ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS. The Authentication Service

Transkript

1 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS The Authentication Service

2 2 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS Information är i dagens samhälle den mest värdefulla varan rätt information vid rätt tillfälle. Men handlar det då enbart om att skydda information från att läcka ut jag vill påstå att så inte är fallet. Felaktig eller förstörd information kan leda till enorma katastrofer, finansiella som livsavgörande. Att ha rätt information vid rätt tillfälle är minst lika viktig som att hindra densamma från att läcka ut. I tidningen kan du t ex läsa om hur Länsförsäkringar arbetar för att få säkerhetstänkandet att genomsyra hela organisationen. Vi pratar även om dataförluster med Nils Molin, vd på IDC Sverige. Det finns flera olika standarder på marknaden som kan hjälpa er att förbättra och förenkla möjligheterna att styra, kontrollera och mäta er verksamhet i många fall kan en kombination av flera standarder vara den rätta lösningen. ISACA utvecklar ramverket COBIT, som av många anses vara den enda kompletta, process orienterade standarden för styrning och granskning av IT-verksamheter och Val IT, med målet att hjälpa till att mäta att vi verkligen får ut det vi hoppas av våra spenderade kronor inom IT. Som den gamla klyschan säger, uppfinn inte hjulet det har så många andra redan gjort. Jag hoppas att denna bilaga ger Er lite mer information kring ämnet, att ni finner intressan ta lösningar och kanske kan vi inspirera någon att äntra vår bransch det är en växande, intressant och viktig marknad som du får ta del av. En tidning från Provisa Information AB Strandvägen 19, Stockholm Tel I redaktionsrådet: Representanter från ISACA, SIG Security och Provisa. Projektledare: Åsa Wanberg Redaktionell projektledare: Heidi Stenström Formgivning: Emilie Bergman / Alsterlund Tryck: BOLD/DNEX Tryckeri AB, Akalla V-TAB Aröd AB, Göteborg MittMedia Print, Örnsköldsvik Omslagsbild: Niclas Ryberg Har du tips eller synpunkter: synpunkter@provisa.se

3 ANNONS ANNONS Rätt säkerhetsnivå? Transcendent Group arbetar med strategisk informationssäkerhet, där vi analyserar, skapar och inför processer och regler för styrningen av informationssäkerhet i företag och andra organisationer. Våra informationssäkerhetstjänster utgår alltid ifrån verksamhetens specifika behov av IT- och informationssäkerhet. Vi har gedigen erfarenhet av standarder såsom LIS (ISO/IEC 27001), BITS (Basnivå för IT-säkerhet), COBIT och ITIL. Teamet består av några av de mest erfarna rådgivarna i Sverige, där alla medarbetare har omfattande akademisk utbildning och är certifierade i ITIL samt enligt CISA, CISM och CISSP. Vill du veta mer? Sverige Johan Tornérhielm, USA Johan Lidros, Att försöka skydda all datalagrad information på företaget till hundra procent är orealistiskt enligt Nils Molin. Hans första råd för att slippa dataförluster är att företaget bör kartlägga vilken information som är viktigast att skydda. 80/20-regeln gäller, 20 procent av informationen i företagets datasystem är extremt väsentlig. Se till att den delen är helt skyddad, säger Nils Molin. Idag när allt fler företag slutar tillverka fysiska produkter och helt och hållet sysslar med tjänster blir skyddet av detta allt viktigare. För många företag skulle förlust av data innebära slutet för företaget, säger Nils Molin. Han menar att det finns två olika sorters dataförluster som företagen behöver skydda sig mot: : : Det finns gott om exempel på hur företag och myndigheter runt om i världen både har förlorat mycket pengar och förtroende genom dataförluster. Ett exempel på brister i rutinerna för att hantera känslig data var när en anställd på den brittiska skattemyndigheten gjorde säkerhetskopior genom att bränna tre CD-skivor med inkomstuppgifter för 18 miljoner medborgare och