Anmäl dig här

Den 6 mars presenterar vi resultaten från undersökningen Små företags syn på cybersäkerhet. Anmäl dig till vårt webbinarium och ta del av en aktuell bild av små och medelstora företags oro, upplevda utsatthet och faktiska beredskap i en allt mer komplex digital miljö.

Läs mer

Att ha en robust it-säkerhetsstrategi är avgörande för att skydda företagets system och data. Som IT-ansvarig spelar du en nyckelroll i att förebygga cyberattacker och säkerställa att rätt säkerhetsåtgärder finns på plats.

Att ha en stark it-säkerhetskultur är avgörande för att skydda företagets data och känsliga information. Som anställd är du en viktig länk i kedjan för att skydda företaget från cyberattacker. 

Se alla nyheter

Håll dig uppdaterad om företagssäkerhet. Läs till exempel om nya risker i Windows 11, hur nyckelinloggning kan kringgås och hur företag luras av telefonbedragare.

Lär dig mer

Se alla webbinarier från SSF

Välkommen till en inspirerande serie webbinarier där vi rustar dig med kunskap för en tryggare vardag.

Till Framtidens Brott

Framtidens Brott är en rapportserie från Stöldskyddsföreningen om hur brottslighet utvecklas över tid. Fokus ligger på nya måltavlor, metoder och drivkrafter i den fysiska och digitala världen. Här finns rapporter och inspelade webbinarier med panelgäster och experter som ger analys och fördjupad förståelse av framtida hot och risker.

Se alla notiser

Här samlar vi de senaste notiserna från CERT-SE och IMY om sårbarheter som berör it-säkerhet hos företag.

Undersök om företaget har tillräcklig kontroll över medarbetarnas konton och förutsättningarna för att skydda medarbetarna mot kontokapningar.

Perfekt! Ert företag har bra koll på inloggningssäkerhet. 

På området inloggningssäkerhet finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten. 

Snyggt! Ni har redan kommit en bra bit på vägen inom inloggningssäkerhet. Fortsätt med det påbörjade arbetet så är ni snart i mål.

En bra lösenordspolicy får medarbetarna att välja säkra lösenord och står inte i konflikt med andra lösenordskrav. Medarbetarna måste också ha förutsättningarna för att kunna efterleva policyn. Inga medarbetare kan komma ihåg många, långa och unika lösenord utan tekniska hjälpmedel.

En fungerande lösenordspolicy måste stämma överens med kraven som medarbetarna möter när de väljer lösenord. Medarbetarna måste också ha förutsättningarna för att kunna efterleva lösenordspolicyn. Inga medarbetare kan komma ihåg många, långa och unika lösenord utan tekniska hjälpmedel, till exempel lösenordshanterare.

1. Vet ni verkligen att lösenordspolicyn går att efterleva?

1. Har företaget en fungerande lösenordspolicy?

En företagsanpassad lösenordshanterare gör att medarbetarna kan spara alla sina lösenord på ett säkert sätt. Med hjälp av en lösenordshanteraren kan medarbetarna också, om det skulle behövas, dela gemensamma lösenord med varandra.

Risken för osäker lösenordsdelning kvarstår även om företaget förser alla medarbetare med en företagsanpassad lösenordshanterare eller kopplar alla externa tjänster till en SSO-tjänst. Om medarbetarna behöver dela gemensamma lösenord måste de även ha rutinerna och vanorna för att göra det på ett säkert sätt.

Har ni säkerställt att ingen osäker lösenordsdelning ändå förekommer?

2. Använder medarbetarna en företagsanpassad lösenordshanterare?

Lösenord är en säkerhetsmässigt svag inloggningsmetod som behöver kompletteras med en andra faktor för att vara säker. Det finns flera olika metoder för tvåfaktorsautentisering. En lämplig tvåfaktorsautentiseringsmetod är en metod som både stärker säkerheten och minimerar risken för utelåsning.

