Informationssäkerhetsbloggen

Riksrevisionen genomför en granskning av svenska lärosätenas skydd av forskningsdata. Detta initiativ kommer efter att Säkerhetspolisen har rapporterat en ökning av underrättelseverksamheten mot svenska universitet och högskolor, med stölder av värdefulla forskningsresultat från främmande makter.

Framgångsrik forskning kräver öppenhet och samverkan, men universitet och högskolor har ofta stora mängder forskningsdata som kan behöva skyddas, exempelvis information om innovationer, företagshemligheter, säkerhet och personuppgifter. Forskningsdata är en värdefull informationstillgång, och aktörer från andra länder har visat ett otillbörligt intresse för svensk forskning och innovation, med målet att stjäla kunskap och gynna den egna konkurrenskraften.

Säkerhetspolisen har rapporterat att underrättelseverksamhet mot universitet och högskolor intensifierats på senare tid, och att kunskaperna om vad som är skyddsvärt är bristfälliga. En förhållandevis färsk undersökning från Myndigheten för samhällsskydd och beredskap (MSB) visar att svenska lärosätens informationssäkerhetsarbete är på en generellt låg nivå.

– Att arbeta med säkerhetsfrågor i en miljö som också är beroende av öppenhet och internationella utbyten kräver kunskap och riskmedvetenhet som inte alltid är självklar i den akademiska världen, säger riksrevisor Helena Lindberg i ett pressmeddelande.

Riksrevisionen kommer att granska om lärosätena bedriver ett effektivt informationssäkerhetsarbete för att skydda forskningsdata. Resultatet av granskningen kommer att sammanställas i en rapport som planeras att publiceras i oktober i år. Detta initiativ visar att lärosätena behöver öka sitt fokus på informationssäkerhet för att skydda sin forskning och fortsätta vara en internationell aktör inom forskning och innovation.

Lunds universitet är ett av tre lärosäten som valts ut för fördjupad granskning. Riksrevisionen har besökt Lunds universitet under vecka 10.

Om du vill veta mer om granskningen vid LU är du välkommen att kontakta Karl Ageberg eller Ingegerd Wirehed.

Här kommer en liten repetition efter sommarledigheten av vad som gör oss till säkrare datoranvändare, både i jobbet och privat. Kunskap är den bästa medicinen och det behöver inte ta särskilt lång tid.

Här kommer en liten repetition efter sommarledigheten av vad som gör oss till säkrare datoranvändare, både i jobbet och privat. Kunskap den bästa medicinen och det behöver inte ta särskilt lång tid.

I ett samarbete mellan Myndigheten för samhällsskydd och beredskap, Polisen och Internetstiftelsen, har ett antal korta utbildningar tagits fram om allt från starka lösenord och kortbedrägerier till bluffmejl och trådlösa nätverk.

De tar bara cirka 5 minuter, och ger enkla och handfasta råd kring hur du kan bli säkrare på nätet.

Snabbkurser i säkerhet på nätet (länk till internetkunskap.se)

Tänk på att det gör stor skillnad att använda kunskapen i kurserna. Det räcker inte med att känna till att man bör aktivera tvåfaktorsautentisering på sitt privata e-postkonto – så gå från ord till handling om du inte redan gjort det.

Svenska lärosätten utsätts oftare för andra länders staters försök till påverkan, rapporterar Vetenskapsrådets tidning Curie. Till exempel kan det handla om försök att få inflytande över forskare, lärare och studenter.

Enligt Säkerhetspolisen är just universitetsvärlden särskilt utsatt för spionage och påtryckningar, säger Säkerhetspolisens pressekreterare Gabriel Wernstedt till Curie.

Enligt Säkerhetspolisen är det oftast Ryssland, Kina och Iran som ligger bakom problemet med ovälkommen utländsk inblandning.

− Vi vet till exempel att det har gjorts försök att värva personer inom universitet och högskola som agenter för att komma över information, säger Gabriel Wernstedt till Curie.

En ökad säkerhetsmedvetenhet behövs på lärosätena.

− Man pratar om att vi på lärosätena har varit lite naiva i den här frågan, men vi ska akta oss för överdriven paranoia. Forskningssamarbeten mellan individer spelar en viktig roll för kontakter mellan länder, särskilt under konfliktfyllda perioder, säger Albin Gaunt, specialist på internationella relationer vid Karolinska institutet, till Curie.

