,

Omvärldskollen maj 2024

Omegapoints omvärldskoll sammanfattar ett urval av de säkerhetshändelser och händelser inom cybersäkerhet som skett senaste månaden.

Säkerhetshändelser i Sverige

1. Svenska företag och myndigheter saknar grundläggande IT-säkerhet1

I MSB:s årliga rapport har svenska myndigheters cybersäkerhetsskydd kartlagts. I rapporten för 2023 framgår det att sju av tio myndigheter saknar de mest grundläggande färdigheterna inom cybersäkerhetsarbete.

Under de senaste månaderna har flera svenska organisationer drabbats av omfattande cyberattacker. I en undersökning från Cisco har svenska företags skydd mot cyberattacker betygsatts på en fyrgradig skala. Resultatet visar att Sverige, som fick ett genomsnittsbetyg på 1.3, ligger under genomsnittet i Europa som är 1.7.  

2. Gripens leverans till Ukraina pausad2

Sverige pausar leveransen av stridsflygplanen Gripen till Ukraina. Ukraina ska i stället införa det amerikanska flygsystemet F-16 meddelar försvarsminister Pål Jonson. Belgien, Danmark, Nederländerna och Norge är de länder som har utlovat F-16-plan till Ukraina, där leveransen är beräknad innan slutet av året. Ukrainas president Zelenskyj uttryckte under en presskonferens med de nordiska stats- och regeringscheferna att Ukraina borde börja utbilda sina piloter i Gripensystemet parallellt med införandet av F-16 för att vinna tid. Försvarsministern Pål Jonson har dock förtydligat att Sverige har blivit ombett, av de länder som skänker F-16 till Ukraina, att vänta med leveransen av Gripen.

3. Flygbasjägare genomför sjukvårdsövningen Yoda3

Under maj genomfördes flygbasjägarnas årliga sjukvårdsövning Yoda som fokuserar på interoperabilitet med andra nationer. Det ursprungliga syftet med övningen var att förbereda för internationella insatser, något som successivt har ändrats på grund av säkerhetsomständigheterna. Idag ligger fokuset på nationellt försvar. 

Besökare från sju olika NATO-länder deltog under övningen som bestod av flera moment, såsom att upprätta stabiliseringspunkt för skadade i en industrilokal och vård vid fördröjd avtransport. Det övades även på upprättande av improviserade operationsutrymmen för kirurgi och omhändertagande av patienter som befunnit sig i kontaminerad miljö. Intresset för övningen har varit stort, inte bara internationellt utan även för svenska myndigheter och totalförsvaret.

4. Sverige bygger AI för europeiska språk4

AI Sweden inleder ett arbete tillsammans med tyska forskningsinstitutet Fraunhofer för att ta fram nya och kraftfulla språkmodeller för att täcka nya lagar och språkbrister. AI Sweden och Fraunhofer kommer att använda sig av den spanska datorn Marenostrum 5, som är en av världens mest kraftfulla datorer, för att träna in nya språkmodeller som kan förstå 45 europeiska språk.

5. Hotbildsbedömning för Sveriges banker5

Svenska Bankföreningen publicerar sin årliga rapport om svenska bankers säkerhet för år 2023. Rapporten fokuserar på de hot som svenska banker står inför med tanke på geopolitiska förändringar och de säkerhetsrisker som medföljer. Under rapportens cybersäkerhetsområde framgår det att antalet ransomwareattacker som drabbar finansiella företag ökat under föregående år. Överbelastningsattacker mot banker har fortsatt, och även utökats till hot mot kritisk infrastruktur. Rapporten noterar även att AI används allt oftare i bedrägerisyften och utnyttjande av tekniska sårbarheter mot både kunder och bankpersonal. 

6. Gängkriminella används av främmande stater6

Under en presskonferens i slutet av maj rapporterade Säpo att främmande stater använder sig utav gängkriminella i Sverige och utomlands för att utföra brott eller spionage. Det rapporteras att flera olika gängnätverk har kopplingar till främmande stater som de flyr till i hopp om skydd, men blir sedan tvingade att välja mellan fängelsestraff och samarbete. Detta är ett nytt fenomen och presenterar en dimension av hot mot samhället som inte tidigare beskådats. Säpo påpekar att även unga barn kan vara utförare av denna typ av brottslighet. 

Händelser inom cybersäkerhet

1. World Password Day 20247

Den 2 maj var det World Password Day. Under denna dag uppmärksammas vikten av att ha ett bra lösenord som är både komplext och väl skyddat. Initiativet till dagen grundades under 2013 för att öka medvetenhet kring lösenord, och sen 2013 infaller World Password Day alltid första torsdagen i maj.

2. Storbritannien blir första europeiska landet som förbjuder svaga standardlösenord på IoT- produkter8

Storbritannien har infört förbud mot att använda fabriksstandardiserade användarnamn och lösenord på IoT-produkter (Internet of Things) som kan vara enkla att gissa sig fram till. Detta har trätt i kraft under förordningen Product Security and Telecommunications Infrastructure 2022 (PSTI) vilket innebär att Storbritannien är det första landet att ställa denna typ av lagkrav.

