Vesper Group säljer cybersäkerhetsverksamheten till Nixu

2019-03-18

Vespers cybersäkerhet är en stark, välmående verksamhet som började som en start-up inom företaget och är i en expansiv fas. Det innebär att den behöver få växa i en företagsmiljö som erbjuder möjligheter till ett helhjärtat fokus på cybersäkerhet. Därför säljer Vesper Group verksamheten till det europeiska och renodlade cybersäkerhetsföretaget Nixu.

- Vespers cybersäkerhet har varit en framgångssaga som på drygt fyra år av organisk tillväxt blivit en uppskattad och efterfrågad leverantör. Inom ägargruppen anser vi att det är rätt läge att nu låta verksamheten få optimala förutsättningar att ta nästa stora kliv, genom att få en företagsmiljö som fokuserar på enbart cybersäkerhet, säger vd Erik Lewin.

Cybersäkerhetsverksamheten kommer under april månad att uppgå i Nixu och all personal och kunder erbjuds att följa med. Alla partnersamarbeten kommer att fortsätta inom ramen för Nixus verksamhet. För befintliga kunder förändras enbart de bolagsmässiga kontaktytorna. En av kundfördelarna är att möjligheterna till utökade tjänster blir större genom Nixus erbjudande.

- Nixu stärker genom förvärvet sitt erbjudande och sina förmågor ytterligare. Vi har en unik möjlighet att som cybersecurity partner hjälpa våra kunder att säkra sin digitalisering i en tid med ständigt ökande samhällshot och cybersäkerhetsrisker, säger Nixus Björn-Erik Karlsson, Market Area Leader Sweden.

Cybersäkerhetsdelen på Vesper har funnits sedan 2014 och har en stark förmåga genom kombinationen av mänsklig specialistkompetens och vassa dataverktyg.

- Vesper Group kommer fortsatt att kunna erbjuda och förmedla tjänsterna genom ett tätt samarbete med Nixu, säger Erik Lewin.


Säkra städer vid terrorangrepp

2019-02-22

Det fullsatta eventet "Keeping cities safe" på Brittiska ambassaden fokuserade på kunskap, utveckling och ökad förmåga att förhindra terror. Både brittiska och svenska myndigheter och företag delade med sig av kunskap och erfarenheter.

Poliskommissarien Ian Bond arbetar på flygplatsen Heathrow
där 80 miljoner personer årligen passerar, de flesta helt vanliga turister
eller affärsresenärer på väg till England eller en annan destination i världen.
Men för honom är dessa vanliga resenärer snarast ”i vägen” – eftersom hans
arbete som går ut på att hitta och motverka potentiella terrorister.

Poliskommissarie Ian Bond från Counter Terrorism Command, Heathrow

Framgång genom underrättelser,
samarbete och teknologi

Ian Bond har lång erfarenhet från säkerhets- och kontraterrorarbete på olika platser i London och han sammanfattade framgångsfaktorerna i tre koncisa punkter: underrättelser, samarbeten och teknologi. Företag och myndigheter måste arbeta och öva tillsammans för att dra nytta av både politiska strategier, företagsinnovationer och kunskap:

- Alla har en roll att spela, hela världen över, sa Ian Bond med eftertryck.

Ovärderlig kunskap
genom kameraövervakning

Under sitt föredrag berättade han återkommande om den möjlighet som övervakningskameror tillfört polisarbetet. Uppföljningen och kartläggningen av gärningsmännen och deras tillvägagångsätt i terrorattacker såsom Westminster Bridge, Borough Market och vid popkonserten i Manchester har varit ovärderlig. Brittisk polis har därigenom kunnat följa och gripa gärningsmän samt gå baklänges i förövarens spår, allt för att utveckla sina egna strategier och taktiker.

Tio års utveckling av
svensk taktik

Jonas Hysing från polisens nationella operativa avdelning knöt an ur ett svenskt polisperspektiv och berättade om utvecklingen för att möta terrorangrepp sedan dådet på Bryggargatan 2010. Regeringens strategi mot terrorism är nu implementerad i det praktiska polisarbetet och man har identifierat att kunskap, förmåga, erfarenhet och attityd är några av huvudnycklarna för att bli framgångsrik. Hysing berättade om ett tankeväckande besök i Storbritannien:

- “It won’t happen on my watch!” är attityden hos obeväpnade bobbies, sa Jonas Hysing, och menade att den idag även finns i svensk tappning.