Där håller man på att bygga upp rutiner och strukturer för att stärka förmågan att identifiera och hantera risker kring internationella samarbeten.

− Vi måste kunna samarbeta även med forskare från länder som bedöms som riskfyllda. Om vi bara jobbar med partners som vi känner väl sedan tidigare missar vi nya samarbeten som kan bidra kraftfullt till forskningen, säger Albin Gaunt till Curie.

Hela artikeln Akademin särskilt utsatt för spionage och påtryckningar på tidningen Curies webbplats (länk till extern webbplats)

Nu har “Ledningssystem för informationssäkerhet vid Lunds universitet” fastställts av rektor Erik Renström. Ledningssystemet har därmed formellt trätt i kraft men kommer att införas stegvis.

Detta är grunden för ledning och styrning av informationssäkerhetsarbetet. Dokumentet, inklusive bilagor, omfattar allt från årsplanering till de punkter som ingår när informationssäkerhet vid Ledningens genomgång två gånger per år kommer att rapporteras till universitetsledningen.

Bilagor beskriver delegation, ansvar och resurser bland annat chefer, dekaner och systemägare.

Genom ett LIS ska universitetet anpassas till ett systematiskt informationssäkerhetsarbete baserat bl.a. på föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB).

Ledningssystemet omfattar hela verksamheten och bland annat beskrivs ansvaret som gäller var och en som är verksam vid Lunds universitet så här:

“Alla verksamma vid universitetet, såsom medarbetare, alla studenter samt externa samarbetspartner, har ett ansvar och en skyldighet att skydda verksamhetens information vid hantering av denna samt att inrapportera avvikelser från regelverket eller oönskade händelser som upptäcks.”

Nästa steg är att fokusera på riskdialog med fakultetsledningar och utbildning, och parallellt utforma de slutliga styrdokumenten; direktiv, rutiner och riktlinjer. Följande styrande dokument ska ingå i det färdiga ledningssystemet: 

• Policy för informationssäkerhet: uttrycker universitetsstyrelsens viljeinriktning, strategiska mål och ledningssystemets omfattning
• Ledningssystem för informationssäkerhet vid Lunds universitet: Fastställer och beskriver hur universitetet styr sin informationssäkerhet
• Riktlinjer – Riskbaserat informationssäkerhetsarbete: Beskriver riskprocess – informationssäkerhet
• Anvisningar – Fastställda informationssäkerhetsåtgärder: Beskriver säkerhetsåtgärder inom informationssäkerhet

Efter att ha slutfört den pågående planen går vi in i implementation steg för steg i organisationen. Vid Förvaltningen kommer CISO-funktionen att utvecklas vidare för att kunna stödja, hantera årsrutiner, register, support, vägledning och underhåll över tid.

Senare, när tiden är mogen, kommer även lokala informationssäkerhetssamordnare att utses vid behov, som kontaktpunkt mot den gemensamma CISO-funktion och lokala experter i operativa frågor.

Det säkerhetspolitiska läget i och med Rysslands invasion av Ukraina gör att risken för cyberattacker, desinformation och ryktesspridning ökar.

Därför uppmanar LU:s informationssäkerhetsfunktion alla verksamma vid universitetet att vara extra vaksamma och gemensamt bidra till skydd mot dessa hot!

Myndigheten för samhällsskydd och beredskap (MSB) uppmanar bland annat myndigheter att se över cyberhygienen.

På myndighetens webbsida om invasionen finns information för såväl företag och myndigheter som privatpersoner.

På deras webbplats finns också “Digital informationssäkerhetsutbildning för alla”.

I publikationen ”Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder” ges sedan tidigare tio rekommendationer för god IT-säkerhet, till exempel att installera uppdateringar så fort det går och att ta säkerhetskopior. Uppmaning till medarbetare: Acceptera begäran om att uppdatera din dator snarast möjligt så att åtgärderna kan genomföras.

Slutligen tipsar vi om LU:s informationssäkerhetsutbildning för medarbetare (i Kompetensportalen, bakom inloggning) där du kan lära dig mer.

Samverkan och kunskap är bästa skyddet!