sedan skickade dessa i ett vanligt kuvert på posten som inte kom fram. Där brast en i övrigt säker datahantering i en svag länk, säger Nils Molin. När företaget skaffar ett gott skydd mot dataförluster genom ISO 7000 certifiering kan det generera intäkter. Vissa aktörer handlar enbart av företag med certifieringen. Det kan alltså leda till att företaget når nya kundgrupper, säger Nils Molin. I takt med att datornätverken används för att hantera allt fler tjänster räcker inte lagringskapaciteten. Lösningar som rensar ut dubbletter av dokument och gör andra åtgärder för att minska datamängden blir allt viktigare. En vinst blir också att det blir enklare att hitta informationen, påpekar Nils Molin. Jobbar Du med IT-revision eller IT-riskhantering? Satsa på en internationell certiiering av Din kompetens! Examen: 13 december 2008 För mer info:

4 4 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS Efter ISO 9000 för kvalitet och ISO för miljö är det nu dags att införa ledningssystem enligt ISO serien för säkerhetsarbetet. I dagens globaliserade värld är informationssäkerhet inte längre ett val utan ett måste, understryker Agneta Syrén, koncernsäkerhetschef på Länsförsäkringar AB. Länsförsäkringar bedriver bank- och försäkringsrörelse och säkerhet är därför en viktig del av varumärket. På engelska talar man om safety och security. Vi ska erbjuda våra kunder, medarbetare och partners bådadera, nämligen att alla både kan känna sig säkra och i praktiken också vara det, säger Agneta Syrén. Koncernen använder en matrisorganisation som fungerar multifunktionellt och där det finns säkerhetsansvariga på alla rutor i matrisen. Koncerngemensamma funktioner är itoch affärsstöd samt informationssäkerheten. Vi har tre skyddsnivåer: den interna kontrollen med riktlinjer, policys och utbildning, god bolagsstyrning med ekonomistyrning, miljöarbete och standardisering och slutligen CSR, Company Social Responsibility, koncernbolagens sociala ansvar, berättar Agneta Syrén. När Agneta Syrén kom till Länsförsäkringar AB lät hon anpassa ett befintligt system till att fungera som en incidentdatabas. Till databasen rapporteras alla incidenter och presenteras med alla tillhörande direkta och indirekta kostnader. Mönster kan upptäckas, dolda kostnader lyftas fram och förebyggande åtgärder sättas in i tid. Det går därför att räkna hem investeringar i ökad säkerhet. Ledningen vill se kostnaderna för incidenter och pengen, det vill säga vad man tjänar på att investera i ökad säkerhet. Förr var säkerhet mest en fråga om teknik och kostnad. Nu kan vi visa ledningen vad man får tillbaka i pengar på att satsa på ökad säkerhet. Exempel är timkostnaden för alla människor som inte kan komma åt information och program under ett driftavbrott eller personal som får utrymma lokaler vid ett brandlarm. Ökad säkerhet är helt enkelt lönsam. Vi får processer som ständigt förbättras. Det blir ett minskande antal incidenter och människor gör färre misstag med transaktioner och i processer, förklarar Agneta Syrén nöjt. År 2005 lanserades den interaktiva säkerhetsutbildningen EBBA, ett program i sju kapitel som följer riktlinjerna i standarden ISO I ett första steg är det koncernledningens och dotterbolagens personer som går utbildningen och i ett andra steg länsförsäkringsbolagens alla medarbetare. Vi har också fokusgrupper där de som utbildar sig i sin tur utbildar andra. På vårt intranät finns en säkerhetssida med frågor och svar. Det är ett långsiktigt arbete att medvetandegöra alla om hur de ska använda servrar, datorer och mobiler. Hantera information samt bete sig med e-post och besök på webben. Säkerhet i cyberrymden ska vara lika självklart som annan säkerhet, som att låsa sitt hus och sin bil. Målet är att hela Länsförsäkringar om fem år ska vara certifierade enligt ISO Vi ska hitta vad som är gemensamt för alla bolag och arbeta in ledningsstyrningstänkandet i bolagen. Säkerhet måste genomsyra hela organisationen och finnas i allas medvetande. Eftersom säkerhetsarbete i mycket handlar om människor, måste man dock låta processen ta tid. När det väl är klart, sitter säkerhetstänkandet sedan i ryggmärgen, ungefär som att cykla, avslutar Agneta Syrén. Vet du vem som loggar in på natten? IDENTIFIERING OCH ACCESS PointSharp