Han sa att inställningen till hur svensk polis bemöter en
potentiell terrorattack har förändrats mycket, både för att slå tillbaka mot en
angripare och för att skydda allmänheten. Även utrustning och sättet att se terrorattacker
som nationella och inte bara regionala, var en utveckling som han beskrev.

Rostmönstrade
hållbara pollare

Nya fysiska skyddsmöjligheter visades också upp av brittiska
företag under dagen, bland annat pollare som utvecklats med ett hållbart miljötänk
samt design som inte skapar onödig oro. Rostmönstrade pollare som smälter in i
en gammal stadsmiljö med vackra röda fasader var ett exempel.


Säkerhetsskydd: tretton år av varningssignaler

2019-01-28

I mars 2016 var det få som spetsade öronen när säkerhetsskydd nämndes. Jag jobbade då på Säpo och minns hur glada vi på presstjänsten var när åtminstone en redaktion gjorde huvudnummer av de skarpa varningssignaler som chefsanalytikern sände på en pressträff om myndighetens årsbok:

Ett fullgott säkerhetsskydd?
Artikeln har tre år på nacken och mycket har hänt sedan dess. Tyvärr kan somligt ha haft skadlig inverkan. Nyhetsrubrikerna har varit många och jag tror knappast att ämnet kommer i skymundan på någon pressträff framöver. Låt oss hoppas att vi ska slippa läsa om fler pyrande skandaler i offentliga förvaltning. Men framför allt: att skyddet kring verksamhet som har betydelse för rikets säkerhet fungerar väl. Att systemen är intakta och att ansvariga runtom i landet vet hur ett fullgott säkerhetsskydd ska se ut.

Efter åtta år - ny säkerhetsskyddslagstiftning 1 april
Mer positivt är att den nya säkerhetsskyddslagen träder i kraft om knappt två månader. Den är hett efterlängtad av många som länge jobbat med frågorna och som frustrerat över hur både teknik och det globala samarbetet sprungit ifrån lagstiftningen. Det har nu gått åtta år sedan regeringen tillsatte en särskild utredare med uppdrag att göra en översyn av säkerhetsskyddslagstiftningen. Syftet var att bättre anpassa den till det som krävs för att skydda verksamhet som har betydelse för rikets säkerhet och till de krav det internationella samarbetet ställer. Men tittar man tillbaka på Säpos årsböcker så fanns det anledning till allvarlig oro redan 2006, så det är verkligen på tiden att den nya lagstiftningen sjösätts.

 

Ett helt yrkesliv med säkerhetsskyddet
Några av medarbetarna på Vesper har ägnat nästan hela sitt yrkesliv åt säkerhetsskyddsfrågorna och ser med både glädje och sorg hur de nu hamnar högt på säkerhetsagendan. Men ibland måste det inträffa påfrestande saker för att vi ska bli varse hur sårbart vårt samhälle är.

”Att skydda det mest skyddsvärda” kan låta enkelt och självklart, likaså att ”följa lagstiftningen, ha ordning och reda”. Mina kollegor som jobbat med den kommande lagstiftningen en längre tid vittnar om både komplexa och enklare uppdrag, främst säkerhetsskyddsanalyser. Det är kollegor som lämnar både strategisk och praktisk input till våra kunder, allt beroende på behov. Och jag ser hur de kommer tillbaka med glöd i ögonen från de här uppdragen. Det liksom lyser om dem: ”Äntligen!

 

Sirpa Franzén, kommunikationschef

 


Perspektiv på svensk säkerhet

2019-01-17

Vesper Group  var tillsammans med Säkerhetsbranschen på plats under Folk och Försvars rikskonferens 2019. Samtalen handlade om hur omvärlden direkt och indirekt påverkar vår säkerhet i Sverige. I samtalen på och vid sidan av scenen deltog experter och ansvariga för Sveriges säkerhet.

 

En bild säger mer än tusen ord
På bilden syns GD för FRA, Sveriges Moskva-ambassadör, GD för MSB, justitieministern, chefen för Must och chefen för Säkerhetspolisen. Bilden illustrerar på ett bra sätt hur vi i Sverige befinner oss mellan olika intressen – militärstrategiska såväl som stormakts-politiska, med hot från organiserad brottslighet, politisk och religiös extremism samt utmaningar från flyktingströmmar.

