Välkommen till maj månads nyhetsbrev – denna gång ett lite annorlunda nyhetsbrev, bestående av två huvuddelar. Dels kommer vi komma med en varning och en uppmaning och så kommer vi titta in i spåkulan med hjälp av KPMG:s senaste cybersäkerhetsrapport.
BEC-lavinen
Komprometterade epost-konton, eller Business Email Compromise, BEC, är mycket vanligt förekommande just nu och vi vill börja detta nyhetsbrev med att skicka ut lite information och varna för denna typ av attack – en så kallad ”Adversary In The Middle-attack som vi ser är mycket vanligt förekommande.
Scenariot är följande: du får ett epostmeddelande från en person du känner, eller i varje fall en person som jobbar hos exempelvis en av dina kunder eller leverantörer. Du dubbelkollar avsändaren och upplever att mailet är legitimt, det kommer ju från en betrodd avsändare.
I mailet finns en länk och en uppmaning att öppna filen som länken leder till – ibland är meddelandet relevant, ibland inte, men det kan vara något i stil med ”här är projektplanen för det pågående projektet, ”var vänlig titta på denna faktura” eller liknande. Du anar inga större ugglor i mossen, men i själva verket har personen du får mailet av blivit hackad och du finns med i denna persons adresslista eller du har tidigare fått mail från personen. Intet ont anande klickar du på länken, du känner ju till avsändaren och mailet ser både relevant och legitimt ut. Du kommer till inloggningssidan för Microsoft 365, eller ja, du kommer till en inloggningssida som ser exakt ut som den riktiga inloggningssidan, men du tittar inte så noggrant på adressen i webbläsaren och anger ditt användarnamn och lösenord. Allt ser normalt ut, eventuellt får du upp prompten från Multifaktor-autentisering, du tar upp telefonen och godkänner genom att skriva in den numret som visas på datorn i din Authenticator-applikation.
Det som ofta(st) händer bakom kulisserna är att den fejkade Microsoft 365-inloggningssidan är kopplad mot en sofistikerad mjukvara, exempelvis Evilginx eller GoPhish. När du anger ditt användarnamn och lösenord så fångar mjukvaran upp detta och genomför en samtidig inloggning på den riktiga Microsoft 365-inloggningssidan. När du godkänner Multifaktor-autentisering så godkänner du de facto inloggningen åt bovarna.
Det som händer nu beror på – hanterar du betalningar eller fakturor så kanske bovarna försöker lura en kollega eller någon av era kunder att göra en betalning, till sig själva förstås. Har du inget av värde i dina mailkonversationer så kanske ditt konto används som ett ”burner” konto och vips har 10, 50 eller 500 av dina mailkontakter fått ett mail av dig – och så fortsätter det, dag efter dag.
Detta är ett allvarligt intrång, en hackare eller hotaktör kommer över din mailhistorik, eventuellt även information i Onedrive, Teams, SharePoint med mera.
Så, hur skyddar man sig? Det viktiga är medvenhet – att man som användare både kan känna igen när något är skumt eller fel, samt att man i denna situation (precis som i många andra situationer) frågar sig själv: Är detta rimligt? Väntar jag epost från denna person? Om svaret på någon av dessa frågor är Nej, ring upp avsändaren och dubbelkolla så att mailet är legitimt.
En annan bra sak att ha på plats är säkerhetsövervakning. Hos de kunder som nyttjar vår tjänst JSC Defense upptäcks i många fall intrånget tidigt och kan på så sätt minimera skadan, men inte förhindra eller eliminera risken.
AI och datalagring
Innan den utlovade spåkulan kommer nedan en rekommendation kopplat till användningen av Microsoft Copilot. Rekommendationen är kopplad till frågan om datalagring och amerikanska molntjänster. Detta är ett komplext ämne och man bör bedöma sina risker och ta i beaktande lagar som GDPR vid all databehandling.
Microsofts införande av Flex Routing innebär att Copilotförfrågningar och ”tillhörande data” i vissa fall kan behandlas utanför EU. Detta minskar transparensen kring både var data behandlas och av vem, vilket kan försvåra efterlevnad av bland annat GDPR.
Rekommendation: Stäng av Flex Routing i Microsoft 365 Copilot tills dess att alla använda AImodeller kan köras och kontrolleras fullt ut inom Azure och EU:s datagräns. Detta säkerställer bättre kontroll över datalokalitet, personuppgiftsbehandling och leverantörsrisk.