Vi har i ett tidigare blogginlägg redogjort för olika sätt som hackern använder för att lura av dig information. Nu ska vi fördjupa oss i varför: mål och medel för social engineering.

Mål

Målen med en social engineering-attack kan kokas ner till fem olika huvudkategorier: rekognosering, stöld av inloggningsuppgifter, identitetsstöld, monetär stöld och påverkanskampanjer.

Rekognosering

En attack mot en organisation inleds nästan alltid med rekognosering för att undersöka dess så kallade attackyta i jakten på eventuella svaga punkter. Rekognoseringen kan till exempel bestå av research på sociala medier eller andra platser på nätet. Lyckas angriparen få tag i inloggningsuppgifter, blir den fortsatta rekognoseringen så mycket enklare.

Med hjälp av de tekniker som beskrivits tidigare kan angriparen skaffa sig tillgång till organisationen, ofta fysisk tillgång till dess lokaler, för mer ingående informationsinhämtning.

Stöld av inloggningsuppgifter

Ofta handlar attacken om att samla in viktig information som till exempel uppgifter som behövs för identifiering och autentisering av personal vid organisationen. Det kan till exempel handla om inloggningsuppgifter till olika system.

Att samla in den här typen av uppgifter är mycket vanligt i social engineering-attacker, och det kan göras med hjälp av en mängd olika tekniker. Ibland är stölden av inloggningsuppgifter ett mål i sig, i bland är det ett medel vid rekognosering (se ovan).

Id-kapning

Identitetsintrång är när någon använder exempelvis en annan persons namn, adress, personnummer, kreditkortsnummer och andra personuppgifter för egen vinning. Id-kapning handlar om att skaffa sig tillgång till personuppgifter i syfte att ägna sig åt identitetsintrång. Detta är en mycket vanlig typ av bedrägeri.

Exempel på metoder kan vara skimningsutrustning på en bankomat eller bensinautomat, e-post som ser ut att komma från din bank och lurar dig till bedragarnas webbplats eller ett bedrägeri-sms.

Id-kapning skiljer sig något från stöld av inloggningsuppgifter när det gäller såväl mål som medel. Vid id-kapning stjäl man uppgifterna för att låtsas vara en person – vid stöld av inloggningsuppgifter handlar det snarare om att skaffa sig tillgång till organisationens resurser i största allmänhet.

Monetär stöld

Ytterligare ett mål med social engineering-attacker handlar inte om stöld av hemligheter eller intellektuell egendom – utan helt enkelt om reda pengar.

Ett exempel på detta är fakturabedrägerier, där bedragaren skickar bluffakturor som ser ut som den vanliga leverantörens fakturor, men där pengarna i stället går till bedragaren. På Medarbetarwebben kan du också läsa om så kallade vd-bedrägerier och om hur du bör agera om du misstänker att ett sådant är aktuellt.

Påverkanskampanjer

Sociala medier och ett allt populärare internet har tagit påverkanskampanjerna till en helt ny nivå. Propaganda och desinformation kan nu spridas effektivare än vad som någonsin varit möjligt via tidningar eller andra mer traditionella kanaler.

Nationer (“state actors”) kan använda påverkanskampanjer som en del av hybridkrigföring. Påverkanskampanjer är beroende av informationen, och angripare kan använda social engineering för att samla in den här informationen.

Medel

De flesta riktade nätverksintrång påbörjas med en social engineering-attack eftersom de är mycket effektiva. Men vad är det som gör att de fungerar så bra? Bland annat handlar det om att människor är sociala djur som tycker om att vara en del av en grupp och arbeta tillsammans.

Några av de principer som ligger bakom social engineering-attacker – och som ibland överlappar – är auktoritet, skrämsel, konsensus, brist, brådska, bekantskap och förtroende.

Auktoritet

Här handlar det om kombinationen av respekt och fruktan, för en person som har makt över oss, till exempel makt att ge oss sparken eller löneförhöjning. Vi gör ofta vad vi kan för att utföra en uppgift vi fått, oavsett vad vi egentligen tycker om den. Därför är det effektivt för angriparen att imitera en auktoritet för att ge oss känslan av att vi är tvungna att göra det vi blir tillsagda.