Alla samtal går att lyssna på i efterhand: http://www.folkochforsvar.se/rikskonferensen.html Från tre dagar med expertföredrag om militära, säkerhetspolitiska och ekonomiska hot samt rapporter om kriminalitet och organiserad brottslighet väljer vi några korta nedslag.

Brå-rapport om otrygghetens konsekvenser

Brå presenterade en rapport om hur otrygghetens konsekvenser kan begränsa vardagslivet. Det visar sig att en stor del av Sveriges befolkning anpassar sitt beteende på grund av oro för att utsättas för brottslighet. Enligt undersökningen har en av fyra valt ett annat färdsätt eller annan väg på grund av oro, och en av fem har undvikit att lägga upp saker på nätet för att de varit rädda för hot och trakasserier. 7 procent uppgav att oron för brott har en stor påverkan på livskvaliteten. Rapporten finns att läsa här.

Framgång genom korrekt bemötande och klarspråk

Ulf Merlander, lokalpolisområdeschef för Storgöteborg nordost, berättade om arbete för att öka tryggheten och minska brottsligheten i utsatta områden genom en trefasmodell. Framgångsfaktorer var bl a ett korrekt bemötande oavsett vad som hänt och att prata klarspråk. Han beskrev utmaningen med att arbeta med människor som lever i kollektiv, när vårt samhälle är uppbyggt utifrån ett mer individualistiskt tänkande. Merlander pratade med områdets ”klanledare” och iklädde sig samma roll inom polisen, t ex genom att jämföra hur många ”medlemmar” som fanns inom respektive ”klan”.



Exempel på klarspråk
Han beskrev också något av det klarspråk som användes: ”Det är arbete eller fängelse som gäller”. En varning när något misstänkt inträffat kunde lyda: ”Om det inte blir bättre, så tar vi inte av oss skorna nästa gång vi kommer”. Med det menade han att ett polisiärt ingripande – inte samtal – var att vänta det inte blev bättring.


Spaning från den brittiska säkerhetsbranschen

2018-12-13

Vesper Group ställde ut på International Security Expo i London och vår kommunikationschef Sirpa Franzén lämnade en intressant omvärldsspaning från mässan som ägde rum den 28 – 29 november.


Läs krönikan hos Aktuell Säkerhet.


Vespers monter i SCEG-paviljongen (Security in Complex Environments Group)


Att praktisera hos Vesper

2018-12-07

Vesper växer. Vi är alltid intresserade av att få kontakt med kompetenta och drivna potentiella medarbetare inom personsäkerhet, cybersäkerhet samt säkerhetsrådgivning och utredningar. Vi tar även emot praktikanter med inriktning på informationssäkerhet, krishantering och säkerhet.

Våra värdefulla, kompetenta och uppskattade praktikanter Sara Fresker och Victoria Anderberg har svarat på några frågor om sin praktiktid på Vesper.

Läs intervjuerna här: Sara Fresker och Victoria Anderberg


Sara Fresker och Victoria Anderberg

 

 

 


Att värna kvalitet i den globala säkerhetsbranschen

2018-11-30

Vespers vd Erik Lewin höll ett föredrag på International Security Expo i London 28 november. Det var den brittiska branschorganisationen Security in Complex Environments Group som bjudit in och gemensamt för talarna var vikten av krav på kvalitet, certifieringar och en ständig uppföljning av säkerhetsbranschen.

Temat för Erik Lewins anförande var den globala säkerhetsbranschens utveckling sedan 2004 och han beskrev de oseriösa aktörer som fanns på marknaden då och hur de flesta försvunnit i takt med krav på kvalitet, professionalism, licenser och certifieringar. Erik berättade om det hårda arbete som lett till Vespers medlemskap i SCEG, ICoCA och certifieringar enligt ISO 18788, ISO 9001 och PSC-1. Han varnade samtidigt för att det finns risk för prisdumpning på marknaden, något som kan leda till försämrad kvalitet och återgång till fler oseriösa aktörer.

Läs mer om Vesper Groups erbjudande kring personsäkerhet.