5 Den föreskrift Verket för förvaltningsutveckling, VERVA, har skrivit implementeras nu. Föreskriften bygger på ISO serien. Tack vare arbetet kommer alla myndigheter ha en egen policy för informationssäkerhet. Maylis Karlsson som är seniorkonsult på Ekelöw InfoSecurity har deltagit i arbetet med föreskriften. Hon menar att den främsta nyttan av arbetet blir tydliga och enhetliga rutiner. Personalen utbildas så att alla accepterar föreskriften. Det innebär att hela personalen blir medveten om informationssäkerheten och hanterar information på samma sätt, säger Maylis Karlsson. En grundläggande tanke i föreskriften är att säkerhetsnivån sätts utifrån verksamhetens risker. Verksamheten blir medvetet om sin situation och måste ta hand om riskerna. Har verksamheten kontakt med organisationer med höga säkerhetskrav, har man ansvar att hantera kommunikationen lika säkert, säger Maylis Karlsson. Anders Carlstedt, som har erfarenhet från att projektleda ISO/IEC serien, påpekar att informationspolicyn innebär att företag och myndigheter får mer valuta för pengarna som satsas på informationssäkerheten. Den ger ledningen förståelse för problematiken vilket minskar produktleverantörernas makt. Föreskriften tydliggör ledningens övergripande ansvar för informationssäkerheten. Ledningen kan inte kliva undan och lämpa över frågan på IT-chefen. IT-chefen både vill och måste få tydliga direktiv, säger Anders Carlstedt, seniorkonsult vid Ekelöw Infosecurity. Som invånare i Sverige har man rätt att ställa höga krav på myndigheternas arbetssätt. Medborgarna blir alltmer medvetna om informationssäkerhet. Allt fler måste exponera sina person- och företagsuppgifter elektroniskt. Tvivlar medborgarna på informationssäkerheten, fungerar inte vår vardag, säger Maylis Karlsson ISO/IEC-certifikat finns i Japan som är det land med flest certifikat. I Sverige har omkring tio organisationer blivit certifierade mot ISO/IEC serien. Många certifikat finns också i Indien, Taiwan och Storbritannien. Dessa länder har förstått att certifikaten är en konkurrensfördel. Aktörerna där vill visa världen att de är professionella och kan hantera kundernas information på rätt sätt, säger Anders Carlstedt. Har du koll på helheten när delarna byter plats? Vi ger dig verktyg för en tryggare affärsutveckling Ett levande företag är ett företag i ständig förändring. För att behålla fokus och målinriktning är det viktigt att vara medveten om vilka konsekvenser en förändring får i organisationens alla processer. Gassås Consulting och Tegrell & Partner arbetar med affärsutveckling och informationssäkerhet. Vi strävar efter att vara en samarbetspartner som levererar långsiktiga lösningar i samband med förändringsprojekt. Framgångsrik utveckling handlar om att ta ett helhetsgrepp om verksamhetens alla dimensioner och förändringens alla aspekter. Tillsammans med våra kunder inför vi arbetssätt som präglas av dynamik och drivkraft, samtidigt som flöden av kunskap och information säkerställs. Vi ger dig inspiration och verktyg du når omedelbara resultat. HEADLINE COMMUNICATION AB Gassås Consulting och Tegrell & Partner samarbetar kring affärsutveckling och informationssäkerhet med processer som grund. Tillsammans med våra uppdragsgivare inspirerar och driver vi införandet av nya arbetssätt med ökad effektivitet och lönsamhet som resultat. Vi är experter på verksamhetssystem som integrerar marknadens viktigaste standarder för kvalitet (9000), miljö (14000), informationssäkerhet (27000), IT (ITIL) samt ekonomi (SOX).

