Threat hunting med dator och människa – det bästa av två världar

2018-08-16

En försvarare av IT-säkerhet måste lyckas avvärja varje attackförsök, varenda gång, för att vara säker. Angriparen behöver bara lyckas en enda gång för att få ett första fotfäste.

De som jobbar för att säkra företagets nätverk har alltid varit i underläge. En angripare kan på enkla sätt genomföra oräkneliga attacker mot företagets IT-system, exempelvis genom att skicka mail med skadlig kod till alla anställda om och om igen, skanna av nya sårbarheter kring de servrar som är exponerade mot internet eller bara gissa anställdas lösenord för att logga in i moln-lösningar.

När antivirusprogrammet larmar om att den identifierat och stoppat skadlig kod tar många det som ett kvitto på att det fungerar och att man stoppat ett intrång. Och när antivirusprogrammet inte larmar, men brandväggen gör det, tar man det som att brandväggen stoppat intrånget och många lutar sig lugnt tillbaka – försvaret fungerar. Eller ännu bättre; inga larm någonstans, allt är lugnt och vi är inte ens en måltavla. Eller?

Problemet är att det finns inget sätt att veta hur många försök en angripare gör, om de har lyckats ta sig in eller om försvararna lyckats hålla dem stången.

De klassiska lösningarna för att försvara ett nätverk bygger på idén: allt som kommer in kontrolleras mot en lista med ”dåliga saker”. Det kan vara IP-adresser, domännamn och fil-signaturer. Nyare produkter försöker ofta identifiera skadliga beteenden genom att köra en fil i en säker miljö och ser hur filen beter sig, men även detta matchas mot vad som tidigare är känt. Datorer och mjukvara är experter på att kontrollera stora mängder data mot varandra utan att göra fel. Problemet är att människor har en egenskap som datorer och mjukvara fortfarande kämpar med: kreativitet.

När antivirus larmar så är det troligt att angriparen redan tagit sig in. Antingen är ett av verktygen man använder redan kända och angriparen testar bara vad man kan använda. Eller så är det redan försent, nätverket är komprometterat och antiviruset fick en ny signatur som man hittade på datorn. Troligen är du offer nummer två för angriparen. Att brandväggen slutar larma betyder bara att angriparen hittat en väg in och datorerna har än en gång förlorat mot mänsklig kreativitet.

Att ta sig runt antivirus, brandväggar och alla andra lösningar som använder listor med kända indikatorer är inte särskilt svårt. Att ändra filsignaturen på ett skadligt program kräver bara ett extra blanksteg. Att byta IP-adresser och domäner är nästan lika lätt, det räcker med ett webbformulär och ett stulet kreditkortsnummer. Även de program som tittar på beteende står sig ofta slätt mot en angripare, det kan räcka att obfuskera* text någonstans, kombinera två ofarliga filer eller lura användaren att stänga av ett skydd.

Situationen som vi har hamnat i är att vi låter datorer kämpa mot mänskliga motståndare i en kamp där kostnaden för angriparen att utföra ett angrepp är väldigt låg, medan kostnaden att inte avvärja är hög för försvaren.

När vi identifierar ett angrepp så är indikatorerna som vi använder lätta för angriparen att förändra. Samtidigt är vi ofta reaktiva och väntar på nästa larm innan vi gör något.

En liknelse för detta är flygplatssäkerhet dvs. säkerhetskontroller som finns på plats för att förhindra terrordåd och flygkapningar. Dessa består i huvudsak av en säkerhetskontroll som kontrollerar alla som går in på en flygplats. Exakt hur kontrollerna utförs varierar något från land till land men principen är att man kontrollerar allt som en person bär med sig ombord på ett plan. Utgångspunkten är att upptäcka personer som vill angripa ett flygplan genom att ha med sig vapen eller sprängmedel ombord. Säkerhetskontrollen blir här liknelsen till klassiska IT-säkerhetslösningar.

