Vi ska snart dyka ner i det känsliga ämnet kinesiska elbilar och cybersäkerhet, men först lite om det amerikanska valet – och personsökarbomber.
Ni som tog del av förra månadens nyhetsbrev minns kanske utläggningen om Taylor Swifts fans (Swifties) och hur Donald Trump-vänliga, AI-genererade bilder av dessa spreds på internet. Det dröjde inte länge efter att denna nyhet briserat, förrän Swift själv gjorde ett tydligt ställningstagande, som minst sagt gav effekt. När popstjärnan berättade för sina 284 miljoner Instagram-följare att hon lägger sin röst på Kamala Harris i valet, gick hundratusentals människor omedelbart in och registrerade sig för att rösta.
Swifts beslut har pekats ut som en stor fördel för Demokraterna – och Trump var inte sen att svara på nyheten; ”JAG HATAR TAYLOR SWIFT!”, skrev han på den sociala media-plattformen Truth Social.
Personsökarbomberna
Säkerhetsläget i Mellanöstern är fortsatt spänt och vi har kunnat läsa både om markstrider i Libanon och missilregn över Israel. Begreppet supply chain-attack känner ni kanske också till från förra månadens nyhetsbrev och just den numera välkända personsökar- (samt walkie talkie-)attacken måste vara en av de mest sofistikerade supply chain-attacker som någonsin utförts. Inte bara att man lyckas gömma kraftfulla sprängladdningar i personsökarbatterier på ett sätt som gör dessa nästan odetekterbara, men att också säkerställa en sån rökridå att spåren först pekar till Taiwan, sen till Hong Kong, sen till Ungern, sen till Bulgarien…
Kinesiska elbilar och cybersäkerhet
Du känner säkert till dem, du kanske till och med kör i en? Nio, Xpeng, Zeeker, BYD, MG, Hongqi, listan på kinesiska elbilsmärken kan göras lång. Det är förståeligt att dessa bilar är populära; modern design, lång räckvidd, förmånliga priser. Tankesmedjan Transport & Environment tror att 20% av alla elbilar på de europeiska vägarna kommer vara av kinesiska märken år 2027.
Detta kan förstås vara en känslig fråga, men hur tänker du och hur tänker er organisation kring kinesiska elbilar?
Elbilar och cybersäkerhet: operation Lion Cage
Tord Strømdal vid organisationen Aurora Frontline Aid (som bland annat levererar drönare och signalstörningsutrustning till Ukraina) skrev för några dagar sedan en insändare i Dagens Nyheter på temat ”Kinesiska bilar – ett spionverktyg?”. Han lämnar lite förslag på åtgärder, en av dessa åtgärder är följande gällande elbilar och cybersäkerhet:
”Vi måste öka medvetandet om vilken risk dessa fordon medför för anställda inom Försvarsmakten och andra säkerhetskänsliga företag och organisationer. Påpeka att den anställde bör anse sig övervakad i sin privatägda kinesiska bil – både gällande ljudinspelningar, geografiskt rörelsemönster samt eventuella videoinspelningar.”
I Norge har en cybersäkerhetsexpert vid namn Tor Indstøy startat ett projekt som döpts till Lion Cage, där han tillsammans med ett flertal andra personer arbetar med att kartlägga dataströmmar från en specifik kinesisk elbil. Detta arbete är ganska tidigt i sin linda och hittills har man mer eller mindre bara kunnat konstatera att bilen är extremt komplex och ja, det skickas data/information från den till Kina men också till andra länder.
NIS2
Som ni kanske har märkt så börjar vi på JSC nu kommunicera ut mer och mer kring NIS2 och den nya Svenska Cybersäkerhetslagen. Efter utredningens remiss i våras och ett ganska stort antal remissvar så är det fortfarande inte beslutat exakt när den nya svenska lagen kommer träda i kraft. Vi jobbar fortfarande mot att det är den 1:a januari som gäller men det finns rykten/information som tyder på att detta kommer bli framskjutet något. Vi har nu ganska stor klarhet i vilka organisationer som omfattas, på sidan för Europaparlamentets direktiv kan man övergripande se sektorer som definieras som högkritiska och kritiska. Man kan även från hänvisningar söka sig vidare i olika bilagor för att få en mer detaljerad bild över omfattningen. Bara inom tillverkande industri räknar vi in över 60 kategorier av produktion som kommer omfattas, givetvis beroende på verksamhetens storlek och omsättning.
Det är viktigt att veta att NIS2 kommer få stor påverkan på hur svenska företag måste förhålla sig till cybersäkerhet. Det kommer också ställa högre krav i leverantörskedjan då organisationer som omfattas av NIS2 måste jobba även med säkerhet i denna kedja. Vi har även ett CRA-direktiv i antågande som ställer krav på organisationer som tillverkar eller säljer maskinutrustning med inbyggda system/datorer.
Hör av dig till din kontaktperson på JSC om du önskar mer information kring NIS2 eller CRA.
Cybersecurity month
Oktober är EU:s ”Cybersäkerhetsmånad”, eller som MSB väljer att kalla det, informationssäkerhetsmånad. Syftet är att sprida medvetenhet kring vikten av informationssäkerhet och kunskap kring hur man kan arbeta med dessa frågor. Temat är som tidigare ”tänk innan du klickar” och det finns mer information att hämta på www.cybersecuritymonth.eu. Varför inte testa dina cybersäkerhetskunskaper via detta något opedagogiska quiz: https://cybersecuritymonth.eu/quiz
Ett annat, kanske till och med lite bättre, tips; Klicka in på Cyberlyftet från RISE och fundera om detta kan vara något för er verksamhet och era medarbetare. Cirka 2 timmar kurs men en fin investering tycker vi!
Nu skärper vi oss!
Företaget Yubico har släppt en internationell studie om olika länders it-säkerhetsvanor, 2 000 av respondenterna i undersökning fanns i Sverige. Siffrorna är ganska trista ur ett svenskt perspektiv.
Vi svenskar har ett lågt förtroende för IT-säkerheten på våra arbetsplatser, enbart 21 procent anser att deras arbetsplats har starka rutiner, i kontrast mot Indien och USA med 52 respektive 39 procent. Att förtroendet är lågt kopplar Yubico ihop med att närmare hälften (47 procent) av svenskarna säger att de aldrig fått en IT-säkerhetsutbildning på sin arbetsplats. Helt galet, säger vi på JSC.
48 procent av de svenska respondenterna uppger att de har fått sina sociala mediekonton hackade under det senaste året, och drygt hälften av svenskarna svarar att de är oroliga för sin personliga information. Trots detta har få svenskar starka personliga IT-säkerhetsrutiner, endast 12 procent, vilket är en av de lägsta siffrorna internationellt. Aktivera för sjutton muggar multifaktor-autentisering på alla dina webbinloggningar, Facebook, Instagram, Gmail osv. Och gör det nu!
Studien indikerar även att svenskar är långsammare på att stärka sin säkerhet efter ett dataintrång. Enbart 69 procent svarar att de vidtog åtgärder efter att de blivit hackade, vilket är betydligt lägre än den internationella siffran på 80 procent.
Här behöver vi faktiskt samtliga steppa upp och det gäller både vårt agerande i yrkeslivet och i privatlivet.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.