6 Svenska Spels datorhallar genomför miljontals transaktioner per minut, och datorhallarna i Visby hanterar i det närmaste alla speltransaktioner från de svenska spelkunderna. Trycket är högt, och därmed ställs också höga krav på en säker och energieffektiv it-miljö. Enacos uppdrag är att genom modern och energieffektiv teknik maximera kylförsörjningen och trygga elförsörjningen hos Svenska Spel. Det omfattande arbetet genomförs under pågående drift för att inte störa den väldiga mängd transaktioner som passerar Svenska Spels it-system varje dag året runt. Förutom att effektivisera energiförbrukningen vill vi också säkerställa att säkerheten kring vår it-miljö är den absolut bästa, både ur drift- och skyddssynpunkt. Enaco har byggt en datorhall åt oss tidigare, så vi vet att deras kompetens kring konstruktion och projektledning är mycket hög. Dessutom är Enaco leverantörsoberoende, vilket skapar en större flexibilitet, säger Anders Granvald, CIO på Svenska Spel. Det är kombinationen av ett nytt försörjningssystem för såväl kraft som för kyla som tillsammans skapar den avsevärda minskningen av Svenska Spels elkostnader. Det nya kylsystemet har en högre verkningsgrad och avleder den värme som alstras direkt vid värmekällan. Den höga verkningsgraden gör det möjligt att fylla datorhallarna med ytterligare rackrader. Den tekniska tillförlitligheten vid Svenska Spels hantering av speltransaktioner förstärks ytterligare genom redundanta moduler som automatiskt backar upp varandra om något vitalt system skulle falla bort. Att genomföra ett ingrepp av denna omfattning under pågående drift, och i en sådan kritisk och känslig it-miljö som hos Svenska Spel, är relativt ovanligt i branschen. I detta uppdrag får vi möjlighet att använda hela vår samlade kompetens inom design, byggnation och underhåll av säkra teknikrum, säger Lena Boman, vd på Enaco. - Vi ställde krav på säker åtkomst av ett antal applikationer utifrån och behövde därför en kompetent och insatt säkerhetspartner. Portal hjälpte oss att välja rätt lennart bergeröd, is-chef, privatgirot Säker och tillgänglig. Varsomhelst. Närsomhelst. Privatgirot hade ett behov av att låta sina anställda ha tillgång till företagets servrar utifrån. I sitt arbete med girotjänster och digitalisering av fakturor hanteras affärskritiska system dagligen. Därför innehöll kravs pecifikationen nyckelord som flexibilitet, effektivitet och säkerhet. Lösningen kom med Portal Licens och en G/On nyckel. Efter en genomgående behovsanalys kunde Portal Licens snabbt samla ett gäng kunniga personer och därmed koppla in rätt leverantörer för att fi nna den bästa lösningen på Privatgirots specifika behov. Idag har Privatgirot en säker och tillgänglig lösning där företagets anställda kan nå företagets samtliga affärskritiska system var som helst i världen. Ytterligare information fi nns på Portal är din hemarena för snabba och säkra leveranser av IT-produkter, tillbehör och tjänster. Genom Portals affärsområden Volym, Logistik, Enterprise, Licens och Print Solutions stödjer vi våra kunder i allt från traditionell produktförsörjning, förädlad logistik, licenser och avancerade lösningar inom IT-infrastruktur med tillhörande tjänster. Portal har 90 medarbetare och omsatte 505 MSEK år Bolaget grundades 1998 av de nuvarande ägarna Mikael Lindqvist, Fredrik Pürkner och Jonas Sundkvist. Portal har tilldelats en rad utmärkelser bland andra Ett Superföretag av Veckans Affärer , Ett Gasellföretag av Dagens Industri , HP Preferred Partner of the Year 2006, IT-Branschens Siriuspris 2006, Årets Lenovo Partner 2006, HP Preferred Partner Attach EMEA 2007 och HP Print Solution Partner of the year 2007.