Tre misslyckade terrorattacker och hur flygplatssäkerheten påverkades:

  • 22 december 2001 försökte en man ombord på en flight till USA detonera en sprängladdning gömd i skon. Försöket stoppades tack vare att passagerare och flygpersonal var uppmärksamma och upptäckte mannen när han försökte antända stubinen som var gömd i skon. Som svar på detta började flera flygplatser kräva att man tog av sig skorna vid säkerhetskontrollen.
  • 2006 planerade en grupp terrorister att spränga ett flertal flygplan genom att använda flytande sprängmedel. Brittisk polis lyckades stoppa planerna tack vare omfattande spaningsarbete. Som svar på detta begränsade flygplatser vilken mängd vätska man får ha med sig i handbagaget.
  • 25 december 2009 försökte en man spränga ett flygplan med hjälp av högexplosivt sprängmedel gömt i underkläderna. Försöket stoppas återigen tack vare uppmärksamma passagerare. Som svar på detta uppgav flera flygplatser att de skulle skärpa säkerhetsrutinerna utan att nämna något specifikt. Huruvida rutinerna skärptes har debatterats.

I de två första fallen blir svaret att förstärka säkerheten genom att i säkerhetskontrollerna försöka identifiera exakt den typen av metod som används vid senaste attacken. Samtidigt så kommer det inga specifika svar på den tredje, att detektera vissa typer av sprängmedel är svårt och att tvinga passagerare att ta av sig underkläderna är troligen inget alternativ. Detta är analogt med hur signaturbaserat skydd fungerar.

De första två situationerna är relativt enkla att öka säkerheten kring, vilket skulle kunna vara detsamma som att titta närmare på särskilda filtyper där en skadlig fil antagligen har en tydlig markör. Det tredje exemplet, sprängmedel i underkläderna är svårare och det finns liknande händelser inom IT-säkerhet där det kan vara komplicerat att identifiera vissa hot. Det bästa liknelsen är krypterad trafik till och från internet. Man kan dekryptera trafiken men det kräver speciella lösningar, riskerar att skapa andra säkerhetsproblem (försämrad kryptering) och anses kränka personlig integritet.

Notera också att varje attack byter metod. Om skor kollas extra efter sprängmedel så använder man vätskor, om vätskor förbjuds använder man fasta sprängmedel gömda på något nytt ställe. Samtidigt är det värt att påpeka att det inte är de tilltänkta säkerhetsfunktionerna på flygplatsen som identifierar och stoppar hotet. Det är istället vaksamma passagerare och underrättelse som förhindra dessa katastrofer och även detta påminner mycket om angrepp mot IT-system. Allteftersom ett verktyg blir känt så tar angriparna fram nya. Det är också vanligt att angrepp upptäcks av tredje part eller en vaken användare och inte av interna säkerhetsteamet. Skillnaden är att det oftast redan är försent då.

Problemet jag beskriver är alltså en kombination av olika metoder och verktyg som gör att det oftast är lättare att angripa ett företagsnätverk än man tror.

I simulerade angrepp mot riktiga företag har jag själv sett hur angripare kunnat ta sig in och röra sig obehindrat runt i nätverk utan ens ett pip från larmsystemet. Det är inte alls osannolikt att det tar mer än 100 dagar att identifiera ett intrång.

Det leder till följande:

  • En övertro/man förlitar sig för mycket på att automatiska system ska identifiera och stoppa intrång – man låter datorer kämpa mot människor, räknekapacitet mot kreativitet.
  • Man väljer att invänta larm om problem och sedan agera på det, åtgärderna är oftast reaktiva istället för proaktiva.
  • Fokus blir på att identifiera intrång och angripare med hjälp av statiska indikatorer som lätt kan ändras.

Den metod som vi på Vesper använder oss av är så kallad ”Threat Hunting”- alltså jakt på hot. Det är i sig inget nytt, många inom IT har säkert gjort det ad-hoc. Vi arbetar systematiskt med att hjälpa våra kunder att arbeta underrättelsestyrt i sitt eget nätverk. Det betyder att ge kunden en bild av vad det är som faktiskt händer, att kunna ge råd och förutsäga vad som kommer att hända. Genom att samla in stora mängder data från nätverket, med hjälp av matematiska modeller, maskinlärande och AI kunna bearbeta den data och sedan presentera för erfarna mänskliga analytiker kan vi identifiera vad som händer på nätverket, ge råd för att åtgärda potentiella säkerhetsproblem eller stoppa begynnande angrepp och med hjälp av underrättelser förutsäga nya risker och hot.

