pa|Securing company assets and gaining trust from customers and partners are crucial parts in today’s business. Cybersecurity and data privacy are management issues. We help executives and managers to effectively manage cybersecurity and data privacy in their business. Kungsgatan 60, Stockholm Östra Varvsgatan 4, Malmö Nygatan 93, Norrköping 100 Simcoe Street, Toronto 1959 Upper Water Street, Halifax Sweden +46 (0)8 412 00 399 Canada +1 (902) 476 0540 Please contact us if you are interested in our services by filling in this form. You may also email or call us to make an appointment. info@securestatecyber.com Sweden: +46 (0)8 412 00 399 Canada: +1 (902) 476 0540 di|Thank you! st|Contact Us Sweden Canada info@securestatecyber.com Sweden Canada h2|Cybersecurity + GDPR Professional Services Contact us. h3|Cybersecurity is a Management issue. h4|Secure State Cyber * First Name Last Name * * pa| st|Sweden Canada h4|Secure State Cyber pa|We help you build, run and monitor a Cybersecurity Management Program based on your business risks. Services include identification of critical assets, risk management and implementation of best-practice frameworks such as ISO 27000-series, NIST or CSE 13 Baseline controls. If you use cloud-based services or outsourcing, we can help you implement a program for security monitoring of third-party providers, a so-called TPRM, Third Party Risk Management. We provide independent technical reviews of your cybersecurity posture. Through penetration testing, vulnerability scanning and threat-risk assessments (TRA) our technical specialists will give you a clear picture of your current situation, including suggestions to mitigate findings and what measures to prioritize. We provide Data Privacy Officer as a service and act as GDPR EU Representative for your organization. Our legal specialists also provide professional services in data privacy and GDPR, including privacy audits and data privacy impact assessments. Employee awareness level is crucial to cybersecurity. Our cyber awareness and e-learning programs build your team’s ability to detect and respond to cyber incidents. Our e-learning programs are tailored for cybersecurity in different sectors such as healthcare, critical infrastructure, shipping, etc. We also train your employees with simulated phishing attacks and can track individual risk scoring in order to build cyber awareness. Please contact us if you are interested in our services by filling in this form. You may also email or call us to make an appointment. info@securestatecyber.com Sweden: +46 (0)8 412 00 399 Canada: +1 (902) 476 0540 Thank you! We will contact you shortly. st|Sweden Canada h2|Cybersecurity Professional Services Contact us. h3|Book a free discussion with an expert. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * First Name Last Name * * pa|Vi hjälper er att etablera, driva och övervaka ett systematiskt cybersäkerhetsarbete baserat på er organisations förutsättningar och risker. Våra tjänster inkluderar informationsklassning, riskhantering och implementering av standarder och ramverk för informationssäkerhet såsom ISO 27000-serien, NIST och MSB:s vägledningar. Om ni använder molnbaserade tjänster eller outsourcing kan vi hjälpa er att implementera ett program för säkerhetsuppföljning av tredjepartsleverantörer, ett s.k. TPRM, Third Party Risk Management. Vi tillhandahåller oberoende teknisk säkerhetsgranskning av er cybersäkerhetsnivå. Genom penetrationstester, sårbarhetsskanningar och hot-, risk- och sårbarhetsanalyser ger våra tekniska säkerhetsspecialister er en tydlig bild av aktuellt läge, samt förslag på åtgärder för att hantera riskerna. Vi erbjuder Dataskyddsombud som tjänst genom våra specialiserade jurister. Våra dataskyddsombud tillser att ni efterlever dataskyddsförordningen och genomför t.ex. tillsyn och konsekvensbedömningar, DPIA. Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer såsom vård och omsorg, samhällsviktig verksamhet. Vi använder t.ex. simulerade phishingattacker och kan kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Fyll i detta formulär om du är intresserad av att veta mer om våra tjänster. Det går även bra att skicka e-post eller ringa oss för att boka ett möte. info@securestatecyber.com Sverige: +46 (0)8 412 00 399 Kanada: +1 (902) 476 0540 Tack! Vi återkommer till dig inom kort. st|Sweden Canada h2|Cybersäkerhetstjänster Kontakta oss. h3|Boka ett kostnadsfritt möte med någon av våra experter. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * * * pa|Our consultants have a background of higher educations in IT, computer science and law. All are specialized in cybersecurity or integrity protection with certifications such as CISSP, CISA, CISM, CRISC, CDPO and ISO 27001 Lead implementer. We have extensive experience of working with cybersecurity and data privacy on management level and use international standards and best-practice frameworks as basis for our work. Our management system is certified according to ISO 9001, ISO 27001, ISO 14001 och OHSAS 18001. Please send us a message and we will get back to you soon to book a meeting. di|Thank you! st|Sweden Canada h2|High-quality Professional Services since 2005. Secure State Cyber Our experience and how we work Some of our customers h3|Are you interested in our services? h4|We have offered professional services in information and cybersecurity since 2005. Our customers are both from private and public sector. We provide comprehensive solutions for information and cybersecurity challenges. Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * First Name Last Name * * pa|Våra konsulter har akademisk examen inom it, datateknik och juridik. De är specialiserade inom cybersäkerhet eller integritetsskydd med certifieringar såsom CISSP, CISA, CISM, CRISC, CDPO och ISO 27001 Lead Implementer. Vi har lång erfarenhet av att arbeta med cybersäkerhet och integritetsskydd på ledningsnivå och använder oss av internationella och nationella standarder och ramverk som grund för vårt arbete. Vårt ledningssystem är certifierat enligt ISO 9001, ISO 27001, ISO 14001 och OHSAS 18001. Fyll i formuläret nedan så återkommer vi till dig inom kort. Tack! Vi återkommer till dig inom kort. st|Sweden Canada h2|Secure State Cyber Vår erfarenhet och arbetssätt Några av våra kunder h3|Informations- och cybersäkerhetstjänster sedan 2005. Vill du veta mer om våra tjänster? h4|Vi har erbjudit specialiserade informations- och cybersäkerhetstjänster sedan 2005. Våra kunder finns både i offentlig och privat sektor. Vi erbjuder heltäckande lösningar för informations- och cybersäkerhet. Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * * * pa| st|Sweden Canada h2|Cyberblog h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson pa|Informationssäkerhetsutbildningar och simulerade phishing-attacker utformade för era medarbetare. Vi planerar och genomför simulerade phishing-attacker i kampanjer utformade för er verksamhet. Genom detta kan ni kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Våra träningspaket ger era medarbetare förutsättningar för att upptäcka och hantera säkerhetsincidenter. Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer och kan även anpassas till er verksamhet. Vi har flera informationssäkerhetsutbildningar för organisationer verksamma inom vård & omsorg. Detta inkluderar även utbildningar inom nationell säkerhetsinfrastruktur som SITHS och HSA. Vi tillhandahåller flera olika typer av cybersäkerhetsutbildningar anpassade för olika sektorer och målgrupper. Vi erbjuder utbildning i cybersäkerhet till maritima sektorn till verksamma inom maritima sektorn med ansvar för säkerhets- och kvalitetsfrågor. Vår lärplattform för informationssäkerhet kan anpassas för er verksamhet. Så även simulerade phishingattacker för att träna medarbetare. Ta gärna kontakt med oss om du vill veta mer om detta. Tack! Vi återkommer till dig inom kort! st|Sweden Canada h2|Utbildning och säkerhetsmedvetande h3|Vi utbildar era medarbetare. Kontakta oss. h4| Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * * * pa|Please contact us if you are interested in our services by filling in this form. You may also email or call us to make an appointment. info@securestatecyber.com Sweden: +46 (0)8 412 00 399 Canada: +1 (902) 476 0540 di|Thank you! st|Sweden Canada h2|Contact us. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * First Name Last Name * * pa|Please contact us if you are interested in our services by filling in this form. You may also email or call us to make an appointment. info@securestatecyber.com Sweden: +46 (0)8 412 00 399 Canada: +1 (902) 476 0540 di|Thank you! st|Sweden Canada h2|Contact us. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * First Name Last Name * * pa|Fyll i detta formulär om du är intresserad av att veta mer om våra tjänster. Det går även bra att skicka e-post eller ringa oss för att boka ett möte. info@securestatecyber.com Sverige: +46 (0)8 412 00 399 Kanada: +1 (902) 476 0540 Tack! Vi återkommer till dig inom kort! st|Sweden Canada h2|Kontakta oss. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * * * pa|A cookie is a small text file that Secure State Cybers website requests to save on your computer in order to better provide you with access to different features and services. There are two different types of cookies. One has an expiration date and is therefore saved for a pre-defined period of time on your computer. For example, this type of cookies is used for statistical analysis of the traffic on the website. The other type of cookies lacks an expiration date and is instead referred to as session cookies. Session cookies are mainly used to facilitate your surfing experience and they are erased directly when you close your browser. For more information about cookies and how they work, please visit the PTS (Swedish Post and Telecom Authority) about cookies. Under the Electronic Communications Act, all visitors to a website with cookies must have access to information stating that the website