7 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS 7 Det finns många olika regelverk med anknytning till informationssäkerhet i tabellen anges några av de viktigaste. Klipp ur och spara! Vissa regelverk är vi skyldiga att följa medan andra kan vara ett stöd i säkerhets- och revisionsarbetet. Slående är att intern styrning och kontroll är ett genomgående tema bland regelverken. Varför är detta så aktuellt just nu? En förklaring kan vara att det för år sedan, dvs. innan datoriseringen slog igenom, var en självklarhet att alltid ha kontroll över sitt arbete. Avstämning och kontroll genomfördes som en integrerad del av arbetet. När sedan datorn gjorde sin entré förlitade vi oss på automatiska avstämningar, varvid mycket av det integrerade tankesättet föll i glömska. Men efter flera uppmärksammade bedrägerihärvor återinförs nu den interna kontrollen, och kopplas dessutom samman med företagets styrning. Det sker över hela linjen, från EU till nationella förordningar, vilka sedan omvandlas i företagspolicys och riktlinjer hela vägen ner till tekniska it-standarder. Intern styrning och kontroll har därmed förpackats i en för vår tid anpassad skrud, till stöd för ökad informationssäkerhet. Famous Swedish expressions Helvete tehelvete Helvet FABRIC.SE Backup&Restore, Säkerhetskonsulter, Reservplats på

8 IT-Säkerhet 2008 Agenda: Den ständigt föränderliga hotbilden mot Er IT-säkerhet Per-Arne Sandegren Senior Analytiker IDC Offensiv säkerhet för en robust verksamhet Martin Bergling Informationssäkerhetsspecialist IBM Svenska AB Identitets- och behörighetshantering - centralt för att få kontroll på användare och företagsregler/policies Lars Nikamo Identity and Security Specialist Novell Securing Your Organization Against Web 2.0 Threats Mike Smart Product Marketing Manager, EMEA Secure Computing Security threats and challenges: A wider view is a smarter view John Madelin Verizon Business Adaptive Threat Management - a necessity for business continuity Dr Anton Grashion Chief Security Strategist Juniper Networks Partners: Konferens, 25 September, Stockholm The Real Need for Security Greg Day EMEA Security Analyst McAfee Workshop: How to Secure Sensitive Information and Prevent Data Loss Peter Davin CEO Cryptzone Data Leak Prevention Solutions Skydda varumärket och säkra affärsverksamheten Gunnar Karlsson Projektledare Pan Nordic:s PCI-projekt En handlingsplan för samhällets informationssäkerhet Dr Per Oscarson Utredare informationssäkerhet Krisberedskapsmyndigheten Barns och ungas liv på nätet Ewa Thorslund Näringspolitisk expert IT&Telekomföretagen Tre sätt att anmäla sig på: nordic.booking@idc.com Vi lottar ut 30 fribiljetter! Uppge kod PRO-835 vid anmälan, så deltager du i lotteriet. ANNONS ANNONS Problem med Spam? Halon Spam Prevention Gateway med globalt utbrottsskydd är marknadsledande på skydd för spam, virus, malware och zombienät. Sov gott. Full it-säkerhet kräver att alla motåtgärder och skydd samlas i ett automatiserat, överskådligt, övervakat och i hela it-miljön inbyggt försvar. Ett sådant försvar, där system och nätverk samverkar, anpassar sig snabbt till alla säkerhetshot. Fördelar är en ostörd affärsverksamhet, lägre kostnader, skyddad information och efterlevnad av regelverk. Det är lite kort andemeningen i begreppet Adaptive Threat Management. Inte alls, det finns massor av motåtgärder och skydd för alla nivåer av en it-infrastruktur. Det gäller bara att samla ihop, samordna och automatisera alla delar till en säker itmiljö. Sedan gäller det att ha full överblick och kontroll av hela it-miljön med övervakning, hantering av hot, sårbarhetsanalys och uppföljning av att regelverk efterlevs. Nyckeln är hur väl man kan administrera Halon Spam Prevention Gateway Not just for spam, really. Fri Upp till bevis: låneprodukt , Jag tycker nog det ser ungefär likadant ut år från år. Det är sätten som illasinnade använder som skiftar. Vi ser dock en ökande sårbarhet på ytan när allt fler olika terminaler och trafiksätt används över olika nätverk och på ett ökande antal webbplatser. Beslutet om grad av skydd och säkerhet ska inte lämnas till slutanvändarna utan måste byggas in i hela it-miljön. Det är mycket enklare att hacka en persons dator än ett nätverk. Därför