Threat Hunting kräver i grunden ingen särskild utrustning. Allt som behövs är inhämtning av händelser, loggar, från de olika enheter som finns installerade. Genom att hämta loggar från användares datorer, brandväggar och DNS-servrar kan man få en grundläggande bild av vad som händer.

Man springer dock snabbt in i det problem som ledde till att stor del av säkerhetsindustrin jobbar hårt på att automatisera saker; bristen på människor. Det kan vara svårt att få fram personer med rätt kompetens som kan genomföra Threat Hunting.

Det är inte heller skalbart att behöva komma upp med nya hypoteser att testa. Här kommer datorernas styrka in i bilden. Genom att samla in så mycket information man bara kan, låta en dator bearbeta informationen och leta efter mönster eller statistik som sedan sätts i kontext av en person som förstår data. På så sätt kan man få det bästa av två världar.

Författare: Sam, cybersäkerhetsoperatör på Vesper Group

*) Obfuskera = att avsiktligt tillkrångla.

Läs mer under kunderfarenheter om vårt arbete med threat hunting: https://www.vespergroup.se/cybersakerhet/

Kontakta oss om du vill ha hjälp av någon av våra operatörer eller om du vill veta mer.

 


Poddar om ledarskap och kriskommunikation

2018-06-25

Två kriserfarna personer med olika perspektiv: om att leda verksamhet i högriskmiljöer och om när media skärskådar din verksamhet under kris.Vespers vd Erik Lewin och kommunikationschefen Sirpa Franzén intervjuades nyligen om sina erfarenheter av Moderna Kompetenser.

Erik berättar om ledarskap och rekrytering, om att arbeta i högriskmiljöer där terrorism ständigt är närvarande, om cyberhackers  och mycket mer.
Sirpa beskriver erfarenheter från bl a Försvarsmakten och Säpo när operativ verksamhet hamnat i medias strålkastarljus och hon delar även sina bästa tips.

"Rekrytera personer som är bättre än du själv är, så åker du med." Lyssna på podden med Erik Lewin

"Ta tid för det mänskliga mötet." Lyssna på podden med Sirpa Franzén


Att jobba i Bagdad

2018-06-18

Namn: Torbjörn
Ålder: 34
Intressen: Hobbymekaniker, gillar styrdans
Ledord: Ödmjukhet och ständig förbättring

Hur såg din första kontakt med Vesper ut?
Jag stötte på ett team när jag var på utlandstjänst i ett operationsområde med Försvarsmakten. Mötet inspirerade mig. Det var ett självständigt litet team svenskar i högriskmiljö och de jobbade snarlikt oss, men på ett annat sätt än i det militära. Det ledde till att jag började fundera, planen mognade och sedan förberedde mig under en längre tid. När jag väl sökte var jag både klar i tanken och i god fysisk form.

Du har jobbat två år i Mellanöstern. Hur får du ihop yrkes- och privatlivet med ett barn hemma i Sverige?
Jag jobbar i snitt åtta veckor och är ledig fyra. Inga problem för en singelperson, men det fungerar nästan klanderfritt även för mig som har ett barn. Allt var förstås noga planerat, förankrat och förberett i familjen innan jag åkte. Men jag kan stötta med många saker även från Irak – jag har t ex genomfört sjukvårdssamtal och läkarmöten. Dagens teknologi underlättar enormt mycket, det finns Skype och annat för att hålla bra kontakt. Vid mina hemmaperioder får mitt barn och familj all min tid och närvaro. Jag har inte en massa jobb i huvudet utan är verkligen där hela tiden.

Berätta litet om din bakgrund, vad har du studerat och vilka yrkeserfarenheter har du?
Jag har jobbat åtta år i Försvarsmakten varav flera år i utlandstjänst. Är skytteinfanterist i grunden och avslutade med polisiär tjänstgöring i utlandstjänst. Jag har också gått Polishögskolan och jobbat två år som polis.