Skrämsel

Här handlar fruktan inte om att personen har makt över en, utan det kan till exempel vara någon som är otrevlig och ryar och lever om och kräver “sin rätt” för att inte gå vidare och klaga hos chefen. Reaktionen kan bli att man försöker att så snabbt som möjligt tillmötesgå önskemålen för att slippa den otrevliga personen. Ett exempel skulle kunna vara en angripare som ringer servicedesk och utger sig för att vara medarbetare eller student, och skriker och bråkar och kräver en lösenordsåterställning.

Konsensus

En lite smidigare angripare hoppar kanske över skrämseln och försöker i stället vara trevlig, förstå måltavlans behov och jobba utifrån det. Kanske finns det en gemensam bakgrund eller hobby? Det går kanske att påstå att något är “självklart” eller att “alla andra gör så”. Här kan det krävas lite förarbete från angriparen för att till exempel kunna nämna avdelningar eller personer som är bekanta för måltavlan, för att bygga förtroende.

Brist

Här handlar det om att erbjuda offret något som hen saknar och väldigt gärna vill ha – och som det annars kan vara svårt att få tag på. Det kan handla om allt från fotbollsbiljetter till en befordran. Man kan tänka på det som ett tack för en tjänst och en del av ett relationsbyggande.

Brådska

“Skynda fynda!” kan det heta inom reklam – erbjudandet gäller bara några timmar till, bäst att passa på! Så kan det också fungera i social engineering-attacker, där brådskan dels ska göra att angriparen får loss uppgifterna snabbare, dels ska ge mindre utrymme för eftertanke. Någon timmes betänketid hade annars kanske väckt frågor om huruvida angriparen verkligen är behörig att begära uppgifterna eller om inte chefen i nöd ändå vill att de säkerhetsriktlinjer hen själv fattat beslut om ska följas.

Bekantskap

Angriparen lär känna måltavlan för att bättre påverka hen att lämna ifrån sig information eller utföra uppdrag – helt enkelt därför att människor tycker om att vara omtyckta, och reagerar positivt om någon tycker om dem eller tar sig tid att lära känna dem. Efter en tids bekantskap kanske måltavlan öppnar dörren till den hemliga anläggningen eller det skyddade serverrummet.

Förtroende

Tillit eller förtroende är också en viktig ingrediens i social engineering-attacker. Mål och andra omständigheter avgör hur mycket förtroende som krävs. Handlar det om information eller andra uppdrag som kräver en hög grad av förtroende så kan det här arbetet pågå i veckor eller månader. Ofta ingår också andra medel som nämnts ovan i arbetet med att bygga förtroende.

Att knäcka lösenord och bryta sig in i skyddade nätverk kräver ofta stor teknisk specialistkunskap. Oftast är det betydligt enklare att lura av dig informationen direkt.

System med säkerhetsbrister lappas och lagas efterhand. Den som är intresserad av IT-säkerhet och äger en Windowsdator känner kanske till begreppet “Patch Tuesday”, den tisdag varje månad då Microsoft släpper sina säkerhetsuppdateringar.

Men hur förhåller man sig till mänskliga sårbarheter? Här nedan går vi igenom ett antal vanliga knep som angripare använder för att luras. Genom att känna till hur hackern jobbar kan du lättare syna bluffen.

Typer av attacker

Det finns många olika typer av attacker inom det som i säkerhetsvärlden kallas “social engineering”. Några känner du säkert igen, och andra kanske du börjar se nu när du får ett namn på dem.

Spam (skräppost)

Spam, eller skräppost på svenska, definieras som “oombedd” e-post. Ofta handlar det om irriterande reklam eller annan marknadsföring, men den är ändå viktig att hålla reda på eftersom det bland den harmlösa skräpposten också kan finnas e-brev med mer ondskefulla avsikter, till exempel att stjäla din eller organisationens information.

Phishing (nätfiske)

Den som ägnar sig åt nätfiske (phishing) trålar brett bland e-postanvändarna. Det är därför argumentet “Varför skulle någon vara ute efter mig?” fungerar så dåligt när det gäller nätfiskeattacker. Attacken är inte personlig – i stället är tanken att om nätet kastas över tillräckligt många så är det i alla fall några som fastnar.

Bedragarna har blivit allt skickligare på att få nätfiskemejlen att se trovärdiga ut. Ofta uppmanas du att klicka på en länk, och du kommer då till en webbplats som är en trovärdig kopia av en riktig webbplats, där du exempelvis uppmanas att mata in dina kreditkortsuppgifter.