är sociala nätverk, webbplatser och e-post populära just nu. En illasinnad person behöver bara lyckas en gång. Vi måste lyckas hela tiden. och synliggöra policys och skydd för alla produkter och användare i och utanför företagsnätet samt besökares egna eller andras maskiner. Företaget kan göra affärer som vanligt och kan på ett proaktivt sätt skydda viktig information. På it-sidan blir det färre driftavbrott och resurser kan användas mer optimalt. I det totala skyddet finns förutom en anpassningsbar hantering av alla hot, även sårbarhetsskydd och dynamisk efterlevnad av regelverk. Just efterlevnaden av regler, vad vi kallar day zero compliance, är viktigt för att snabbt kunna följa ändringar i regelverket.

9 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS 9 Jerker Löf vänder diskussionen från lås och bom, brandväggar och virusskydd till att möjliggöra säkra affärer och trygga medborgerliga processer. I en värld som alltmer bygger på internationaliserade och nätverksbaserade system krävs större fokus på ett förebyggande säkerhetsarbete som är integrerat i den dagliga processen inom varje företag eller myndighet. Han talar i termer av Securing Possibilities. Ett säkerhetsskydd ska byggas upp i kombination med affärsnyttan där flexibilitet finns i strukturen, menar Jerker Löf. Annars är det lätt att låsa fast sig i befintlig teknik som ger en ineffektiv organisation. Ett skydd som dessutom inte ska kosta en massa, inte vara bökigt att använda och framför allt inte hämma utvecklingen, säger Magnus Svensson biträdande affärsområdeschef för Informationssäkerhet. Traditionellt säkerhetsarbete har ofta handlat om att säkra upp verksamheten med hjälp av brandväggar och antivirus, många gånger har säkerhetsaspekten häktats på i efterhand. Men då lägger man fokus på fel saker, menar Magnus Svensson. Företagen glömmer den immateriella delen. Det är viktigt med servrar, webbplatser och databaser, men rykte och förtroende har också stor betydelse. Ett fullt integrerat säkerhetssystem behöver utvecklas i samklang med företagets övriga verksamhet. Genom att tänka säkerhet från början blir verksamheten dynamisk från första stund. Det ligger en risk i att bygga upp system som är svåra att förändra och kostsamma att underhålla som dessutom tappar helheten vid förändringar. Ett företag måste kunna ta möjligheter i flykten. Dynamiken inom business kräver kontakter utanför brandväggar. Informationssäkerhet ska möjliggöra säkert informationsutbyte, inte att låsa in informationen, menar Jerker Löf och Magnus Svensson. Optimal säkerhetsnivå möjliggör rationella arbetsmetoder och högre lönsamhet. Att arbeta med övervakad säkerhet ger dessutom friheten och möjligheten att ta till sig ny teknik. En bra säkerhetslösning komplicerar inte och rätt information kommer till rätt person i rätt tid. Som konsultföretag arbetar man också med utbildning inom kundföretagen. Säkerhet handlar i grunden om förståelse. Om t ex Reuters sänder ut börspåverkande affärsinformation i fel tid är det förödande, säger Jerker Löf. Människor måste förstå och handla rätt i vardagen. Combitech jobbar mot certifierings- och kravuppfyllnad, med verifiering och validering av kunder. För att säkra verksamheter arbetar man också med tekniska sårbarhetsanalyser, s.k. penetrationstester. Man provocerar teknikutrustningen för att hitta risker. Vi har sett system där vi på några minuter kunnat stänga av all elkraftsproduktion på en anläggning, berättar Magnus Svensson. Ett företag kan välja att: bygga bort oacceptabla risker ta kalkylerade risker men hålla koll på dem bortse från mycket osannolika risker med ringa konsekvenser och hålla lagom bevakning så den tagna risken inte ökar. Men då, säger Magnus Svensson, är det ett medvetet risktagande, man tar kontrollen över risken. Och om något händer måste det finnas en beredskap som skapas genom en prövad kris/incidenthanteringsförmåga. Här är det viktigt med kontinuerliga simuleringsövningar. Man jobbar också som en slags IT-världens CSI, med brottsspårning i IT-världen: Vi assisterar företag som utsatts för angrepp och där förövaren ofta kan vara en egen anställd på det drabbade företaget. Men det kan lika gärna handla om att fria en anställd från ogrundade misstankar.