Hur kommer dina erfarenheter till sin rätt på Vesper?
Jag måste ta ett mycket större ansvar än i de stora myndighetsorganisationer där jag jobbat tidigare. Det går inte att bara utgå från det jag inledningsvis får som uppgift. Exempelvis måste jag kunna fixa tekniska detaljer på ett fordon eller läsa in mig på morgondagens uppdrag. Ena dagen gräver jag loss en bil ur ett sandigt dike och nästa dag jobbar jag i slips och kostym under ett skyddsuppdrag. Precis allt jag tidigare lärt mig och mina personliga färdigheter kommer till sin rätt. Jag tvingas också hela tiden att röra mig i ytterkant för det jag kan och för min sociala kompetens. Sådan förändring och omväxling är ren stimulans för mig.

Vad är det bästa med jobbet?
Att vi är en liten sammansvetsad grupp. Att vi har samma arbetsmoral och uppgiftslösande attityd i gruppen.

Och vad är svårast?
Alla får kämpa med självdisciplinen. Det kan bli perioder då arbetet blir väldigt enahanda och det gäller att hålla sig på topp ändå. Andra perioder kan det vara hög stressnivå i en påfrestande miljö, då gäller samma sak.

Vad vill du göra i framtiden?
Det här är ett långsiktigt engagemang för mig. Jag vill lära mig och utvecklas, inte stagnera och jag planerar i ett- eller treårsperioder. Jag vill stanna på Vesper, på en annan tjänstgöringsort eller i en annan befattning. Det är jätteviktigt för mig att upprätthålla självdisciplin och struktur.

 

 
Teamleader går igenom taktik inför ett uppdrag.

Kort om operatörens vardag – berättat av teamleader
Förberedelserna är 90 % av genomförandet och bygger på tydliga rutiner och goda preparationer. Då flyter genomförandet på, oavsett om justeringar sker.

Vi planerar vår verksamhet minst 24 timmar före uppdrag. Rekognoscerar och uppdaterar material. Förbereder profil, klädsel, utrustning, vägval, taktik för uppgiften. Tar fram tillstånd som krävs, hämtar in senaste kunskap från platsen. Visualiserar och pratar ihop oss i teamet.
God sömn, träning är a och o för att vara alert och förberedd på bästa sätt.

Vid genomförandet är det glasklart vem som gör vad. Alla har sin roll och sina uppgifter. Allt är planerat – från egen mental förberedelse till sjukvårdsberedskap och vilken personlighet som lämpar sig på olika platser. Man måste hålla sig till sin roll men vara flexibel om allt kastas om eller ändras.

Efter varje uppdrag sker en kort samling, debrief, och cirkeln fortsätter när vi går igenom framgångsfaktorer, utmaningar och utveckling. Det går aldrig att slappna av eller hamna i slentrianbeteende. Varje kväll går vi igenom hela dagen på samma sätt och planerar sedan för kommande uppdrag.

Nyckelegenskaper för en operatör
Självdisciplin, flexibilitet, anpassningsförmåga.
Ha god självinsikt, personlig mognad, ödmjukhet och en stor förändrings- och förbättringsvilja.
Vara uthållig, gilla att träna, öva, föröva.
Måste gilla lagarbete.
Erfarenhet från Polisen eller Försvarsmakten, helst ha jobbat i högriskmiljöer i och olika kulturer.


Nytt samarbete motverkar hot, hat och trakasserier

2018-06-14

Vesper Group och utbildningsföretaget Hantera agera inleder samarbete. Syftet är att erbjuda heltäckande utbildningspaket och säkerhetslösningar för att motverka effekterna av hot, hat och trakasserier.

– Tillsammans med Hantera agera kan vi erbjuda heltäckande lösningar för företag, organisationer och personer som är utsatta för hot, hat eller våld, säger Erik Lewin, vd för Vesper Group.

Hantera agera arbetar med utbildningar för att skapa trygghet och strategier i bemötandet av hot och hat inom yrkeslivet. Sedan våren 2017 har verksamheten utvecklats för att fungera med flera olika yrkesgrupper som journalister, politiker och bibliotekarier.