Ett annat knep kan vara att använda url:er som ser trovärdiga ut, men som i själva verket är bluffar. Ett exempel skulle kunna vara www.rnicrosoft.se som är mycket likt www.microsoft.se man läser slarvigt. (Ser du inte skillnaden? Lilla r följt av lilla n kan vara ganska likt ett litet m i vissa typsnitt och i vissa sinnesstämningar.)

Stora seriösa IT-säkerhetsföretag erbjuder sina kunder tjänsten att skicka ut trovärdiga phishingmejl till kundernas anställda för att kunna mäta hur lättlurad personalen är, så att man sedan kan sätta in exempelvis utbildningar (eller samtal med chefen!). Vilken forskare skulle inte bli smickrad av en vänförfrågan på Linkedin från en känd kollega vid ett välrennomerat lärosäte?

Vad syftet med nätfisket är varierar – det kan handla om allt från att stjäla dina identitetsuppgifter till att installera skadlig programvara på din dator, till exempel utpressningsvirus.

Spear phishing (riktat nätfiske)

Medan vanliga nätfiskeattacker siktar brett, handlar spear phishing om motsatsen: riktade attacker mot exempelvis en person eller avdelning. Här har bedragaren gjort sin hemläxa och i förväg samlat in personlig information som gör att mejlet ser mer trovärdigt ut. Det skulle till exempel kunna handla om de fyra sista siffrorna i kreditkortsnumret eller ditt personnummer. Ett annat knep kan vara att få det att se ut som om mejlet kommer från din kollega eller chef.

Whaling (“valfångst”, jakt på storvilt)

Här handlar det om att gå på storviltet. (Man vill gärna skriva “de stora fiskarna”…) Här riktar bedragaren in sig på personer i högsta ledningen (“Bara du som är rektor på ett topp 100-universitet är bjuden på den här exklusiva tillställningen.”) eller på andra viktiga positioner i organisationen. Tanken här är att de här personerna antas sitta på mer kritisk information som kan vara av större värde för bedragaren.

Smishing (nätfiske via sms)

Medan traditionell phishing handlar om e-post, så blir det i stället “smishing” om bedrägeriet görs via sms.

Spim (nätfiske via chatt)

Kommer din skräppost inte via mejlen, utan i stället via din instant message-klient (Facebook Messenger, Whats App etc)? Då är det inte spam – utan spim (instant message förkortas “IM”).

Vishing (nätfiske via röstsamtal)

Om bedrägeriet görs via röstsamtal över nätet (Voice over IP, VoIP) talar man om vishing. Det kan kombineras med att man förfalskar det uppringande numret så att det ser legitimt ut.

Pretexting (scenariobaserat nätfiske)

En pretexting-attack har samma mål som en phishing-attack, men är på sätt och vis mer ambitiös i och med att den bygger på ett scenario som ska te sig rimligt för offret. Det finns alltså en uppdiktad historia, en förevändning, som angriparen använder. Själva den här historien kan sedan levereras via ett telefonsamtal, ett mejl eller något annat – eller en kombination av flera vägar.

Shoulder surfing (“axelsurfning”)

Men det är inte bara på distans som angriparna agerar. Shoulder surfing – att någon kollar över axeln på dig och ser vad du skriver på datorn – känns så vardagligt att det kan kännas ovant att tänka på det som en attack. Men görs det avsiktligt med syftet att tillskansa sig information, till exempel ett kontonummer eller ett lösenord, är det ett angrepp.

Det är kanske lätt att beskrivningen för tankarna till hur någon okänd kommer fram till ditt skrivbord i ett kontorslandskap på jobbet och börjar ställa onaturliga frågor samtidigt som personen sneglar på din skärm. Men det är också vanligt att man sitter på ett kafé eller på tåget och jobbar – en miljö där okänd personer är ett naturligt inslag som man inte tänker på.

Dumpster diving (leta i soporna)

Loppisar marknadsförs ibland med orden “Ditt skräp – någon annans fynd”. I informationssäkerhetssammanhang gäller det också din gamla postitlapp med det där lösenordet som du till slut lyckades lära dig utantill. Eller den där manualen till det nya lokalbokningssystemet som i en skärmdump råkade avslöja för den IT-kunnige bedragaren att ni kör en sårbar version av en applikation i ert nätverk.