Det finns flera olika metoder för tvåfaktorsautentisering. Vilka metoder som är lämpliga beror på sammanhanget. Sms-metoden kan vara problematisk om medarbetare byter mobilnummer. Säkerhetsnyckelmetoden kan vara olämplig om den används på webbplatser där it-avdelningen saknar möjlighet att återställa aktiveringsstatus för medarbetarnas användarkonton. Detta på grund av borttappningsrisken.

3. Används verkligen lämpliga metoder för tvåfaktorsautentisering?

3. Skyddar medarbetarna sina externa konton med tvåfaktorsautentisering?

Medarbetare kan ha många användarkonton fördelade över en mängd webbplatser. Det kan ställa till problem när medarbetare byter roll eller lämnar företaget. För att undvika sådana problem krävs en god översikt över alla medarbetares användarkonton.

När medarbetare lämnar företaget måste deras användarkonton inaktiveras så att inga forna medarbetare bibehåller åtkomst till företagets interna resurser.

4. Har ni en rutin för att inaktivera gamla konton när medarbetare slutar?

4. Har ni god översikt över era medarbetares användarkonton?

Varje månad inträffar lösenordsläckor. Företag bör därför bevaka medarbetarnas mejladresser så att medarbetarna kan underrättas snabbt om deras mejladresser dyker upp i lösenordsläckor.

5. Bevakar ni era medarbetares mejladresser i lösenordsläckor?

Inloggningssäkerhet (1-5)

Undersök om företagets datorer och mobiler hålls säkra samt om de är tillräckligt välskyddade mot virus.

Perfekt! Ert företag har bra koll på dator- och mobilsäkerhet.

På området dator- och mobilsäkerhet finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten.

Snyggt! Ni har redan kommit en bra bit på vägen inom dator- och mobilsäkerhet. Fortsätt med det påbörjade arbetet så är ni snart i mål.

Windows och Mac OS får frekventa säkerhetsuppdateringar som åtgärdar säkerhetsbrister. Dessa säkerhetsuppdateringar måste installeras snarast möjligt.  Gamla versioner av Windows och Mac OS får dock inte längre säkerhetsuppdateringar. Datorer med icke-underhållna operativsystem löper därför större risk för att bli infekterade.

Hårdvarukraven ökar för varje ny version av Windows och Mac OS som släpps. Gamla datorer kan därför stranda på äldre operativsystemsversioner som slutar få säkerhetsuppdateringar. Exempel på operativsystem som inte längre får säkerhetsuppdateringar är Windows 8.1 och Mac OS 12 (”Monterey”).

6. Har ni rutiner för att ta föråldrad hårdvara ur bruk?

6. Kör alla datorer underhållna och uppdaterade operativsystem?

Antivirusprogram (även kallat klientskydd) behövs för att upptäcka, stoppa och rensa bort virus (skadeprogram) från medarbetarnas datorer.

7. Har alla medarbetares datorer skydd mot virus?

Appar och webbläsartillägg kan vara problematiska utan att vara skadliga. Appar och webbläsartillägg kan exempelvis överföra data till molntjänster på ett sätt som läcker företagshemligheter eller personuppgifter. Det är därför viktigt att ha kontroll över vilka appar och webbläsartillägg som medarbetarna kör på sina datorer.

Många mjukvaruutvecklare slutar underhålla gamla versioner av populära appar. Microsoft underhåller exempelvis inte gamla versioner av Microsoft Office-paketet. Föråldrade appar kan innehålla säkerhetsbrister och måste därför avinstalleras eller uppgraderas till nyare versioner, vilket kan vara förenat med en kostnad.

8. Kör medarbetarna säkra appar på sina datorer?

Appar kan vara problematiska utan att vara skadliga. Många appar begär exempelvis åtkomst till mobilens kontaktlista eller laddar upp kopior av bilder till externa molntjänster. Det är därför viktigt att ha kontroll över vilka appar som medarbetarna har på sina mobiler.