– Vi är mycket stolta över att få presentera det här samarbetet med Vesper Group, och jag är säker på att vi tillsammans kommer kunna göra en verklig skillnad för våra uppdragsgivare, säger Philippa Borgh, medgrundare till Hantera agera.

Vesper Group och Hantera agera kommer tillsammans att erbjuda utbildningar för utsatta företag och organisationer. Hantera ageras expertområde är inom den psykosociala arbetsmiljön och Vesper Group är experter på riskanalyser, säkerhetshöjande åtgärder och cyberunderrättelsearbete.

Hantera agera grundades 2017 och drivs av Philippa Borgh och Johannes Jakobsson. Philippa Borgh är legitimerad psykolog med bakgrund från Polishögskolan, Kustbevakningen och Säpo. Hon har även arbetat inom rättspsykiatrin. Johannes Jakobsson är journalist och har bl a arbetat med Efterlyst och Veckans brott. Under 10 års tid var han verksam hos Stiftelsen Expo och har även arbetat inom Kriminalvården och rättspsykiatrin.

Vesper Group grundades 2004 och är ett svenskt underrättelsebaserat säkerhetsföretag med personal från bl a Säpo, Polisen, Försvarsmaktens specialförband och MUST. Vesper har högkvalitativa analytiker, IT-säkerhetsexperter samt kris- och konflikthanterare.


Ett brittiskt underrättelseperspektiv på Sverige

2018-05-30

Nyligen arrangerade Vesper Group ett vårmingel för en rad nyckelpersoner i den svenska säkerhetsbranschen. Många intressanta samtal ägde rum under kvällen, men fokus låg helt klart på en föreläsning av en brittisk underrättelsespecialist om den hotbild som präglar dagens säkerhetskontext och en av de mest aktuella aktörerna i sammanhanget; Ryssland.

Spionage, påverkanskampanjer och bedrägerier
- Rysslands nutida agerande är inte alls mystiskt eller märkligt. Tvärtom följer det en klar politisk linje som lades för många år sedan, förklarade underrättelsespecialisten Robert.

Robert arbetar i dag som säkerhetsrådgivare på Vesper, men har i många år verkat för den brittiska regeringen och utrikesförvaltningen. Han beskrev begreppet ”nära utomlands”, som omfattar de områden i Rysslands närhet som anses ligga inom deras intresse- och påverkanssfär. I kanten av denna sfär återfinns Sverige, som därmed blir ett direkt mål för rysk påverkan och politik.

Inte bara gränser och territorier hotas eftersom Ryssland har adapterat en hybridkrigföringsdoktrin. Öppna och dolda inslag kombineras och innefattar irreguljära förband såsom väpnad milis, skapande eller understödjande av oro i andra länder – via separatiströrelser eller politisk opposition – samt psykologisk krigföring, informationsoperationer, elektronisk krigföring och IT-angrepp.

Robert beskrev också konkret hur svenska företag kan drabbas genom så kallade ”logiska bomber”, en programkod i ett program som aktiveras när vissa villkor uppfylls, antingen vid en tidpunkt eller när en viss omständighet inträffar.

Rådet: var aktiv i säkerhetsarbetet
Så vad gör man för att skydda sig och sin verksamhet från sådant avancerat sabotage? Enligt underrättelsespecialisten Robert är det ingen idé att satsa dyra pengar på konventionell IT-säkerhet såsom brandväggar och liknande:

- Det tar bokstavligen minuter att ta sig förbi denna typ av säkerhetsåtgärder, även de bästa.

Han menade att lösningen ligger i att vara aktiv i sitt säkerhetsarbete, att utveckla en strategi där man kombinerar fysisk säkerhet och cybersäkerhet samt införa ett flerskiktat försvar. Genom att kontinuerligt övervaka verksamhetens system, samla in underrättelser om hot utanför brandväggarna och prioritera den mänskliga faktorn kan man tidigt kunna upptäcka avvikelser och avvärja hot och attacker.  Det är något som Robert tillsammans med kollegorna på Vesper Group är experter på.


På bilden inleder Vespers vd Erik Lewin föredraget.