Dumpster diving handlar i det här sammanhanget inte om att leta efter något ätbart i containrar, utan i stället om att hitta värdefull information i dina eller din organisations sopor.

Tailgating (“hänga på”-attack)

En tailgating-attack handlar om att “hänga på” någon in genom en dörr för att få tillgång till en plats man inte är behörig att vistas på – som då någon plankar in i tunnelbanan genom gå tätt efter någon genom spärrarna.

För att få den behörige att känna empati och därmed bli mer benägen att hjälpa till och öppna, kan bedragaren till exempel ha famnen full av lådor, sitta i rullstol eller hoppa på kryckor.

Impersonation (imitation)

Lyckas inte bluffen med kryckorna eller lådorna? Kanske går det bättre med blåställ, ett mystiskt mätinstrument och ett förfalskat papper från kommunen? I så fall handlar det snarare om impersonation, alltså att låtsas vara (imitera) någon som har behörighet att komma in – kanske för att putsa fönster eller mäta radon?

Här kan det också handla om att låtsas vara en person med högre status i organisationen än den som angrips. Kanske försöker angriparen via telefon eller e-post övertyga offret om att hen jobbar där och har rätt till en viss behörighet till ett system.

Hoax (bluff)

Det här handlar om bluffmejl som kanske inte direkt är bedrägerier i vanlig bemärkelse, men ändå försök att luras. Det kan handla om historier om svårt sjuka barn vars enda önskan är att deras mejl ska nå fram till 10 000 människor, eller mejlkedjor som går ut på att man ska besvara frågor och skicka vidare till tio av sina bästa vänner.

Men man riskerar också att bli en del av att skicka ett virus vidare, eller i ett listigt försök att samla in information om vänskapsrelationer då man uppmanas att skicka mejlet vidare till ens vänner, men också till avsändaren.

Watering hole attack (“vattenhålsattack”)

Här är analogin vattenhålet där de oskyldiga antiloperna samlas ovetande om att de hungriga lejonen lurar i buskarna.

På samma sätt tänker man sig att angriparen försöker komma åt en grupp eller avdelning på ett företag indirekt, genom att infektera en webbplats som offren ofta besöker och litar på. Angriparen har kanske gått bet när det gäller att lura personerna i gruppen i en spear phishing-attack, och i stället görs då en indirekt attack.

För att lyckas måste angriparen förstås klara av att infektera den aktuella webbplatsen så att offren utsätts för en malware-attack då de besöker den.

Lunds universitet ska bli bättre på att anmäla och åtgärda inträffade incidenter inom informationssäkerhet. Det är målet för ett nyligen beslutat delprojekt inom arbetet med att införa ett ledningssystem för informationssäkerhet.

Anders Sjöö leder delprojektet som pågår till och med mars 2023.

Vad går ditt arbete ut på?

– Att etablera en systematisk hantering av incidenter inom informationssäkerhetsområdet. Det är en del i det större projektet att införa ett ledningssystem för informationssäkerhet vid Lunds universitet. Det bottnar dels i lagkrav som gäller alla statliga myndigheter, dels i interna krav och behov, säger Anders Sjöö.

Enligt det nyligen fattade rektorsbeslutet ska delprojektet ha både ett säkerhetsmässigt och ett kommunikativt perspektiv: “Det ska vara lätt att förstå vad som är en incident, hur man ska agera vid en incident samt vilka effekter en utebliven hantering kan innebära.”

Vad är incidenthantering?

– En incident brukar beskrivas som en oväntad eller oönskad händelse som får negativa konsekvenser. Incidenthantering syftar till att upptäcka incidenter som påverkar informationssäkerheten, att se till att effekterna av incidenten begränsas och att åtgärder vidtas för att återställa en normalsituation, säger Anders Sjöö.

Men en minst lika viktig funktion med incidenthantering är att universitetet drar lärdom av inträffade incidenter och bedriver ett systematiskt och proaktivt arbete för att undvika skada för verksamheten.

– Framåtsyftande arbete är alltid bättre än att släcka bränder, även om vi så klart också måste kunna ta hand om bränderna på ett effektivt sätt, säger Anders Sjöö.