9. Kör medarbetarna säkra appar på sina mobiler?

Vissa företag låter medarbetarna använda företagets datorer och mobiler för privata ändamål. I sådana sammanhang är det viktigt att både företaget och medarbetarna är medvetna om de förenade riskerna.

10. Har ni reglerat hur medarbetarna får använda företagets datorer och mobiler privat?

Dator- & mobilsäkerhet (6-10)

Undersök om företagets nätverk hålls säkert och ifall medarbetarna har föutsättningarna för att arbeta säkert på distans.

Perfekt! Ert företag har bra koll på nätverkssäkerhet.

På området nätverkssäkerhet finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten. 

Snyggt! Ni har redan kommit en bra bit på vägen inom nätverkssäkerhet. Fortsätt med det påbörjade arbetet så är ni snart i mål.  

Företagets interna trådlösa nätverk måste skyddas mot obehörig åtkomst. Ju fler medarbetare som ska kunna ansluta till det trådlösa nätverket, desto viktigare är det att medarbetarna loggar in med användarunika inloggningsuppgifter.

Trådlösa nätverk kan skyddas med flera olika standarder: WEP, WPA, WPA2 eller WPA3. Det är bara WPA2 och WPA3 som klassas som säkra av Microsoft och Apple.

11. Skyddas företaget interna wifi-nätverk med WPA2 eller WPA3?

11. Skyddar ni företagets trådlösa nätverk?

Gäster ska aldrig ges åtkomst till företagets interna wifi-nätverk. Företag som vill erbjuda gäster internetåtkomst kan sätta upp ett trådlöst gästnätverk som är isolerat från företagets interna nätverk.

Gästnätverkets isolering fyller bara full funktion om företagets egna medarbetare aldrig ansluter dit.

12. Ansluter alltid företagets enheter till det interna nätverket i stället för gästnätverket?

När medarbetare arbetar hemifrån eller på resande fot öppnas nya risker. Det är viktigt att distansarbetare har förutsättningarna för att kunna arbeta säkert, oavsett var de befinner sig.

Företaget kan aldrig säkerställa att medarbetarnas hemnätverk är säkra. Företaget måste därför se till att medarbetarna har utrustning för säkert hemarbete eller att medarbetarna hanterar arbete från sina hemnätverk som om nätverken vore lika osäkra som publika wifi-nätverk.

13. Är medarbetarna medvetna om att deras eget hemnätverk kan vara lika osäkert som ett publikt wifi-nätverk?

13. Har medarbetarna förutsättningarna för säkert distansarbete?

Routrar, brandväggar och annan nätverksutrustning måste underhållas precis som vanliga datorer. Det är framför allt viktigt att uppdatera internetexponerade nätverksenheter.

Förr eller senare slutar nätverksprodukttillverkarna att underhålla sina nätverksprodukter. Detta kallas att produkterna når ”end-of-life” och behöver bytas ut eller konfigureras på ett sätt som gör att de inte kan orsaka säkerhetsproblem.

14. Har ni koll på produkter som når ”end-of-life”?

14. Är företagets nätverksenheter säkra?

DNS-filter blockerar farliga domäner. Det minskar risken för att medarbetare ansluter till skadliga eller bedrägliga webbplatser.

Det är inte alla appar som skickar DNS-förfrågningarna till nätverkets förinställda DNS-servrar. Många webbläsare har egna DNS-serverinställningar som webbläsaren prioriterar över de nätverksförinställda motsvarigheterna.

15. Har ni kontrollerat att DNS-förfrågningarna går rätt? 

15. Skyddar ni företagsnätverken med DNS-filter?

Nätverkssäkerhet (11-15)

Undersök om företaget skyddar informationen tillräckligt väl mot spionage och dataförlust.

Perfekt! Ert företag har bra koll på dataskydd. 

På området dataskydd finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten.

Snyggt! Ni har redan kommit en bra bit på vägen inom dataskydd. Fortsätt med det påbörjade arbetet så är ni snart i mål.

Det är viktigt att lagringsytan (hårddisken/SSD-disken) i alla medarbetares datorer är krypterade. Annars kan en angripare som stjäl en dator kopiera filerna som ligger lagrade på datorn.

Kryptering blandas ofta ihop med skärmlås. Skärmlås skyddar inte på samma sätt som kryptering gör. Exempel på krypteringslösningar är Bitlocker (Windows) och Filevault (Mac OS).

16. Är den interna lagringsytan verkligen krypterad?

16. Är lagringsytan i alla medarbetares datorer krypterad?

Datorer kan gå sönder, stjälas och tappas bort. Det är därför viktigt att alla filer som medarbetarna skapar säkerhetskopieras på ett ändamålsenligt vis.

Säkerhetskopiorna får inte kunna förstöras eller gå förlorade av samma orsak som originalfilerna. Om alla säkerhetskopior lagras på hårddiskar på kontoret skyddar det inte mot brand, översvämning eller inbrott. Säkerhetskopiorna måste också vara skyddade mot utpressningstrojaner som krypterar filerna och kräver en lösensumma för att återställa dem.

17. Är säkerhetskopiorna tillräckligt skyddade?

17. Säkerhetskopieras alla medarbetares filer?

Många molntjänstleverantörer säkerhetskopierar kunddata men friskriver sig samtidigt från ansvar vid dataförlust. Beroende på molntjänst kan det därför behövas kompletterande säkerhetskopiering av företagskritisk data.

Dagens företag förlitar sig på en mängd molntjänster. Utöver molnlagringstjänster och samarbetstjänster använder många företag också molnbaserade lönesystem, bokföringssystem och lärplattformar.

18. Har ni tänkt på alla molntjänster?

18. Säkerhetskopieras all data i era molntjänster?

Usb-minnen är lätta att tappa bort. Det är därför viktigt att inga medarbetare sparar filer på usb-minnen som inte är krypterade. Annars kan filer lätt hamna i orätta händer.

19. Sparar medarbetarna filer på okrypterade usb-minnen?

Uttjänt elektronik (till exempel datorer, usb-minnen och skrivare) kan innehålla filer som går att återskapa om filerna har lagrats okrypterade. Detta måste företaget ha i åtanke innan uttjänt elektronik kasseras, återvinns eller säljs vidare.

Utöver datorer och mobiler kan exempelvis nätverksanslutna skrivare, nätverksanslutna skannrar, övervakningskameror, diktafoner, minneskort och usb-minnen innehålla återskapningsbara och känsliga filer.

20. Har ni tänkt på att mer än datorer och mobiler kan innehålla känsliga filer?

20. Avyttrar ni uttjänt elektronik på ett säkert sätt?

Dataskydd (16-20)

Undersök om företaget efterlever GDPR och har förutsättningarna för att hantera driftstörningar.

Perfekt! Ert företag har bra koll på lagar och standarder.

På området lagar och standarder finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten.

Snyggt! Ni har redan kommit en bra bit på vägen inom lagar och standarder. Fortsätt med det påbörjade arbetet så är ni snart i mål.

Alla företag behandlar personuppgifter, till exempel i form av kundregister eller mejllistor. Även om långt ifrån alla företag med under 250 anställda är skyldiga att underhålla personuppgiftsregister måste alla företag veta vilka personuppgifter som de behandlar.

21. Har ni kontroll över vilka personuppgifter som ni behandlar?

Molntjänsternas framväxt har gjort att många företag förlitar sig på personuppgiftsbiträden som levererar exempelvis molnbaserade samarbetstjänster, CRM-system och nyhetsbrevstjänster. Då behövs ett personuppgiftsbiträdesavtal.

