Expertgrupp varnar: Stora risker med känsliga data i molntjänster

<…> – Vi anser att det i juridisk mening måste (ses) som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter, säger Johan Bålman.

https://computersweden.idg.se/2.2683/1.710293/

Nya larmet: Microsoft samlar in mängder av användardata från Office 365 – i hemlighet

https://computersweden.idg.se/2.2683/1.710433/microsoft-spionerar-office-365

Vändningen: Göteborgs stad ger grönt ljus till Office 365 – även för känsliga data

Det har varit många turer kring Göteborgs stads utrullning av Office 365 sedan beslutet togs 2016. Hela utrullningen pausades för ganska precis ett år sedan, då stadsjuristen gjorde den juridiska bedömningen att sekretessbelagd information rent teoretiskt kan anses vara röjd så snart en tredje part har teknisk möjlighet att komma åt den. Känsliga uppgifter riskerade helt enkelt att betraktas som röjda om de lämnades över till Microsoft.

Därefter har utrullningen dragit igång igen – och avtalet förnyades i våras. Detta trots att grundproblemen med röjda uppgifter inte ansetts lösta. -/-

Det råder grönt ljus för Office 365 men inte automatiskt för användningen, skulle man kunna säga.

We need a broader education in ”Practical Paranoia”

A few organisations already send out fake phishing emails, offering the employees caught up in these pseudo-scams additional training (and, presumably, unbeknownst to them, additional monitoring). While a good beginning, we need a broader education in ”Practical Paranoia”: how to tell the difference

between commercial interest and national interest;
between marketing hype and political propaganda;
between authentic relationship and clever manipulation.

Without that training – and the techniques flowing from it – technology will remain the plaything of those who have mastered the arts of control

https://www.theregister.co.uk/2018/11/13/security/

’Grand theft internet’; Googles web traffic hijacked and routed through Russia and China

People’s connections in the US to Google – including its cloud, YouTube, and other websites – were suddenly rerouted through Russia and into China in a textbook Border Gateway Protocol (BGP) hijack.

That means folks in Texas, California, Ohio, and so on, firing up their browsers and software to connect to Google and its services were instead meandering through systems in Russia and China, and not reaching servers belonging to the Silicon Valley giant. Netizens outside of America may also have been affected.

https://www.theregister.co.uk/2018/11/13/google_russia_routing/

Rättsligt uttalande om röjande och molntjänster

Expertgruppen anser att det i juridisk mening måste ses som ett röjande om en molntjänst används för behandling av uppgifter som är sekretessreglerade, och om molntjänsten ägs av ett utländskt företag där detta lands rättsordning ålägger företaget att under vissa förhållanden överlämna viss information till det landets myndigheter.

http://esamverka.se/download/18.290a0225166bfafb714c0c7a/1542007824143/eSam%20-%20Ra%CC%88ttsligt%20uttalande%20om%20ro%CC%88jande%20och%20molntj%C3%A4nster.pdf

http://esamverka.se/stod-och-vagledning/rattsliga-uttalanden/rojande-och-molntjanster.html

eSam ser risker med molntjänster i offentlig sektor

Molntjänster innebär stora fördelar, och utvecklingen går mot att det inom en snar framtid blir svårt att hitta andra bra alternativ. Så är redan fallet för till exempel kontorstjänster för e-post med mera. Samtidigt är det känt att dagens molntjänster i praktiken inte är fullt ut förenliga med den lagstiftning som finns för det offentliga vad gäller till exempel informationssäkerhet och sekretess. -/-

eSams juridiska expertgrupp bedömer att det inte går att utesluta att en leverantör av en molntjänst som lyder under utländsk lagstiftning kan medverka till att sekretessreglerade* uppgifter röjs. -/-

– Tills vidare rekommenderar vi våra medlemmar som planerar att lägga information i en molntjänst att mot bakgrund av vår rättsliga bedömning noggrant analysera vilken typ av information det rör sig om och göra nödvändiga risk- och konsekvensanalyser

http://esamverka.se/nyheter/nyheter/2018-11-12-esam-ser-risker-med-molntjanster-i-offentlig-sektor.html

 

Läs mer

Ta del av det rättliga uttalandet:

Rättsligt uttalande om röjande och molntjänster

Använd den checklista som eSams expertgrupp för säkerhet har tagit fram:

Checklista inför beslut om molntjänster i offentlig sektor

Läs mer om förstudien Webbaserat kontorsstöd som drivs av Kammarkollegiet:

Förstudien Webbaserat kontorsstödlänk till annan webbplats

Common password attack methods

81 percent of hacking-related breaches occurred due to either stolen or weak passwords. -/-

The easiest way to gain access to information is by guessing an end user’s password. Many hackers extensively analyze both the keywords used in an organization as well as the keywords used in competitor organizations.
Hackers typically string together a set of potential keywords that may be commonly used by employees to get into a company’s network.

Instead of trying multiple passwords for one user, hackers try the same set of passwords for many users until they eventually get one password right. To their luck, if they happen to land an administrator-level password, the organization is doomed.

https://www.inuit.se/ebook-active-directory-password-policy-enforcer