Man brukar skilja på olika sorters incidenter. En informationssäkerhetsincident kan innebära en eller flera av dessa:

• Information har blivit tillgänglig för obehöriga.
• Information har förlorats, eller förvanskats.
• Information är otillgänglig när den ska användas.

– En incident kan uppkomma av många olika orsaker. Den kan innebära allt från marginell påverkan för enstaka individer till stor och långvarig påverkan för hela universitetet, ja till och med omgivande samhälle, säger Anders Sjöö.

Det är vanligt att informationssäkerhet blandas ihop med IT-säkerhet.

– Informationssäkerhet har fokus på säkerheten för just informationen och inte i första hand på tekniken som hanterar informationen. En del informationssäkerhetsincidenter har inte någon IT-komponent alls, till exempel om utskrifter med känsliga personuppgifter skulle komma på villovägar, säger Anders Sjöö.

Det finns ingen motsättning mellan de två – i stället kompletterar de varandra.

– Det är två fokus som delvis överlappar varandra. Det gör att samverkan mellan IT-säkerhet och informationssäkerhet är självklar, säger Anders Sjöö.

Men kraven på samverkan är större än så i en komplex organisation som Lunds universitet. Det framgår inte minst av rektorsbeslutet: “Delprojektet kräver såväl samverkan över fakultets- och sektionsgränser som orientering kring kärnverksamheterna utbildning, forskning och den tredje uppgiften.”

– Processerna ska utvecklas för hantering av incidenter inom Lunds universitet, de ska etableras och integreras inom universitetets verksamheter, säger Anders Sjöö.

Också enskilda medarbetare behöver lära sig mer om ämnet.

– En välfungerande incidenthantering förutsätter också att medarbetarna har tillräckliga kunskaper om informationssäkerhet. Olika inslag av kompetensutveckling är en bärande del av projektet som pågår parallellt med processarbetet, säger Anders Sjöö.

Det inträffar incidenter varje dag. De allra flesta drabbar mindre delar av universitetet och innebär inga allvarliga, långsiktiga konsekvenser. Hanteringen är idag varierande, en del funktioner har etablerade processer, inom andra finns utrymme till förbättringar.

– Vi behöver förbättra systematiken i hanteringen, få en bättre överblick och vässa vårt proaktiva arbete, säger Anders Sjöö.

På vilket sätt ska det bli annorlunda när ditt arbete är klart?

– När projektet är avslutat ska universitet ha en större förmåga att upptäcka, anmäla och åtgärda inträffade incidenter. Vi har beslutade och kommunicerade processer för incidenthantering, det är processer som i stor utsträckning samverkar med annan riskhantering och integrerar med universitetets olika verksamheter.

Och så, förstås, det där målet om att dra lärdomar.

– Vi har också skapat grund för ett aktivt lärande i organisationen där vi tar vara på erfarenheter från inträffade incidenter, så att vi i stor utsträckning kan arbeta proaktivt för en god informationssäkerhet, säger Anders Sjöö.

I arbetet med att skydda en organisation från cyberhot är en vanlig metod att anställa etiska hackare som utför penetrationstester mot bland annat IT-infrastrukturen. Men arbetet kräver inte bara tekniska kunskaper, utan också en hel del social ingenjörskonst för att exempelvis lura av användare deras inloggningsuppgifter.

Etiska hackare använder samma tekniker som sina kriminella motsvarigheter, men i stället för att stjäla information och göra system otillgängliga så använder de sina kunskaper för att ta reda vilka sårbarheter systemen har så att de kan täppas till. I SVT:s serie “Hackad” lär du dig mer om hur de jobbar och vilka cyberhot som finns.

Serien som består av sex avsnitt har sänts i några avsnitt i linjär-tv och rullar vidare under hösten, men alla avsnitt finns redan tillgängliga på SVT Play för dig som är extra intresserad.

Serien beskrivs så här på SVT:s webbplats:

Du är aldrig ensam. Dina rörelser följs ständigt, liksom dina val och dina åsikter. Allt registreras och övervakas. Hur lätt är det att ta över ditt digitala liv? Och hur lätt skulle det vara för en angripare att ta över företag och myndigheter i Sverige? Serien Hackad är ett experiment där hackare lurar sig in på företag och tar över deras nätverk. Vi får se hur lätt det är att följa varje spår som en privatperson tar och hur enkelt det kan vara att göra betalningar i någon annans namn.

