Infosäkare ska veta att alla säkerhetsåtgärder i 27002 är listade som bör-krav. (Det finns 814 ”bör” i texten som alla behöver utvärderas individuellt om de ska flippas till ”ska”.) Förutom att det inte är så! Det finns två ska-krav! Jag vet…🤯 Hela listan: 11.2.3 Kablagesäkerhet: Kablage för ström och telekommunikation för data eller stödjande informationstjänster …
Digital post a.k.a. Mina meddelanden Brevlådeoperatörer måste enligt DIGG uppfylla vissa säkerhetskrav [digg.se] om de ska ansluta sig till den nationella infrastrukturen för digital post. I bilaga 1 hittar man exempelvis kravet: K1.5 Hela leveransen som omfattas av de allmänna villkoren (inkl. tjänster och personal) ska ske inom EU/EES. Åtkomst till brevlåda via användargränssnitt kan dock …
Bryter alla digitala brevlådeoperatörer mot säkerhetskraven? Läs mer »
MSB har släppt en vägledning till nya föreskriften MSBFS 2020:7 som förhandsutgåva. I denna finns en mappning på s. 84 till potentiella säkerhetsåtgärder ur ISO 27002. Jag var intresserad av en omvänd mappning och även nyfiken på vad som finns föreslaget i ISO 27002 som inte finns med som åtgärd i MSBFS 2020:7. (Jag har …
Lördagsnöje: Ladda hem listan med myndigheter från SCB och skriva ett litet script som som hämtar hem vad alla myndigheters webbservrar påstår sig vara av för sort. Alla servrar ville inte berätta, men de flesta. Jag fick sedan patcha resultatet lite för hand, men det blev nog ganska rätt. Nåväl, här är en fördelning av vilka …
UK government’s National Technical Authority for Information Assurance (CESG) har motiverat varför de slutat rekommendera påtvingat lösenordsbyte: https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry Även sammanfattat här: https://kryptera.se/uppmaning-tvinga-inte-regelbundna-losenordsbyten/ Kommentar till detta: Rent krasst kommer ingen att byta lösenord om det inte upplevs viktigt. Men att förmedla vad som faktiskt är viktigt kommer organisationer med största sannolikhet att misslyckas med på samma sätt som insatser …
Nyfiken på vad som ändrats i MSB:s ”MSBFS 2016:2 föreskrifter och allmänna råd om statliga myndigheters rapportering av it-incidenter” efter remissrundan? Då behöver du nog fundera över prioriteringarna i livet, men till dess den utredningen är klar så har jag hackat ihop en enkel ”diff”: https://drive.google.com/file/d/0B1nhZoc6TUUvWkhCS0N1Nk1RcU0/view?usp=sharing. Det finns en del intressant! Exempelvis att undantagen för vissa myndigheter borttaget. Innebär detta …
Ett par kommentarer till seminariet ”Staten och cybersäkerheten – klarar vi IT-angreppen?” från Almedalen 1 juli 2015: Helena Lindberg (GD MSB) kommenterar inrikesminister Anders Ygeman: ”glädjande besked om obligatorisk it-incidentrapportering för den statliga sektorn”. Detta är alltså en nyhet för MSB och GD:n ”blir nyfiken på att få höra mer om vem rapporteringen ska ske …
Lekte lite med Google trends. Det ser ut som om ransomware kommer att vara en lukrativ bransch ett bra tag till! Att hantera ransomware borde i princip vara identiskt med att hantera en hårddiskkrasch, när det väl smäller. Men säkerhetskopiering är inget som uppstår av sig själv, det krävs insikt och kunskap för att få till det. …
[UPPDATEREAD] Klipp från computersweden.idg.se: Tomas Zirn (Computer Sweden, IDG) citerar i en artikel Ola Wittenby (IBM) som hävdar att ”Skadlig kod infekterar 11 miljoner mobiler i minuten”. Det låter ju jättedåligt…, men är det rimligt? Ägnar man en tanke åt detta inser man att det omöjligt kan stämma. Några snabba googlingar visar att det finns i runda slängar ca 2 miljarder …
Skadlig kod infekterar *INTE* 11 miljoner mobiler i minuten Läs mer »
En väldigt stor bild som visar hur RFC 7465 uppdaterar och relaterar till andra RFS:er som hjälper oss att komma bort från RC4 strömchiffer: