabonnemang.

På sikt, kanske redan 2018, kommer det att betyda att vi kan titta på tv, lyssna på musik och streama innehåll som vanligt när vi är ute och resa utan att det finns ett tak. Landsgränserna för digital information kommer att försvinna.

Så vad är GDPR?

Gillar du att läsa 260 sidor av byråkrati text ska du läsa här:

http://data.consilium.europa.eu/doc/document/ST-5419-2016-INIT/en/pdf

Vill du ha en snabb och lätt läst version kan du klicka här:

http://ec.europa.eu/justice/data-protection/files/factsheets/factsheet_mythbusting_2012_en.pdf

En övergripande information med länkar till massor av härlig information finns här:

http://ec.europa.eu/justice/data-protection/reform/index_en.htm

GDPR är hänvisningar till hur man som företag ska hantera data / information som kommer ifrån konsumenter och andra typer av kunder:

  • Det kommer inte vara tillåtet att samla data om personen via ”cookies” utan att personen godkänner detta
  • Det kommer inte vara tillåtet att sälja eller ge information vidare till andra utan att kunden / konsumenten har godkänt detta
  • Det ska vara möjligt att få veta vad det finns för information om kunden hos företaget
  • Det ska vara möjligt att få all information raderad hos företaget på begäran
  • Information om kunden får inte finnas kvar hos företaget efter ett visst antal år från det att individen inte längre är kund hos företaget

GDPR är skapat för att hjälpa konsumenter och kunder att få reda på information som finns om dem. GDPR är även skapat för att hjälpa företag som har kunder inom EU att ha ordning och reda på information gällande deras kunder.

Vi på Trend Micro har lösningar som ger ett starkt och kvalitativt skydd för företagen, specifikt inom GDPR. Vi rekommenderar därför att ni har en dialog med oss.

GDPR artiklarna: 25 32 33 34 35 finns det extra stärkt stöd för från Trend Micro.

Mer information från Trend Micro:

http://www.trendmicro.co.uk/enterprise/data-protection/eu-regulation/

Hoten mot företagen 2017 – nu flyttar Ransomware in serverrummet

IT-säkerhetsföretaget Trend Micro släppte i dagarna sina förutsägelser för IT-hoten 2017. Ransomware kommer även fortsättningsvis att vara ett problem under 2017, men med den stora skillnaden att det nu är företagskonton som i större utsträckning kommer att drabbas, via serverbaserade attacker. Ett annat växande problem är det som på fackspråk brukar kallas BEC, Business E-mail Compromise, och det är inte längre Nigeriabrev vi pratar om, utan e-post som ser ut som det skickats från din chef eller kollega.

Ransomware flyttar till servrarna
Enligt Trend Micros analyser för 2017 kommer ransomware förmodligen att nå sin peak under 2017, men metoderna för dess spridning kommer att variera desto mer. Under 2016 såg vi en ökning av antalet olika typer av ransomware öka med 400%. Ökningstakten kommer sannolikt att avta 2017 till 25 %, vilket i absoluta tal betyder cirka 15 nya typer varje månad.

Den stora skillnaden mot tidigare är att ransomware nu också riktar in sig på företag, och letar sig in via företagens servrar för att stjäla och låsa viktiga data, eller till och med ta sig in vi viktiga system för att till exempel stoppa verksamhetskritisk utrustning.

Företagsmarknaden är förstås intressant för bedragarna, eftersom det här potentiellt finns mer pengar att hämta än hos privatpersoner. Och många svenska företag riskerar att bli drabbade, menar Trend Micros säkerhetsexpert Johan Jarl:

  • Utvecklingen inom IT-säkerhetsområdet har förändrats mycket de senaste åren, i och med molnutvecklingen. Det har inneburit att fokus flyttats från att skydda till exempel gateways för e-post och webb till att skydda klienterna. Vi kan därför se att väldigt många svenska företag idag är mycket sårbara för en ransomware-attack via sin e-post.

 

Falska vd-mail
Företeelsen med falska mail som ser ut att komma från en kollega, ofta vd:n, har vi redan sett i Sverige och mycket talar för att det kommer att öka. Målet är ekonomiavdelningar som på detta sätt luras att betala falska fakturor.

  • Enkelheten att genomföra gör att vi bedömer att denna typ av attack kommer att öka markant framöver, fortsätter Johan Jarl.

Enligt Trend Micros statistik är den genomsnittliga summan som bedragaren tjänar på en enda attack ungefär 140 000 dollar. Att jämföra med en Ransomware-attack som genererar i genomsnitt 722 dollar. En annan komponent bakom den troliga ökningen på området är det faktum att det ofta tar lång tid att bli lagförd för ett brott som har sitt ursprung i ett annat land än där det sker. Nigeriabreven kunde till exempel härja fritt i två år innan någon enskild person kunde gripas.

Övriga trender på listan över it-säkerhetsrender 2017 är:

Internet of Things – attacker mot dem växande andelen internetbaserade enheter och funktioner kommer också att vara ett potentiellt problem för företagen framöver.

Fler sårbarheter hos Apple – antalet sårbarheter i Apples plattformar kommer att fortsätta att öka, liksom fortsatt hos Adobe.

GDPR – EU:s nya dataskyddsförordning ”General Data Protection Regulation”,
kommer att vara den enskilt viktigaste frågan under 2017 som företagen måste förhålla sig till. Den pressande faktorn är den deadline som finns 2018, då alla myndigheter och företag måste leva upp till nya och hårdare krav vad gäller hantering och lagring av personuppgifter, där en avvikelse mot kraven kan kosta upp emot 4% av den totala omsättningen.

För mer information, kontakta:
Johan Jarl, IT-säkerhetsexpert
Tel: 070-871 40 16

Om Trend Micro
Trend Micro Incorporated är en världsledande leverantör av säkerhetslösningar för att kunna dela digital information säkert i hela världen. Våra lösningar för privatanvändare, företag och myndigheter med säkerhet i flera lager skyddar information på mobila enheter, datorer, gateways, servrar och i molnet. Trend Micro skyddar information med en smart och innovativ säkerhetsteknik som är enkel att implementera och hantera och som är anpassad för växande ekosystem. Med hjälp av våra lösningar kan företag och myndigheter skydda sina slutanvändare, datacentrum och molnresurser mot sofistikerade målinriktade attacker. Alla våra lösningar stöds av molnbaserad global hotinformation från Trend Micro™ Smart Protection Network™ och övervakas av fler än 1 200 säkerhetsexperter i hela världen.

Mer information finns på TrendMicro.SE.