Informationssäkerhetsmånaden är ett EU-initiativ för att höja säkerheten och minska bedrägerierna och id-kapningarna. I Sverige deltar bland andra MSB och Polisen.

Informationssäkerhetsmånaden pågår oktober månad ut och riktar sig speciellt till små och medelstora företag. Meningen är att lyfta frågan och göra företagen uppmärksamma på problematiken och lära dem att införa enkla säkerhetsåtgärder som minskar bedrägerierna.

Jan O Olsson är förundersökningsledare på Polisens nationella bedrägericenter och har deltagit i många utredningar som rör identitetsstölder och nätbedrägerier.

– Det vi ser, som blir mer och mer vanligt, är den service från e-handlarna för kunderna som heter “card on file” som innebär att man sparar kortuppgifter och personuppgifter på sajten i syfte att förenkla nästa köp. Det blir ju enklare för kunden, men det blir ju definitivt också enklare för de kriminella att komma över kortuppgifterna eftersom de hackar dessa sidor. Det är en av orsakerna till att vi har en uppgång av brottsligheten i Sverige.

Läs också: Trodde du att GDPR-arbetet var över? Glöm det.

Han menar att på de små- och medelstora företagen måste man vara lite “om sig och kring sig” med hur man hanterar informationen. Vilka är det som har tillgång till informationen, vilka behöver ha tillgång? Är det några som slutat på företaget och som fortfarande har tillgång, och hur ser det ut med lösenordshanteringen?

Carl Önne är informationsansvarig för EU-kampanjen på Myndigheten för samhällsskydd och beredskap (MSB). Han rekommenderar starkt att företagare tar del av Datainspektionens information om hur personuppgifter ska hanteras.

– Hantering av personuppgifter, till exempel i form av kundregister, kräver eftertanke. Inte minst när det gäller var personuppgifterna lagras och på vilken grund de samlas in och används.

För små företag kan relativt enkla säkerhetsåtgärder ge bra effekt för att skydda både företagets och sina kunders information. Företagen ska använda starka lösenord för de tjänster som används (även de interna systemen), inte använda samma lösenord i flera tjänster, att använda lösenordshanterare för att hålla reda på lösenorden, och aktivera tvåfaktorsautentisering där det erbjuds. För aktörer som hanterar kortuppgifter gäller de regler som kortföretagen satt upp i PCI-DSS.

60 procent av intrången på företagen sker genom till exempel phishing-mejl. Angriparna låser på det sättet upp en diskussion med mottagaren på företaget, som tror att avsändaren är någon företaget känner sedan tidigare, ungefär som ett så kallat vd-bedrägeri.

Jan O Olsson menar att företagen måste ha en policy för detta, som till exempel två-faktor-autentisering, som man också efterlever. Den senare tidens uppmärksammade bedrägerier mot BankID är framförallt en fråga om social hacking, och det är sällan fel på själva säkerhetssystemen.

– Det finns alltid en diskussion huruvida det är säkert med BankID, men det spelar ingen roll om det är eID, bankdosa eller en “skraplott”, de är lika bra, utan det är en social engineering-fråga, där man förmår någon att göra något denne inte borde göra. Det är där problemet ligger med dessa system. Lösningarna i sig är säkra, och vi gillar den typen av lösningar som säkrar vem det är som loggar in, säger Jan O Olsson.

Det finns massor e-handlarna skulle kunna göra, anser han. Att de identifierar vem de säljer varor till och inte “nöjer sig med att det är ett konto som innehåller pengar”.

– Som polis tycker jag att jag inte vill ha kunder med mindre än att de genomför schyssta köp för pengar de faktiskt äger. Jag tycker Nordeas system där korten är spärrade för internetköp, och måste öppnas med BankID för att göra ett köp, är alldeles förträffligt. Sextio procent av bedrägerierna hos Nordea har försvunnit i jämförelse med andra banker.

Läs också: Apple låter användarna tanka ner alla personliga data - så går det till

På företagssidan kan det vara ännu värre. Jan O Olsson var inblandad som utredare i det ökända Homoki-ärendet under 2013-14 och försökte stoppa miljardflödet. De inblandade brottslingarna kunde beställa varor utan någon närmare kontroll om de hade befogenhet att göra beställningarna. Handlarna skickade bland annat 200 värmepumpar och till och med tio villor i byggsats. Polisen lyckades stoppa en del, men det var väldigt mycket som gick igenom och bara försvann. I ett annat fall lyckades bedragarna beställa bilar per e-post, trots att en ganska enkel kontroll hade kunnat stoppa dem. I ett tredje fall har bedragarna lyckats beställa 20 m3 diesel. Här menar Jan O Olsson att kontrollen av den som köper varan måste skärpas.

Samtidigt saknas det inte ljuspunkter. Bankerna tillsammans med kortföretagen försöker svara upp till exempel genom 3D Secure (Verified by VISA och Mastercard SecureCode). Problemet är att många handlare världen inte är ansluter sig, och bedragarna vet var man kan handla med stulna kortuppgifter. Om fler handlare ansluter blir det allt svårare att handla med stulna kortuppgifter.

– Och det gäller inte bara mindre handlare i andra länder, utan till exempel SAS och Malmö Aviation har inte heller 3D Secure. Hur kan de motivera det? Jo, genom att de är rädda att torska kunder, men samtidigt vill de att polisen ska utreda de brott de utsätt för. Det blir ju lite konstigt, säger Jan O Olsson.