Advokaten 1
Fokus IT-säkerhet n av de största förändringarna
de senaste åren är BYOD, Bring Your Own Device, det vill säga att anställda använder sina privata mobiltelefoner, bärbara datorer och läsplattor när de arbetar. Det har lett till att stora mängder känslig information i dag befinner sig utanför företagens skyddande väggar. Men riskerna ökar även av många andra skäl. – Helhetskunskapen saknas. Vi är anslutna till internet, vi sparar på surfplattor och vi uppdaterar inte våra datorer. Du vet inte vem som driftar systemet eftersom du har köpt en billig tjänst som kanske ligger utomlands. Där lägger du hela din företagsverksamhet. Det skulle man aldrig ha gjort för tio år sedan, säger Mattias Hanson, överste och chef för säkerhetskontoret vid Militära underrättelse och säkerhetstjänsten, MUST. NYA MÅLTAVLOR Mindre företag utnyttjas ofta för att komma åt större aktörer. År 2012 ökade de riktade attackerna mest bland svenska företag med färre än 250 anställda och 31 procent av alla attacker mot företag riktades mot mindre företag, tre gånger så många som året innan, enligt ITsäkerhetsföretaget Symantecs senaste statistik. En annan tydlig trend är att hackarna inte bara riktar in sig mot företagsledningen utan även mot anställda som en väg att komma in i företag och komma över känslig information. I Sverige är tillverkningsindustrin och den offentliga sektorn mest utsatta för attacker. Brottsförebyggande rådets preliminära rapport om anmälda brott 2013 visar att dataintrången ökade med 27 procent, datorbedrägerier med 54 procent och bedrägerier med hjälp av internet med 13 procent. I rapporten kallas bedrägerierna för ”en ny typ av vardagsbrottslighet”. TOPPEN PÅ ISBERGET Det finns dock anledning att förhålla sig skeptisk. Undersökningar som visar hur farligt det är på internet görs ofta av företag som säljer säkerhetssystem. Dessutom är inte alla ITbrott allvarliga, utan de flesta är ganska enkla att skydda sig mot. Å andra sidan är det vanligt att företag inte anmäler ITbrott, vilket betyder att vi bara ser toppen på isberget. Hoten utvecklas och blir mer Spam, hackade hemsidor, anställda som Edward Snowden som olovligen tar med sig information. Det finns mängder av exempel där IT-säkerheten inte klarat att möta hoten. Här är de viktigaste hoten. ÖVERBELASTNINGSATTACKER DDoSattacker (Distributed Denial of Service), som är en form av överbelastningsattacker, har ökat under lång tid och är väldigt vanliga. En sådan attack går till så att man ställer en väldigt liten fråga som kräver ett väldigt stort svar och så låtsas man vara någon annan och då kommer svaret till den man låtsas vara. Sen gör man så tillräckligt många gånger tills den angripnes internetlina är fylld och ingenting kan gå åt något håll. De här attackerna har blivit enklare att utföra eftersom hackarna har upptäckt att det finns gott om sidor på internet som beskriver hur man gör och där kan man också beställa och betala för att få attacker utförda. – Det är förmodligen mest unga privatpersoner bakom 28 de här hemsidorna, säger Robert Jonsson. Vi har sett att attackerna väldigt ofta riktar sig mot kommuner och myndigheter. Det är svårt att se varifrån de kommer, men de vi har sett är förmodligen väldigt lokala och kommer både från enskilda och mer organiserade grupper. DDoSattacker är ett mycket enkelt sätt att snabbt få effekt och kräver ingen speciell kompetens hos angriparen. Den här typen av dataintrång är förstås något som en advokatfirma som tar kontroversiella uppdrag och syns i media kan råka ut för och det har inträffat. Om man antar att de flesta advokatbyråer har enkla system med en väg ut på internet betyder det att en DDoSattack kan släcka ner hemsidan, eposten och all kontakt med internet. – För tio år sedan spelade det inte så stor roll om det inte gick att skicka epost, men så är det inte i dag. Går mejlservern ner kan vi inte jobba längre, säger Per Furberg. Men överbelastningsattackerna är inte det värsta som kan hända. – Informationsintrång är värre eftersom advokater har tystnadsplikt. Det kan bli väldigt trista konsekvenser om känslig information kommer ut, säger Lars Perhard, advokat och ITrättsspecialist på Wersén & Partners, som Advokaten Nr 2 • 2014