Har du koll på SUA? Säkerhetsskyddad upphandling

2018-04-25

"En säkerhetsskyddad upphandling med säkerhetsskyddsavtal." Det låter komplicerat, men SUA behöver faktiskt inte vara en snårig djungel att ta sig fram i.

Såhär ligger det till.

Vad omfattas och vem ansvarar
Varje organisation som omfattas av säkerhetsskyddslagen, ska ha det säkerhetsskydd som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. Det kan vara statliga myndigheter, kommuner, landsting, företag eller enskilda.

Säkerhetsskyddet ska omfatta sekretessbelagda uppgifter som rör rikets säkerhet. Obehöriga ska inte kunna komma in på platser där sådana uppgifterna kan inhämtas, eller där man bedriver verksamhet kopplad till rikets säkerhet. Till sist ska personer som deltar i arbete kopplat till rikets säkerhet vara pålitliga ur säkerhetssynpunkt.

Den som är ansvarig för verksamheten ansvarar för att säkerhetsskyddet är tillräckligt bra. Och det här gäller oavsett om den skyddsvärda uppgiften, tillträdet till en plats, om den som sköter arbetet är anställd i den egna organisationen, eller om den ansvariga har köpt tjänsten. Så långt, ganska enkelt?

Köpa tjänster och rikets säkerhet
På senare tid har vi sett flera publika exempel på att det kan gå illa när man köper tjänster eller outsourcar. Men det behöver inte vara så. Så klart behöver alla verksamheter köpa vissa tjänster. Och det går bra att köpa tjänster även kring verksamhet där det förekommer uppgifter som omfattas av sekretess med hänsyn till Sveriges säkerhet.

Först måste köparen säkerställa att det finns ett fullgott säkerhetsskydd hos den man vill köpa tjänst av. Alltså, den som begär in anbud eller träffar avtal om upphandling där det förekommer hemliga uppgifter, måste först ha ett skriftligt säkerhetsskyddsavtal med anbudsgivaren/leverantören om det säkerhetsskydd som behövs i det aktuella fallet.

Syftet är att köparen måste vara säker på att leverantören har tillräcklig informationssäkerhet (inklusive IT-säkerhet), tillträdesbegränsning och säkerhetsprövning av personal. Både före och efter träffat avtal. Och vidare att leverantören utbildar och följer upp att allt funkar som det ska över tid. Leverantören måste ju uppnå den nivå som köparen har för sina sekretessbelagda uppgifter och som är nödvändiga för upphandlingen.

Hemligt uppdrag
Till sist, en viktig detalj - uppdrag med hänsyn till Sveriges säkerhet ska hållas hemliga i enlighet med säkerhetsskyddsavtalet mellan köpare och leverantör.

Har du fortfarande frågor? Vi på Vesper tagit fram en uppdaterad, relevant och informativ rådgivning/utbildning hur man gör denna typ av upphandling. Det är en utbildning om tre timmar och därefter har du de grundläggande kompetenserna för att göra en SUA som både tillgodoser rikets säkerhet och som tar hänsyn till den sekretess som lagen efterfrågar.

Kontakta oss om du undrar över något, vi reder ut det!

Vespers säkerhetsskyddsspecialister


Sluta jaga virus! Lägg kraft på att förstå hotet

2018-04-19

Vesper Group med partnern Darktrace bjöd nyligen på ett frukostsamtal om cybersäkerhetsläget på advokatbyråer i Sverige. Även om fokus låg på situationen i juristbranschen, kan mycket sägas vara allmängiltigt för svenska företag idag.

- Det finns fortfarande alldeles för många som jagar det senaste viruset i stället för att förstå vem som ligger bakom en cyberattack och vilken avsikt och förmåga de har, sa Rickard Dittmer, affärsområdeschef på Vesper Group och som inledde morgonens samtal.

200 dagar i genomsnitt för upptäckt av intrång
Rickard fortsatte med att beskriva jakten på inkräktaren i systemet som ganska fruktlös och planlös. Han menade att för att långsiktigt kunna minimera och bekämpa en attack bör man förstå vad det större bakomliggande syftet är och hur resursstark angriparen är. Då har man större möjlighet att anpassa sina insatser på ett effektivt sätt. Och det krävs en förmåga att omedelbart känna avvikelser i ett företags IT-system, lite som den mänskliga kroppens immunförsvar. Upptäckt och bekämpning måste börja genast. De genomsnittliga 200 dagar det idag tar för ett företag att upptäcka ett intrång är en onödigt lång tid som kan vara förödande.