10 10 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS Hackers kopierar hemsidor och lurar besökaren att fylla i uppgifter som till exempel kan tömma ett bankkonto eller förstöra ett väl inarbetat varumärke på nolltid. Ingen mer än bedragaren gynnas av phishing. Adressen skall vara grön när transaktioner görs Online, säger Roberta Mladenovic, chef för VeriSign Norden. I april i år belönades VeriSign för att vara den mest tillförlitliga leverantören av internetinfrastrukturtjänster till den nätverksanslutna världen. Bedrägerierna Online har ökat markant. Antalet hackers som bedriver phishing ökar, vilket 2006 fick Microsoft att ta initiativet till att ta fram ny standard tillsammans med CA (certifikat utfärdare) och tillverkare av webbläsare, s k browser, säger Roberta Mladenovic. Förutom att bekräfta ägaren av domännamnet omfattar processen även autentisering av den kontaktperson som begär certifikatet, verifiering av företaget i statliga register eller företagsregister för tredje part och andra metoder. En helt ny standard togs fram med namnet EV, Extended Validation, som tog ett steg längre i verifieringen. Tim Callan, Vice President of Marketing, SSL, från VeriSign var med i utförandet av att bygga den nya valideringsprocessen. Den största förändringen för användaren var att det visuellt blev tydligare att se om webbsidan var äkta eller om de råkat ut för phishing. I nyare webläsare såsom Internet Explorer 7 Firefox och Opera blir adressfältet grönt och visar namnet på ägaren av certifikatet för Extended Validation. Statusfältet för säkerhet visar att överföringen är krypterad och att organisationen har autentiserats enligt den mest rigorösa industristandarden. Användaren får en tydlig signal direkt. Bredvid adressfältet kan användaren klicka på hänglåsikonen för inhämta information, vilket man vid traditionella SSL certifikat fick göra genom att klicka på hänglåset lägst ner till höger på sajten och söka efter information. Det har gjorts en del undersökningar för att se hur konsumenten reagerar och agerar. En undersökning som Foresster Research gjorde visar att 24 procent av de tillfrågade konsumenterna inte ville göra inköp Online på grund av den bristande säkerheten. En annan undersökning utförd av TNS Research visade att 65 procent av dem som handlar Online i Sverige avbröt sina köp pga. risken att bli lurade. 57 procent av de tillfrågade var övertygade om att Onlineföretag inte har tillförlitligt skydd för konsumenterna. Internet har blivit en naturlig del i vår vardag. Men det är inte alla som tittar efter vem de lämnar kreditnummer till medan andra avstår helt på grund av rädsla. Dessvärre har vi som konsumenter ännu inte tillräckligt med kunskap om farorna som vi uttrycker rädsla för. Det leder ofta till att man hellre avstår. EV certifikatet förenklar för alla parter genom att det är så tydligt och förtroendet för e-handeln kan byggas upp, säger Roberta Mladenovic. När personer lämnar ut information om sig själv bäddar det för bedrägeri, vilket enkelt kan förhindras genom den nya standarden, säger Roberta Mladenovic. Förtroende för ett varumärke eller företeelse tar tid att bygga upp men är enkelt att förstöra. I april 2006 rapporterade Antiphishing Goup att det fanns nya phishingsajter. Samma månad 2007 hade antalet phishingsiter ökat till Ändå har vi kommit en bra bit på vägen när det gäller vårt beteende på Internet. Vi måste alltid vara noga med att se vem som ligger bakom certifikatet och vilken organisation och domän som är godkända enligt certifikatet, säger Roberta Mladenovic.