contains cookies and the purposes for which cookies are used. Secure State Cyber strives to use as few cookies as possible on its website. However, some cookies must be used to provide security and improve the site and its features. Secure State uses the following cookies: These cookies are necessary for the website to function and cannot be switched off in our systems. They are usually only set in response to actions made by you which amount to a request for services, such as setting your privacy preferences, logging in or filling in forms. You can set your browser to block or alert you about these cookies, but some parts of the site will not then work. Cookies used Crumb (Session) siteUserCrumb (3y) RecentRedirect (30min) Locked (Session) ss_sd (Session) Test (Session) AWSALB, AWSALBCORS (1w) PSPSESSID (1m) These cookies allow us to count visits and traffic sources so we can measure and improve the performance of our site. They help us to know which pages are the most and least popular and see how visitors move around the site. All information these cookies collect is aggregated and therefore anonymous. If you do not allow these cookies we will not know when you have visited our site, and will not be able to monitor its performance. Cookies som används ss_cid (2y) ss_cvr (2y) ss_cvisit (30min) ss_cvt (30min) ss_cpvisit (2y) ss_cookieAllowed (30d) Most browsers accept cookies automatically. If you want to be alerted every time our site tries to save a cookie on your computer or if you want to turn off cookies completely, you can enable this through your browser’s security settings. For example, you can block or delete cookies in Microsoft Edge by clicking Settings> Advanced Settings> Privacy and Services> Cookies. For more information about changing the settings in your browser, please contact your browser’s support page or follow the links below. st|Sweden Canada h2|Cookie policy h3|How we use Cookies h4|Functional or strictly necessary cookies Targeting and Performance Cookies Block and turn off all cookies Secure State Cyber information site pa|Vi utvecklar er informationssäkerhet ur både ett tekniskt och juridiskt perspektiv, eftersom vi vill skapa trygghet för alla i det digitala samhället. Denna policy beskriver de personuppgifter vi samlar in samt hur de används och delas. Vår policy gäller alla Secure States Cybers tjänster och övrig kontakt med Secure State Cyber, såsom besök på webbplats ( ) och epostkommunikation. Vi kommer periodvis att uppdatera denna integritetspolicy. Alla ändringar till denna policy kommer att publiceras på denna sida, och vid viktiga ändringar kommer vi även att meddela detta tydligt på vår hemsida. Även om vi kommer göra vårt bästa för att meddela dig om förändringar i våran integritetspolicy uppmanar vi dig att periodiskt granska denna policy. Secure State Cyber är personuppgiftsansvarig för uppgifterna vi samlar in om dig och behandling som sker för ändamål och medel som bestäms av Secure State Cyber, t.ex. personuppgifter från besökare på vår webbplats och kunders kontaktuppgifter.När vi emellertid behandlar dina personuppgifter för en kunds räkning, t.ex. vid utförandet av våra tjänster, är vi enbart personuppgiftsbiträde. Vid dessa situationer ber vi er att istället kontakta den personuppgiftsansvarige, vanligtvis vår kund. Är ni osäkra på vem som är ansvarig får ni gärna kontakta oss så hjälper vi er att reda ut detta. När du besöker vår webbplats eller för att du ska kunna köpa våra tjänster eller kontakta oss för information eller service samlar vi i vissa fall in personuppgifter om dig, enligt nedan: Vi samlar in och behandlar personuppgifter som du lämnar till oss, t.ex. i samband med att du besöker vår webbplats, köper en viss tjänst, anmäler dig till vårt nyhetsbrev, kontaktar oss eller använder våra digitala kanaler. När du besöker vår hemsida registrerar vi information om din användning. Denna information omfattar vilka sidor du besöker och hur du beter dig på webbplatsen. Denna information kan omfatta operativsystem, webbläsarversion, IP-adresser, cookies och unika identifieringsfiler. Vänligen se vår cookie-policy för mer information. FÖR SECURE STATE CYBERS KUNDER: Vi behandlar dina personuppgifter för att: Uppfylla våra skyldigheter gentemot dig som kund, t.ex. administration, bearbetning och genomförande av inköp, fakturering och tillhandahållande av stöd Följa tillämplig lagstiftning, såsom t.ex. bokföringslagen FÖR DIG SOM PRENUMERERAT PÅ VÅRT NYHETSBREV OCH VISADE INTRESSE GENOM ATT FYLLA I VÅRT ONLINE FORMULÄR: Secure State Cyber behandlar dina personuppgifter för att: Kunna kommunicera med dig om erbjudanden, inbjudningar till events, och riktad marknadsföring av Secure State Cybers tjänster FÖR BESÖKARE PÅ VÅR HEMSIDA: Secure State Cyber behandlar dina personuppgifter för att: Analysera hur du beter sig på vår hemsida för att göra förbättringar i relation till användarupplevelse och användarvänlighet. Analysera vilka av våra sidor och tjänster som är mest intressanta