 

Några av talarna på SCEG:s seminarium.
                            
Erik Lewin, vd Vesper Group                                                Paul Gibson, Director SCEG                        Glynne Evans, Senior Advisor Olive Group


Riskanalyser som hälsoundersökningar

2018-11-16

Vår risk- och säkerhetsrådgivare Björn von Sydow berättade om riskanalyser i en DI-bilaga om samhällssäkerhet den 16 november.

Björn menar att säkerhetsfrågorna måste diskuteras i det vardagliga arbetet och vara enkla att omsätta i operativt arbete. Han poängterar att riskanalysen inte ska samla damm på hyllan och som mångårig polis borde han veta - läs hela intervjun här.


Tryggare utrikesreportrar i högriskmiljöer

2018-10-23

Nyligen anordnade Vesper ett uppskattat höstmingel för företag och organisationer med utrikesverksamhet. Det gästades även av media- och säkerhetsbranschen och höjdpunkt var ett föredrag av Stefan Borg, utrikeskorrespondent på TV4.


Plåthjälmar och västar utan skydd
Stefan Borg berättade om sin långa karriär som utrikeskorrespondent ur ett säkerhetsperspektiv. Han beskrev hur det var att vara utrikesreporter på 90-talet, med undermålig skyddsutrustning och ett lågt eller näst intill obefintligt säkerhetstänk. Utvecklingen för svenska reportrars säkerhet har onekligen kommit enormt långt från de enkla plåthjälmar och skyddsvästar utan armering som inledningsvis kunde användas i krigszoner.

Mord och angrepp har åskådliggjort behov
Borg talade också om de journalister som mist livet eller skadats i tjänst utomlands och hur de händelserna bidragit till en ökad förståelse för vikten av skydd och säkerhet. Mord och angrepp på journalister har åskådliggjort behovet av god kunskap, planering och skydd, i synnerhet när arbetet ska ske i högriskländer.

På de större mediehusen finns det idag ett systematiskt säkerhetstänk kring förberedelser före utrikesresor, genomförandet på plats och uppföljning efteråt. Reportrarna är även säkerhetsutbildade för att hantera farliga situationer som kan uppstå. Stefan Borg belyste vikten av specifik kunskap om säkerhetsläget och de existerande hoten i det aktuella landet.


Stefan Borg visade bl a filmsekvenser från ett angrepp i dåvarande Zaire, där han och fotografen Bengt Stenvall hamnade i korseld.

Samarbetet mellan mediehus är viktigt
Han poängterade avslutningsvis att säkerhetssamarbetet mellan olika mediehus är väldigt viktigt. Det har inte alltid varit självklart, utan är något som uppstått på senare år. Med den typen av goda förberedelser, ibland i kombination med rådgivning, riskanalys och skydd från ett privat säkerhetsföretag, kan journalister vara tryggare i sitt jobb i olika högriskmiljöer.

 

_________________________________________________________________________________________________________________________________________________________________________________

Vesper Group har lång erfarenhet av rådgivning och personsäkerhet i högriskmiljöer, kontakta oss om du vill veta mer.


Vespers vd Erik Lewin.  


Smygpremiär på en film om Vesper.


Threat hunting med dator och människa – det bästa av två världar

2018-08-16

En försvarare av IT-säkerhet måste lyckas avvärja varje attackförsök, varenda gång, för att vara säker. Angriparen behöver bara lyckas en enda gång för att få ett första fotfäste.

De som jobbar för att säkra företagets nätverk har alltid varit i underläge. En angripare kan på enkla sätt genomföra oräkneliga attacker mot företagets IT-system, exempelvis genom att skicka mail med skadlig kod till alla anställda om och om igen, skanna av nya sårbarheter kring de servrar som är exponerade mot internet eller bara gissa anställdas lösenord för att logga in i moln-lösningar.

När antivirusprogrammet larmar om att den identifierat och stoppat skadlig kod tar många det som ett kvitto på att det fungerar och att man stoppat ett intrång. Och när antivirusprogrammet inte larmar, men brandväggen gör det, tar man det som att brandväggen stoppat intrånget och många lutar sig lugnt tillbaka – försvaret fungerar. Eller ännu bättre; inga larm någonstans, allt är lugnt och vi är inte ens en måltavla. Eller?

Problemet är att det finns inget sätt att veta hur många försök en angripare gör, om de har lyckats ta sig in eller om försvararna lyckats hålla dem stången.

De klassiska lösningarna för att försvara ett nätverk bygger på idén: allt som kommer in kontrolleras mot en lista med ”dåliga saker”. Det kan vara IP-adresser, domännamn och fil-signaturer. Nyare produkter försöker ofta identifiera skadliga beteenden genom att köra en fil i en säker miljö och ser hur filen beter sig, men även detta matchas mot vad som tidigare är känt. Datorer och mjukvara är experter på att kontrollera stora mängder data mot varandra utan att göra fel. Problemet är att människor har en egenskap som datorer och mjukvara fortfarande kämpar med: kreativitet.

När antivirus larmar så är det troligt att angriparen redan tagit sig in. Antingen är ett av verktygen man använder redan kända och angriparen testar bara vad man kan använda. Eller så är det redan försent, nätverket är komprometterat och antiviruset fick en ny signatur som man hittade på datorn. Troligen är du offer nummer två för angriparen. Att brandväggen slutar larma betyder bara att angriparen hittat en väg in och datorerna har än en gång förlorat mot mänsklig kreativitet.

Att ta sig runt antivirus, brandväggar och alla andra lösningar som använder listor med kända indikatorer är inte särskilt svårt. Att ändra filsignaturen på ett skadligt program kräver bara ett extra blanksteg. Att byta IP-adresser och domäner är nästan lika lätt, det räcker med ett webbformulär och ett stulet kreditkortsnummer. Även de program som tittar på beteende står sig ofta slätt mot en angripare, det kan räcka att obfuskera* text någonstans, kombinera två ofarliga filer eller lura användaren att stänga av ett skydd.

Situationen som vi har hamnat i är att vi låter datorer kämpa mot mänskliga motståndare i en kamp där kostnaden för angriparen att utföra ett angrepp är väldigt låg, medan kostnaden att inte avvärja är hög för försvaren.

När vi identifierar ett angrepp så är indikatorerna som vi använder lätta för angriparen att förändra. Samtidigt är vi ofta reaktiva och väntar på nästa larm innan vi gör något.

En liknelse för detta är flygplatssäkerhet dvs. säkerhetskontroller som finns på plats för att förhindra terrordåd och flygkapningar. Dessa består i huvudsak av en säkerhetskontroll som kontrollerar alla som går in på en flygplats. Exakt hur kontrollerna utförs varierar något från land till land men principen är att man kontrollerar allt som en person bär med sig ombord på ett plan. Utgångspunkten är att upptäcka personer som vill angripa ett flygplan genom att ha med sig vapen eller sprängmedel ombord. Säkerhetskontrollen blir här liknelsen till klassiska IT-säkerhetslösningar.

Tre misslyckade terrorattacker och hur flygplatssäkerheten påverkades:

  • 22 december 2001 försökte en man ombord på en flight till USA detonera en sprängladdning gömd i skon. Försöket stoppades tack vare att passagerare och flygpersonal var uppmärksamma och upptäckte mannen när han försökte antända stubinen som var gömd i skon. Som svar på detta började flera flygplatser kräva att man tog av sig skorna vid säkerhetskontrollen.
  • 2006 planerade en grupp terrorister att spränga ett flertal flygplan genom att använda flytande sprängmedel. Brittisk polis lyckades stoppa planerna tack vare omfattande spaningsarbete. Som svar på detta begränsade flygplatser vilken mängd vätska man får ha med sig i handbagaget.
  • 25 december 2009 försökte en man spränga ett flygplan med hjälp av högexplosivt sprängmedel gömt i underkläderna. Försöket stoppas återigen tack vare uppmärksamma passagerare. Som svar på detta uppgav flera flygplatser att de skulle skärpa säkerhetsrutinerna utan att nämna något specifikt. Huruvida rutinerna skärptes har debatterats.

I de två första fallen blir svaret att förstärka säkerheten genom att i säkerhetskontrollerna försöka identifiera exakt den typen av metod som används vid senaste attacken. Samtidigt så kommer det inga specifika svar på den tredje, att detektera vissa typer av sprängmedel är svårt och att tvinga passagerare att ta av sig underkläderna är troligen inget alternativ. Detta är analogt med hur signaturbaserat skydd fungerar.