11 ANNONS Hela denna bilaga är en annons från Provisa Information AB ANNONS 11 Det är några av slutsatserna i Symantec Internet Security Threat Report, en regelbundet utkommande rapport om säkerhetshål, attacker och trender. Två tredjedelar av all skadlig kod som Symantec någonsin har upptäckt skapades under Idag sker attackerna i första hand mot utvalda webbsidor och sociala webbplatser. Det är en förbluffande stor ökning av hoten på bara ett år. Vi ser en etablerad svart marknad där kriminella anpassar kod till speciellt utvalda miljöer och datorer för att komma åt personlig information som går att sälja vidare, säger Fredrik Olofsson, vd på Symantec Sverige. Enligt Symantecs rapport är nu hela 65 procent av alla för allmänheten tillgängliga applikationer på Internet smittade med elakartad kod. Illasinnade personer utnyttjar säkerhetshål i programmeringen av webbplatsers sidor för att plantera elakartad kod. Även lagliga och kända webbplatser kapas och används som distributionsväg in i hem- och företagsdatorer. Läget är allvarligt och trenden oroväckande. Förr var det rubriker i media om enskilda maskar som smittade miljontals datorer. Nu sker allt i det fördolda. Det kan vara allt från en till några hundra datorer som smittas med kod eller kodsnuttar. Syftet är att tjäna pengar och då vill man inte ha någon uppmärksamhet, säger Fredrik Olofsson. Rapporten visar också en mognande svart marknad som allt mer liknar den traditionella med erbjudanden och mängdrabatter. Kreditkortsnummer säljs för 40 cent styck och en full personlig identitet kan fås för så lite som en dollar. Nätfisket har ökat med 167 procent och 80 procent av fisket rör den finansiella sektorn. Brottsligheten hittar ständigt nya vägar. Nu är det populärt att utnyttja alla säkerhetshål som finns på sociala webbplatser. Ett test som Symantec gjorde, visade att bara fyra procent av undersökta sociala webbplatser hade den senaste säkerhetsuppdateringen. I företagsmiljö patchar man ofta, men sociala nätverk tycks tro att de inte är intressanta för kriminella. Det är inte webbplatserna utan besökarnas datorer som är intressanta och användarna som drabbas när elakingar går under radarn, varnar Fredrik Olofsson. På klientsidan rekommenderar Fredrik Olofsson användare att skydda sig enligt flerlagerprincipen med antivirus, brandväggar för fasta och trådlösa nätverk, kryptering av stöldbegärlig information och regelbunden backup. Alla måste också bli bättre på att skydda sig mot intrång. Konsumenter kan rådfråga återförsäljare och programtillverkare och anställda ta kontakt med företagets it-personal om skydd och hur man bör bete sig. Symantec ser ingen inbromsning i utvecklingen. Läget är allvarligt. Trenden går mot att fånga upp privatpersoners finansiella information, ja hela personens identitet! Om antalet smittade webbplatser och applikationer på Internet skulle fortsätta öka väsentligt skulle det kunna skada trovärdigheten för hela Internet, avslutar Fredrik Olofsson.

12 PointSharp 100% IDENTIFIERING IDENTIFIERING En produkt, alla metoder. användare med sms, kort, tokens, mjuka dosor mm. ACCESS Produkter från Microsoft tillsammans med miljövänlig teknik från Pyramid. Smarta och enkla accesslösningar. Ring oss på eller gå in på för mer information samt hur du kommer i kontakt med en återförsäljare. PointSharp AB Sandhamnsgatan 48A Stockholm