för besökare. Vår behandling av dina personuppgifter görs utifrån följande lagliga grunder: FÖR SECURE STATE CYBERS KUNDER: Avtal och rättslig förpliktelse – För att uppfylla våra avtalsenliga och juridiska skyldigheter FÖR DIG SOM PRENUMERERAT PÅ VÅRT NYHETSBREV OCH VISADE INTRESSE GENOM ATT FYLLA I VÅRT ONLINE FORMULÄR: Samtycke – Som du lämnar vid anmälan till vår epostprenumeration FÖR BESÖKARE PÅ VÅR HEMSIDA: Samtycke – För icke nödvändig behandling, såsom statistik Intresseavvägning – För behandling som är nödvändig för att vi ska kunna tillhandahålla en snabb och användarvänlig hemsida eller för att du ska kunna besöka den IT-LEVERANTÖRER För att tekniskt kunna behandla dina personuppgifter kan de komma att överföras till de IT-leverantörer som tillhandahåller våra plattformar/CRM-system. I dessa fall har vi genom personuppgiftsbiträdesavtal ställt krav på leverantören för att försäkra oss om att de hanterar uppgifterna på ett bra och säkert sätt. TREDJE LAND Skulle dina personuppgifter hanteras utanför EU/EES-området (tredje land) så berättar vi det för dig i samband med relevanta processer. Hanteringen sker i så fall i enlighet med de skyddsregler som finns i dataskyddslagstiftningen. I dagsläget sker ingen sådan överföring. Vi sparar dina personuppgifter så länge det finns ett syfte med hanteringen. När detta syfte eller ändamål inte längre finns, till exempel om ett avtal inte längre gäller eller ärendet är färdigbehandlat, kommer dina personuppgifter att hanteras enligt de lagregler som gäller för arkivering och för att kunna bemöta eventuella rättstvister.Gällande marknadsföring, lagrar vi uppgifter om våra kunder i högst 24 månader efter att kunden fullgjort ett inköp eller på annat sätt interagerat med Secure State Cyber. Därefter raderas uppgifterna från systemet. Antingen på din uppmaning eller på eget initiativ kan Secure State Cyber korrigera, anonymisera, radera eller komplettera personuppgifter som är felaktiga, ofullständiga eller vilseledande. Du har rätt att återkalla ditt samtycke till behandling av personuppgifter när som helst, med omedelbar verkan och utan kostnad. Du kan göra detta genom att kontakta Secure State Cyber. Om du inte vill att Secure State Cyber ska behandla dina personuppgifter för direktmarknadsföring har du rätt att invända genom att kontakta oss. När vi mottar din invändning, upphör vi att behandla dina personuppgifter för marknadsföring. Du har även rätt att invända mot vår behandling av dina personuppgifter som baserats på en intresseavvägning. I sådana fall kommer Secure State Cyber endast att fortsätta behandlingen om det finns berättigade intressen som skulle väga tyngre än dina intressen. RÄTTIGHETER HOS SECURE STATE CYBER Du har rätt att begära: Tillgång till dina personuppgifter, till exempel registerutdrag eller kopior av dina personuppgifter Korrigering av dina personuppgifter på din förfrågan Radering av dina personuppgifter, om fortsatt behandling inte längre är nödvändig i relation till syftet för vilka de samlades in. Detta förutsatt att det inte finns lagkrav som hindrar oss från omedelbart radera dina personuppgifter i enlighet med, till exempel, bokförings- och skattelagstiftning Begränsningar av behandling om du tror att personuppgifterna är felaktiga och du har begärt en korrigering Utdrag och överföring av dina personuppgifter via ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig, under vissa förutsättningar Du har rätt att lämna in klagomål angående våra personuppgiftsbehandlingar till Datainspektionen ( ). Vi kommer periodvis att uppdatera denna integritetspolicy. Alla ändringar till denna policy kommer att publiceras på denna sida, och vid viktiga ändringar kommer vi även att meddela detta tydligt på vår hemsida. Även om vi kommer göra vårt bästa för att meddela dig om förändringar i våran integritetspolicy uppmanar vi dig att periodiskt granska denna policy. Se vår st|ÄNDAMÅL LAGLIG GRUND Sweden Canada h2|Integritetspolicy h4|Personuppgiftsansvarig Personuppgiftsinsamling UPPGIFTER SOM DU SJÄLV LÄMNAR TILL OSS UPPGIFTER SOM SAMLAS IN NÄR DU BESÖKER VÅR HEMSIDA Personuppgiftanvändning Personuppgiftsdelning Sparade uppgifter Hantering och radering Policyförändring Cookies Secure State Cyber pa|We develop your information security from both a technical and legal perspective, with the goal to create security for everyone in the digital society. This policy describes the personal information we collect and how it is used and shared. Our policy applies to all Secure States Cyber services and other contact with Secure State Cyber, such as website visits (www.securestatecyber.com) and email communications. The privacy policy will be updated periodically. All changes to the policy will be published on this page, and in the event of significant changes, we will clearly state this on our website. Although we will do our best to notify you of changes to our privacy policy, we encourage you to periodically review this policy. Secure State Cyber is the data controller