De första två situationerna är relativt enkla att öka säkerheten kring, vilket skulle kunna vara detsamma som att titta närmare på särskilda filtyper där en skadlig fil antagligen har en tydlig markör. Det tredje exemplet, sprängmedel i underkläderna är svårare och det finns liknande händelser inom IT-säkerhet där det kan vara komplicerat att identifiera vissa hot. Det bästa liknelsen är krypterad trafik till och från internet. Man kan dekryptera trafiken men det kräver speciella lösningar, riskerar att skapa andra säkerhetsproblem (försämrad kryptering) och anses kränka personlig integritet.

Notera också att varje attack byter metod. Om skor kollas extra efter sprängmedel så använder man vätskor, om vätskor förbjuds använder man fasta sprängmedel gömda på något nytt ställe. Samtidigt är det värt att påpeka att det inte är de tilltänkta säkerhetsfunktionerna på flygplatsen som identifierar och stoppar hotet. Det är istället vaksamma passagerare och underrättelse som förhindra dessa katastrofer och även detta påminner mycket om angrepp mot IT-system. Allteftersom ett verktyg blir känt så tar angriparna fram nya. Det är också vanligt att angrepp upptäcks av tredje part eller en vaken användare och inte av interna säkerhetsteamet. Skillnaden är att det oftast redan är försent då.

Problemet jag beskriver är alltså en kombination av olika metoder och verktyg som gör att det oftast är lättare att angripa ett företagsnätverk än man tror.

I simulerade angrepp mot riktiga företag har jag själv sett hur angripare kunnat ta sig in och röra sig obehindrat runt i nätverk utan ens ett pip från larmsystemet. Det är inte alls osannolikt att det tar mer än 100 dagar att identifiera ett intrång.

Det leder till följande:

  • En övertro/man förlitar sig för mycket på att automatiska system ska identifiera och stoppa intrång – man låter datorer kämpa mot människor, räknekapacitet mot kreativitet.
  • Man väljer att invänta larm om problem och sedan agera på det, åtgärderna är oftast reaktiva istället för proaktiva.
  • Fokus blir på att identifiera intrång och angripare med hjälp av statiska indikatorer som lätt kan ändras.

Den metod som vi på Vesper använder oss av är så kallad ”Threat Hunting”- alltså jakt på hot. Det är i sig inget nytt, många inom IT har säkert gjort det ad-hoc. Vi arbetar systematiskt med att hjälpa våra kunder att arbeta underrättelsestyrt i sitt eget nätverk. Det betyder att ge kunden en bild av vad det är som faktiskt händer, att kunna ge råd och förutsäga vad som kommer att hända. Genom att samla in stora mängder data från nätverket, med hjälp av matematiska modeller, maskinlärande och AI kunna bearbeta den data och sedan presentera för erfarna mänskliga analytiker kan vi identifiera vad som händer på nätverket, ge råd för att åtgärda potentiella säkerhetsproblem eller stoppa begynnande angrepp och med hjälp av underrättelser förutsäga nya risker och hot.

Threat Hunting kräver i grunden ingen särskild utrustning. Allt som behövs är inhämtning av händelser, loggar, från de olika enheter som finns installerade. Genom att hämta loggar från användares datorer, brandväggar och DNS-servrar kan man få en grundläggande bild av vad som händer.

Man springer dock snabbt in i det problem som ledde till att stor del av säkerhetsindustrin jobbar hårt på att automatisera saker; bristen på människor. Det kan vara svårt att få fram personer med rätt kompetens som kan genomföra Threat Hunting.

Det är inte heller skalbart att behöva komma upp med nya hypoteser att testa. Här kommer datorernas styrka in i bilden. Genom att samla in så mycket information man bara kan, låta en dator bearbeta informationen och leta efter mönster eller statistik som sedan sätts i kontext av en person som förstår data. På så sätt kan man få det bästa av två världar.

Författare: Sam, cybersäkerhetsoperatör på Vesper Group

*) Obfuskera = att avsiktligt tillkrångla.

Läs mer under kunderfarenheter om vårt arbete med threat hunting: https://www.vespergroup.se/cybersakerhet/

Kontakta oss om du vill ha hjälp av någon av våra operatörer eller om du vill veta mer.