Frivilliga Radioorganisationen

Radio, tele och data i samhällets tjänst

Oktober är informationssäkerhetsmånaden!

Oktober är informationssäkerhetsmånaden! Det är ett EU-initiativ för att öka medvetenheten om informationssäkerhet i hela Europa, hos allmänheten samt små och medelstora företag. Information är viktig ur flera olika aspekter. Det kan vara viktigt att ingen obehörig tar del av den, tex dina lösenord, kontouppgifter osv. Det kan också vara viktigt att den är riktig och att det går att komma åt den när man behöver tillgång till den.

Konfidentialitet, riktighet och tillgänglighet är de aspekter man vanligen pratar om. Men även spårbarhet är en viktig del. Beroende på vilken information som avses så har dessa aspekterna olika viktighet. En känslig personuppgift har ju ett högt skyddsvärde och kräver hög konfidentialitet. I detta fall är det också ett lagkrav via GDPR.

Hur gör man då för att veta vad som är viktigt?
Företag bör genomföra informationslassificering av sin information för att veta vilka ”guldägg” man har och ur vilken/vilka aspekter information ör viktig. Som privatperson, gör man normalt ingen ”dokumenterad” infoklassning, utan snarare en mental. Vi vet nog ungefär vilken information vi bör skydda eller är ok att lämna ifrån sig. Här får varje person själva göra en bedömning om det finns någon risk med att lämna ifrån sig information, men var medveten.

Sedan är det inte alltid skyddet av informationen fungerar. Det ser vi dagligen exempel på när människor blir lurade av bedragare. Bedragarna kan använda social manipulation för att få oss medveten eller omedvetet lämna ifrån oss information eller göra vissa saker. Även tekniska attacker fristående eller i kombination med social manipulation förekommer. Här kan faktiskt alla bli lurade, gammal som ung, erfaren om oerfaren. Vissa av bedrägerierna är lätta att upptäcka andra betydligt svårare. Men lova mig, oavsett vilken kategori du tillhör, gör det inte enkelt för bedragarna. Ringer någon och vill få dig att logga in via ditt BankiD, gör det inte. Ett bra utgångsläge att inte bli lurad är att utgå ifrån att allt är bluff oavsett vilket.

Läs mer om informationssäkerhetsmånaden här.

Ha nu en trevlig informationssäkerhetsmånad, utan att bli lurad! 

Är det möjligt att ta sig in i bilars system?

Det blir fler och fler datorer i våra bilar och de är uppkopplade på olika sätt. Det kan ju tyckas vara lite olämpligt att bilen är uppkopplad. Visst, men precis som IoT (Internet of Things) så verkar vi nyttjare vilja ha det så. Det finns många fördelar och bekvämligheter med det. Men finns det bara någon typ av åtkomstpunkt så finns det en teoretiskt möjlighet att hacka sig in i system, t. ex. om det finns brister i programvara eller motsvarande.

Så varför skulle då inte bilar gå att ”hacka”?
I praktiken är det ju samma problem som i annan programvara. Utvecklarna har bråttom att få ut programmet så man hinner inte testa tillräckligt. Man återanvänder kod med brister. Även bristande kompetens, framförallt kring säkerhetsfrågor kan vara en faktor. 2015 uppmärksammade media detta ordentligt då två säkerhetsforskare visade också i praktiken att man kunde ta över vissa funktioner i en Jeep Cherokee. Jag kan tänka mig hur otäckt det måste kännas när bromsarna inte fungerar eller ratten inte ”lyder”.

2016 var det Teslas tur att ”drabbas”. Nu i maj 2018 så offentliggjorde samma grupp forskare även att man hittat ett antal sårbarheter hos BMW. Dock har inte alla detaljer kring dessa sårbarheter offentliggjorts ännu. Detta för att BMW ska ha möjlighet att patcha upp och rätta till bristerna. Risken är annars att när detaljerna blir offentliga kommer dessa sårbarheter börja att nyttjas aktivt.

Med lite fantasi så inser man ju vad bristerna mot bilar skulle kunna nyttjas till mot en intet ont anande person. Det är väl inte helt otroligt att det finns många märken och modeller som kan ha denna typen av problem ju mera programvaror det finns i bilarna och mera uppkopplade dessa är.

Som bilägare och förare så kan vi inte göra så mycket åt detta. Vi får bara hoppas att alla biltillverkare tar dessa saker på allvar och jobbar aktivt med dessa frågor. Att man tar sitt ansvar och rättar till eventuella brister snarast oavsett märke och modell när sårbarheter upptäcks. För vem vill åka i en bil med sårbarheter som gör att man kan manipulera bromsarna eller andra vitala system i bilen?

Patcha, patcha, patcha

patchaGång på gång kommer det exempel på att bedragarna/cyberkriminella numera tjänar stora pengar på sin ”verksamhet”.
Tex. har man sedan flera år börjat sälja tjänster Crime as a service (CaaS). Dessa kan man köpa för att nyttja, utan att ha någon större kunskap. Framförallt har det handlat om ”tjänster” så som överbelastningsattacker eller ransomware kit.

Den senaste i raden dök upp för några veckor sedan. Då släpptes ett nytt verktyg Threadkit som gör det enkelt, utan att behöva ha några större kunskaper, att angripa datorer som har sårbarheter i programvaran Adobe Flash Player. Ett generellt råd är alltid att lägga på säkerhetsuppgraderingar/patchar så snart dessa kommer. Detta för att "täppa till" kända sårbarheter som kan nyttjas för intrång. Mantrat bör vara "patcha, patcha, patcha".

Att uppgradera sin dator innebär en viss liten risk att följdproblem uppstår eller att det öppnar upp för nya brister eller sårbarheter. För en vanlig hemanvändare så finns det dock inget försvar att inte patcha sin dator. När det gäller företag/organisationer så kan det krävas visst förarbete att testa innan man lägger på uppgraderingar. Dels har man ofta många olika programvaror som behöver fungera ihop samt en större mängd datorer. Ett problem beroende på en uppgradering kan därför få stora konsekvenser.

Slutar leverantören att supportera eller inte komma med säkerhetsuppgradering längre så ska man också fundera hur man ska göra. Just i Adobe Flash Player fall så är den på väg att försvinna till förmån för HTML5. I många fall kan man därför helt avinstallera den.

Utbildning i IT-säkerhet

it lasVilka ”guldägg” har du i din låda? Vilken information är särskilt viktigt för dig och på vilket sätt?

I företag och organisationer klassificerar man information för att reda ut vilka guldäggen är. Man tittar då på aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet. Som privatperson är man nog inte lika ambitiös. Omedvetet gör vi ändå en klassning, då är det nog oftast konfidentialteten man tänker på. Vilken information har jag som en obehörig inte ska ta del av?

Vi använder smarta telefoner, datorer och internet alltmer i vardagen. Det är viktigt att man är medveten om hur man uppträder på ett säkert sätt på internet, när man surfar, mejlar eller agerar på sociala medier.

Det är kanske dags att bli mer medveten och kritiskt. Att vara mindre godtrogen och skydda dina guldägg bättre. FRO erbjuder kurser för att stärka informationssäkerheten och skapa insikt om risker och brister i olika system. Kurserna ger exempel på säkerhetshöjande åtgärder och idéer om hur du kan skapa en säkrare vardag och undvika problem när du använder internet.  Vill du öka din kunskap och bli mer medveten samt få förståelse för olika hot, sök då till FRO:s kurser IT-hot och IT-Säkerhet

Vill du veta mer? Kontakta FRO!

Inloggning

Endast för medlemmar

    

Hitta FRO nära Dig

Sök