Cyberkriminella ser juristbranschen som sårbar och lönsam
Cybersäkerhetsexperter från Vesper och Darktrace beskrev vidare hur många av dagens statiska säkerhetslösningar såsom antivirusprogram och brandväggar inte är tillräckliga. Eftersom hoten kommer både inifrån och utifrån krävs det dynamiska lösningar som klarar av att hitta de nålar i höstacken som utgör faktiska hot och risker. Enligt brittiska National Cyber Security Centre, så är advokatbyråer särskilt utsatta eftersom de ibland kan utgöra den svagaste länken i kedjan för att komma över klienters information. Cyberkriminella ser med ökande intresse på juristbranschen som både sårbar och lönsam.

Kortade reaktions- och aktionstider samt ”ajabaja-lista”
En av Vespers advokatbyråkunder i Stockholm beskrev hur mycket mer effektivt och säkert arbetet med it-skydd blivit tack vare samarbetet med Vesper och Darktrace. Både reaktions- och aktionstiderna hade kortats avsevärt och många befintliga brister i nätet hade kunnat åtgärdas genom de veckovisa avvikelserapporterna. Eller när något varit mer akut, genom telefonsamtalet från Vespers analytiker.

Kunden beskrev också hur det blivit lättare att med hjälp av humor och detektion förmå de anställda att agera regelrätt i systemet.
- Jag ser numera när arbetet inte hanteras systematiskt korrekt och har inrättat begreppet ”ajabaja-listan” – och på den vill ju ingen vara!


FAKTA om 200-dagarsproblemet

Tiden det tar att detektera att man haft ett intrång på sitt nätverk är avgörande. I dag tar det i genomsnitt 200 dagar för ett företag att upptäcka ett intrång och drygt 66 dagar för att återfå kontrollen över sitt nätverk. Många intrång upptäcks först efter att angriparna lyckats med sin målsättning. Ofta är det externa parter som informerar företaget om angreppet. Kostnaden för ett intrång är direkt korrelerat till hur lång tid det tar att upptäcka det.


Vesper första svenska personsäkerhetsföretaget på International Security Expo

2018-04-12

Under två dagar i november förväntas det komma 12 500 besökare och drygt 350 utställare till den internationella säkerhetsmässan International Security Expo i London. Den världskända mässan, som tidigare hette UK Security Expo, har målsättningen att bli det största globala säkerhetseventet och Vesper Group blir det första svenska personsäkerhetsföretaget att ställa ut på mässan.

- Vesper har ett utmärkt rykte och anses vara ett av de företag som utgör ett riktmärke i säkerhetsbranschen, säger Vespers vd Erik Lewin. Vi vill bidra till att höja den internationella standarden i den privata säkerhetssektorn och därför är det självklart för oss att delta på International Security Expo.

Security Expo har funnits med olika inriktningar i nästan 20 år. De senaste åren har fokus legat på nationell säkerhet och privata företag och under den tiden har den vuxit i snabb takt, 65% på tre år.

- Vi kommer att delta med andra medlemmar i brittiska Security in Complex Environments Group, SCEG, berättar Erik Lewin. Det känns helt rätt för oss eftersom britterna är bland de världsledande i säkerhetsbranschen och SCEG:s medlemmar utgörs av mycket välskötta bolag med internationella säkerhetsstandarder.

International Security Expo äger rum den 28 - 29 november i London Olympia. Det är den största brittiska säkerhetsmässan för nationell säkerhet och privata företagssektor. Den har internationella besökare från regeringskanslier, transportbranschen, tull- och brottsbekämpande myndigheter, försvarssektorn, räddningstjänst och cybersäkerhetsbranschen. Mässans seminarier, workshops och interaktiva evenemang tar upp många av världens stora utmaningar för medborgare, gränser och infrastruktur.

Läs mer om mässan: https://www.internationalsecurityexpo.com/

                  

Mässhallen London Olympia.                   SCEG:s montrar på mässan.