IoT-produkter är vardagsprodukter som är uppkopplad mot internet, till exempel en robotdammsugare som kan styras genom en app på telefonen. Risken att en angripare får kontroll över produkten ökar i och med att lösenordet är fabriksinställt och lätt att gissa. Detta lagkrav innebär bland annat att det inte längre är tillåtet för tillverkaren att sätta enkla och gissningsbara lösenord, som till exempel ”1234”, ”admin”, eller ”password”.

3. Microsoft Recall – en ny AI-funktion9

Under maj höll Microsoft en konferens där de presenterade sin nya AI-funktion Recall, som kommer att vara en del av Copilot Plus PC. Recall är en lokal AI-funktion som tar skärmdumpar på det du ser och gör på din dator. Tanken med denna AI-funktion är att du som användare ska kunna söka och hämta tillbaka information direkt. 

Microsoft har sagt att informationen är skyddad och lagras lokalt, och kommer därför inte användas för att träna Microsofts AI. Däremot har säkerhetsaspekterna i den nya funktionen ifrågasatts. Det har diskuterats att utförda tester på AI-funktionen påvisat att data lagras som klartext i databaser, vilket skulle kunna ge möjlighet för angripare att använda virus som extraherar dess data.

4. NIS2-direktivet – delbetänkande och remissvar har inkommit10

I början av mars presenterade regeringen delbetänkandet, ett svenskt lagförslag på uppfyllnad av målen i EU-direktivet NIS2, om ett ökat skydd för nätverks- och informationssystem hos samhällsviktiga tjänster. 

Lagen har föreslagits att heta Cybersäkerhetslagen och är tänkt att ersätta den nuvarande Lag om informationssäkerhet för samhällsviktiga och digitala tjänster. Alla remissvar för att ta in synpunkter kring lagförslaget har nu inkommit från olika intressenter, bland annat från Myndigheten för samhällsskydd och beredskap (MSB) som har en stor roll inom arbetet av NIS2-direktivet i Sverige.

Den föreslagna lagen innebär att det kommer finnas fler verksamhetsutövare som behöver arbeta systematiskt och riskbaserat med informationssäkerhet för att säkerställa tillgänglighet av samhällsviktiga tjänster. I delbetänkandet är det föreslaget att lagen kommer börja gälla från 1 januari 2025, men då det är ett pågående arbete kan det komma att ändras och verksamhetsutövare bör se över arbetet inför denna lag redan nu.

Läs mer om införlivande av denna lag på Regeringens hemsida: Nya regler om cybersäkerhet – Regeringen.se

5. Sårbarhet i VPN-produkt från Check Point11

En VPN-produkt från företaget Check Point har utsatts för en sårbarhet som har klassats 8.6 av 10 på CVSS-skala (en skala för hur allvarlig en sårbarhet är). Med denna sårbarhet kan angripare komma åt och läsa av information. Det skulle kunna innebära att det går att läsa av lösenordshashar som används som ett skydd för att inte behöva lagra lösenord i klartext. Om lösenordshasharna kan bli knäckta av en angripare kan de då komma åt lösenordet.

Check Point har kommit ut med uppdateringar och rekommendationer på åtgärder för denna sårbarhet. 

Ann Cheng och Yousor Akrawi

Konsulter inom informationssäkerhet

  1. https://omni.se/msb-myndigheter-saknar-grundlaggande-it-sakerhet/a/Mn3qq0 ↩︎
  2. https://www.svt.se/nyheter/utrikes/darfor-blir-ukraina-utan-gripen-ar-elefanten-i-rummet ↩︎
  3. https://www.forsvarsmakten.se/sv/aktuellt/2024/05/flygbasjagarnas-internationella-sjukvardsovning-vacker-intresse-hos-nato/ ↩︎
  4. https://www.swedishbankers.se/fraagor-vi-arbetar-med/saekerhet/sakerhet/rapport-hotbildsbedoemning-foer-sveriges-banker-2024 ↩︎
  5. https://www.swedishbankers.se/fraagor-vi-arbetar-med/saekerhet/sakerhet/rapport-hotbildsbedoemning-foer-sveriges-banker-2024 ↩︎
  6. https://sverigesradio.se/artikel/larmet-barn-kan-luras-att-utfora-dad-at-frammande-stat ↩︎
  7. https://www.spiceworks.com/it-security/identity-access-management/articles/world-password-day-2024/ ↩︎
  8. https://www.gov.uk/government/publications/the-uk-product-security-and-telecommunications-infrastructure-product-security-regime ↩︎
  9. https://support.microsoft.com/sv-se/windows/sp%C3%A5ra-dina-steg-igen-med-recall-aa03f8a0-a78b-4b3e-b0a1-2eb8ac48701c ↩︎
  10. https://www.regeringen.se/rattsliga-dokument/statens-offentliga-utredningar/2024/03/sou-202418/ ↩︎
  11. https://therecord.media/thousands-of-devices-vulnerable-checkpoint ↩︎
, , , , , ,