Avsnitten handlar om allt ifrån spioner och kändisar till helt vanliga privatpersoner och företag.

TV-serien Hackad på SVT Play

I podden Säkerhetspodcasten berättade nyligen några av deltagarna i serien om hur det gick till att spela in och ger några intressanta inblickar bakom kulisserna. Bland annat berättar de om paniken som spred sig i teamet då en av personerna i gruppen som fått veta att de skulle delta i ett digitalt experiment verkade ha stora IT-kunskaper och de befarade att han skulle skvallra för övriga deltagare om vad som kunde vara på gång. Beskrivningen av mötet mellan IT-säkerhetsexperter och TV-producenter är också bitvis roande.

Säkerhetspodcasten avsnitt 212 – Hackad del 1

Säkerhetspodcasten avsnitt 213 – Hackad del 2

Har du tappat bort ett USB-minne med känsliga uppgifter? Eller har du sett någon stryka omkring i universitetets lokaler med en möjlig avsikt att tillskansa sig värdefull information? Det finns gott om exempel på tänkbara informationssäkerhetsincidenter som måste anmälas.

Med “incident” menar man i det här fallet “en oönskad händelse med negativa konsekvenser”. För att det ska vara en informationssäkerhetsincident ska händelsen handla om säkerheten för information som hanteras inom Lunds universitetets verksamheter.

Inom informationssäkerhetsområdet talar man på engelska om “the CIA triad”. De tre bokstäverna står då för “confidentiality”, “integrity” och “availability”, det vill säga att informationen ska kunna nås bara av dem som har rätt att ta del av den (konfidentialitet), att informationen inte ska kunna förvanskas (integritet) och att informationen ska kunna kommas åt då man behöver den (tillgänglighet).

I vår verksamhet skulle det till exempel kunna översättas till att en forskningsgrupps känsliga data ligger på en molntjänst på ett sådant sätt att inte vem som helst kan komma åt den, att studenters inlämningsuppgifter inte försvinner, och att det går att logga in i Ladok då man behöver skriva ut ett studieintyg.

Även om det är lätt att börja tänka på datorer och IT-system när det gäller informationssäkerhet, så är det bara en del av området. Informationssäkerhetsincidenter omfattar information i alla former, till exempel:

• information som bearbetas och lagras i IT-system
• information i samtal, e-post, sms, inspelningar
• information i föreläsningar, bokmanus, rapporter
• information i anteckningar och på whiteboards

Längst ner i den här texten finns en länk till ett formulär där du kan anmäla incidenter. Din anmälan behöver inte vara fullständig utan kan kompletteras i efterhand. Det är viktigare att anmälan lämnas så snart som möjligt än att den är komplett.

Här följer flera exempel på händelser som kan vara möjliga informationssäkerhetsincidenter:

• personuppgifter har inte hanterats i enlighet med Dataskyddsförordningen
• inloggningsuppgifter, LU-kort eller nycklar som kommit i orätta händer
• stulna eller borttappade datorer, mobiltelefoner eller USB-minnen
• skadliga program som virus, trojaner och liknande
• tekniska störningar och haverier
• felaktig konfiguration av IT-teknik
• felaktig användning av IT-teknik
• sabotage, spioneri, utpressning eller nätfiske
• brand, inbrott, stöld eller skadegörelse

Tänk på att den här texten handlar om just informationssäkerhetsincidenter. Bara för att händelsen du rapporterat om är en informationssäkerhetsincident, så betyder inte det att den inte också är någon annan typ av incident som behöver rapporteras även på något annat sätt. Till exempel är en informationssäkerhetsincident ibland också en IT-säkerhetsincident.

Är du osäker på om det som inträffat är en incident, anmäl gärna ändå! Du får en bekräftelse via e-post på mottagen anmälan med ärendenummer.

Formulär för anmälan av informationssäkerhetsincidenter (kräver inloggning med Lucat-ID)

Vill du inte registrera händelsen i systemet utan rapportera den muntligt kan du kontakta din närmaste chef eller incidentsamordnare Anders Sjöö (telefon: 046-222 13 57).