Många molntjänstleverantörer påstår sig vara GDPR-förenliga men förlitar sig i sin tur på underleverantörer som är tveksamma ur ett GDPR-förenlighetsperspektiv. Företaget bör säkerställa att personuppgiftsbiträdena delar företagets tolkning om vilka underleverantörer som personuppgiftsbiträdena får överföra företagets personuppgifter till.

22. Har ni granskat personuppgiftsbiträdenas underleverantörer?

22. Har ni tecknat personuppgiftsbiträdesavtal med era personuppgiftsbiträden?

Personerna vars personuppgifter ett företag hanterar har rätt att begära tillgång till de insamlade personuppgifterna. Personerna har generellt också rätt att begära att de insamlade personuppgifterna ska raderas.

När personer begär att få sina personuppgifter exporterade eller raderade berör det inte enbart personuppgifterna som företaget har sparat i egen regi. Det gäller även personuppgifterna som har sparats hos personuppgiftsbiträden.  

23. Kan ni också exportera och radera personuppgifterna hos era personuppgiftsbiträden?

23. Kan ni exportera och radera personuppgifter på begäran?

Många företags verksamhet förutsätter att leverantörernas tjänster är tillgängliga. En driftstörning hos en leverantör kan i värsta fall leda till att ett företags verksamhet står stilla. Det är därför viktigt att ha så kallade SLA-avtal (Service Level Agreements) som bland annat reglerar hur många och hur långa driftstörningar som leverantörers tjänster får ha samt vilken ersättning som företaget kan få vid brott mot SLA-avtalet.

24. Har ni tillräckliga SLA-avtal med era företagskritiska tjänsteleverantörer?

Lagar och standarder (21-24)

Undersök om medarbetarna arbetar på ett sätt som minimerar risken för sociala manipulationsattacker och it-säkerhetsincidenter.

Perfekt! Ert företag har bra koll på säkerhetsmedvetenhet

På området säkerhetsmedvetenhet finns det stor förbättringspotential. Det här är ett område som är värt att prioritera. Små insatser kan ge stor förbättring på it-säkerhetsfronten.

Snyggt! Ni har redan kommit en bra bit på vägen inom säkerhetsmedvetenhet. Fortsätt med det påbörjade arbetet så är ni snart i mål.

Medarbetarna måste spara sina filer på rätt plats. Detta är viktigt att flera skäl. Platsen där filerna sparas måste vara en plats som säkerhetskopieras och som skyddas ur både ett tekniskt perspektiv och ett juridiskt perspektiv.

25. Sparar alla medarbetare sina filer på anvisad plats?

När en it-incident inträffar måste medarbetarna veta vad de ska göra. Om det rör sig om en cyberattack räknas varje sekund för att begränsa konsekvenserna. Om det rör sig om en personuppgiftsincident måste ansvarig person underrättas snarast möjligt eftersom en sådan incident ska rapporteras till Integritetsskyddsmyndigheten inom 72 timmar.

26. Vet medarbetarna vad de ska göra vid en it-incident?

Långt ifrån alla attacker är tekniska. Många angripare försöker attackera företag genom företagens medarbetare. Det är därför viktigt att medarbetarna genomgår grundläggande it-säkerhetsträning.

27. Tränas menararbetarna i grundläggande it-säkerhetsmedvetenhet?

Säkerhetsmedveten (25-27)

Testa företagets cybersäkerhet här!

Ta kontroll och cybersäkra ditt företag. Vårt test hjälper dig att kartlägga er nuvarande it-säkerhetsmognad och att hitta potentiella förbättringsområden.

Det är jobbigt att vara efterklok

Webbinarium: Små företags syn på cybersäkerhet

It-säkerhet för it-ansvarig

It-säkerhet för medarbetare

Nyheter för företag

Ladda ner normen för cybersäkerhet och certifiera er

Utbilda personalen – mer kunskap, färre misstag

Våra webbinarier

Framtidens Brott

Sårbarheter och notiser