Spåkulan
Då går vi vidare med en lite framtidsspaning. KPMG har släpp rapporten ”Cybersecurity considerations 2026”, vilken precis som namnet antyder innehåller överväganden och analyser kopplat till cybersäkerhet som man bör ta i beaktande år 2026. Många av dessa delar kommer vi dessutom behöva tänka på många år framöver, vilket leder oss till detta med spåkula. Nedan listar vi ett antal av de delar som rapporten tar upp. Vi tycker alla dessa är relevanta och förtjänar en analys, men med respekt för dig som läsare väljer vi att detaljera tre av dessa ämnen efter själva listan:
1. Framtidens säkerhetsteam Automatisering och AI tar större plats i säkerhetsarbetet. Fokus flyttas mot att hantera intelligenta system och övervaka både människor och maskin-identiteter.
2. Geopolitik och regelkrav Hotbilden påverkas allt mer av geopolitik. Organisationer behöver stärka motståndskraften och effektivisera efterlevnad med hjälp av AI och datadriven analys.
3. Skydd av AI-system AI är nu affärskritiskt. Säkerhet kring AI handlar inte bara om teknik – utan även om tillit, risk och verksamhetsstyrning.
4. Icke-mänskliga identiteter Maskiner, tjänstekonton och AI-agenter blir fler än användare. Identitetshantering måste omfatta hela livscykeln – även för icke-mänskliga aktörer.
5. Uppkopplade miljöer (IT/OT) IoT och uppkopplade system ökar snabbt. Detta kräver tydlig ansvarsfördelning, segmentering och förmåga att övervaka hela den digitala och fysiska miljön.
6. Post-kvantkryptering Nya krav på kryptering växer fram i takt med kvantdatorer. Organisationer behöver börja planera för nästa generations kryptografi redan nu.
7. Leverantörskedjan i fokus Tredjepartsrisker ökar. Kontinuerlig övervakning och snabb respons i leverantörsledet blir avgörande för att minska attackytan.
8. CISO:s växande roll Säkerhetschefen får större strategiskt inflytande. Rollen kopplas tätare till affärsbeslut och hantering av AI-relaterade risker och möjligheter.
Alla punkter ovan är som sagt viktiga och ni bör fundera över samtliga (tillsammans med er IT-partner). Några av de delar som sticker ut mest enligt oss, är Skydd av AI-system, Uppkopplade miljöer och Post-kvantkryptering. För att inte göra krångliga ämnen ännu mer krångliga och för att hålla nere textmassan i detta nyhetsbrev kommer de snabba tankarna här:
AI är högt upp på många verksamheters dagordning och AI kommer snart vara inbyggd i väldigt många av våra processer och IT-system. Se till så ni jobbar med säkerheten runt AI – bedöm risker och sårbarheter, ta i beaktande lagstiftning, utbilda, jobba med fungerande godkännande- och förändringsprocesser. Dokumentera även detta i en tydlig AI-policy med tillhörande riktlinjer som kommuniceras och implementeras i verksamheten.
”Men vi har bra skydd på våra servrar, datorer och mobiltelefoner!”
Ja, men allt annat då – maskiner i produktion (PLC:er, SCADA), styrsystemet för ventilation, larmsystem, webbkameror? Idag är allt uppkopplat och dessutom med olika leverantörer som i sin tur för med sig olika krav och lösningar avseende uppkoppling, administration, uppdateringar med mera. Säkerställ att säkerhetsarbetet även omfattar så kallad OT (Operationell Teknik), innefatta ansvarsfördelning, segmentering och förmåga att övervaka hela den digitala och fysiska miljön
Till sist, det begrepp som vi nästan drar oss för att skriva: ”Post-kvant kryptering”. Vad är då detta? Kort beskrivet kan man säga att de algoritmer som idag används för säker kryptering av nätverkstrafik, datalagring med mera bygger på matematiska problem som våra nuvarande datorer har svårt att knäcka.
När så kallade kvantdatorer finns på marknaden så kommer väldigt många av de krypteringsstandarder vi har idag bli obsoleta. Det är intressant att det tas upp i årets rapport eftersom det inte är ett akut proble. Men att migrera/flytta till nya krypteringsstandarder är komplext och kommer ta många år. När kommer kvantdatorer finnas tillgängliga då? Det vet vi inte, men kanske om 10-20 år.
Ta gärna del av hela rapporten här: Cybersecurity considerations 2026
Slutligen
År 2026 springer på i ett rasande tempo och vi är redan i slutet av sköna maj. Till hösten kommer vi hålla såväl intressanta utbildningar som webinars på temat informationssäkerhet.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.