Vesper Group tillsätter säkerhetsrådgivare i Bangladesh

2018-03-14

Vesper Group fortsätter sin närvaro i Bangladesh genom att tillhandahålla säkerhetstjänster till en av Europas ledande tillverkare av kommersiella fordon och maskinteknik. Uppdraget börjar i mitten av mars.

- Ett fullgott personsäkerhetsarbete i en komplex riskmiljö likt den i Bangladesh tar många år att bygga upp, säger Erik Lewin, vd för Vesper Group. Men vår ständiga närvaro i regionen möjliggör för oss att med kort varsel kunna ta fram en hotbildsbedömning inför varje individuell resa, projekt och evenemang. Inför uppdragets start har vi analyserat säkerhetsläget i regionen och på orten.

Nyligen blev Vesper det andra icke-brittiska säkerhetsföretaget i världen att bli godkänd som medlem i den brittiska intresseorganisationen Security in Complex Environments Group, SCEG. SCEG samlar välskötta och kompatibla bolag med internationella säkerhetsstandarder och med mänskliga rättigheter i fokus för sin affärsmodell. Vesper var också ett av de första  företagen i världen att bli certifierade av säkerhetsföretagens internationella kontrollorgan International Code of Conduct Association, ICoCA, som säkerställer att medlemsföretagen respekterar och upprätthåller mänskliga rättigheter oavsett var i världen de är aktiva.

Vespers ständiga närvaro i regionen möjliggör snabb projektstart, även i en komplex riskmiljö som Bangladesh.

Efterlängtad säkerhetsskyddslag

2018-02-20

Det är väl ingen kioskvältare direkt, propositionen om en ny svensk säkerhetsskyddslag som kom idag.

Men vi som arbetar med att stärka Sveriges säkerhet och brinner för att utveckla svensk säkerhetskultur säger: äntligen!
När lagstiftningen träder i kraft nästa år har vi de nya och rätta verktygen i verktygslådan.

Den nya säkerhetsskyddslagen är en helt nödvändig uppdatering till de förutsättningar som krävs i dagens säkerhetsskyddsarbete. Särskilt sett till utvecklingen de senaste tio, femton åren så är den nya lagstiftningen mycket välkommen. Så mycket har hänt i vår omvärld, på informationssäkerhetsområdet, med den allmänna teknikutvecklingen och hur fientliga angrepp sker idag. Det mest uppenbara är myndigheters outsourcing där man, utan att först identifiera vad som är skyddsvärt, har spridit skyddsvärd information. Men även olika former av elektroniska angrepp från stora som små aktörer med varierande syften och målsättning. Som de 10 000-tals riktade it-attacker som sker mot Sverige varje månad. Stora angrepp med skadlig kod som drabbat företag, sjukhus och myndigheter med stora kostnader som följd.

Några saker i propositionen som är särskilt efterlängtade:
- En pedagogisk och tydlig beskrivning av säkerhetsskyddsanalysens betydelse för vilket säkerhetsskydd en myndighet eller säkerhetskänslig verksamhet behöver.
- Ett tydliggörande för allmän och enskild verksamhet som visar skyldigheterna för den som bedriver säkerhetskänslig verksamhet.
- En skärpning när det gäller utkontraktering (outsourcing) och överlåtelse av säkerhetskänslig verksamhet samt krav på säkerhetsskyddsavtal och samråd med tillsynsmyndigheterna.

Säkerhetsskyddslagstiftningen kräver att statliga myndigheter, kommuner, landsting samt andra som lyder under säkerhetsskyddslagen ska verka efter ”ansvarsprincipen”. Det betyder att de fr o m 1 april 2019 ska ansvara för sitt eget säkerhetsskydd, sin egen informationssäkerhet och förhålla sig till andra lagar och förordningar.

På Vesper börjar vi nu ivrigt att bena i och omsätta propositionen i operativ verksamhet. Vi ser fram emot att – tillsammans med andra svenska experter – skapa en nationell säkerhetskultur som skyddar våra demokratiska värden.

Björn Lysell, affärsområdeschef

Propositionen finns att läsa här.