and personally responsible in regard to the information we collect about you and the processing that occurs for purposes and with means determined by Secure State Cyber, such as, personal information from visitors on our site and customer contact information. However, when we process your personal information on behalf of a customer, such as when carrying out our services, we act solely as data processors. In these situations, please contact the data controller responsible, usually our customer. If you are unsure of who is responsible data controller, feel free to contact us and we will assist you in finding out. When visiting our web site or in order to purchase our services or contact us for information or assistance, we may collect personal information about you, such as: We collect and process personal information that you provide to us, such as, in connection to visiting our site, buying a particular service, signing up for our newsletter, contacting us or using our digital channels. When you visit our website, we record information about your visit. This information includes the pages you visit and your user behavior. This information may include operating systems, browser versions, IP addresses, cookies, and unique file identifiers. Please see our for more information. We process your personal information to:Meet our obligations to you as a customer, such as administration, processing and carrying out purchases, invoicing and provision of supportFollow applicable legislation, such as the accounting act IF YOU SUBSCRIBED TO OUR NEWSLETTER AND SHOWED INTEREST BY FILLING IN OUR ONLINE FORM: Secure State Cyber process your personal information to:Be able to communicate with you about promotions, invitations to events, and targeted marketing of Secure State Cyber services VISITORS OF OUR WEBSITE: Secure State Cyber process your personal information to:Analyze how you behave on our website to make improvements in relation to user experience and user friendliness.Analyze which of our pages and services are most interesting to visitors. Legal Basis: IF YOU SUBSCRIBED TO OUR NEWSLETTER AND SHOWED INTEREST BY FILLING IN OUR ONLINE FORM: Consent – Is provided when you sign up for our email subscription VISITORS OF OUR WEBSITE: Consent – For unnecessary treatment, such as statisticsLegitimate interests – For treatment necessary to provide a quick and user-friendly website or to enable you visiting it In order to technically process your personal information, it may be transferred to the IT providers who provide our platforms or CRM systems. In these cases, we have made demands on the supplier through the means of data processor agreements to ensure that they handle the information in a safe and secure way. Should your personal data be processed outside the EU / EEA area (third country), we will tell you in connection with relevant processes. In such cases, processing will be in accordance with the protection rules stated in the General Data Protection Regulation (GDPR). Currently, no such transfer occurs. We will store your personal information as long as there is relevant purpose in relation to the processing. When this purpose is no longer relevant, for example, if a contract is no longer valid or the case has been closed, your personal information will be handled in accordance with the laws applicable to archiving and possible litigations. In regard to marketing, we store information about our customers for a maximum of 24 months after the customer has completed a purchase or otherwise interacted with Secure State Cyber. Thereafter, the data is deleted from the system. Either on your request or on your own initiative, Secure State Cyber may correct, anonymise, delete or supplement personal information that is incorrect, incomplete or misleading. You are entitled to revoke your consent to the processing of personal data at any time, with immediate effect and free of charge. You can do this by contacting Secure State Cyber through the following link. If you do not want Secure State Cyber to process your personal data for purposes of direct marketing, you have the right to object by contacting us here. When we receive your objection, we cease the processing of your personal information for marketing purposes. You also have the right to object to processing of your personal data that is based on legitimate interests. In such cases, Secure State Cyber will only continue treatment if there are legitimate interests that would weigh heavier than your personal interests. You are entitled to request: Access to your personal information, such as registry extracts or copies of your personal information Correction of your personal information on your request Deletion of your personal data, if continued processing is no longer necessary in relation to the purpose for which they were collected. This is provided that there are no legal requirements that prevent us from immediately deleting your personal information in accordance with, for example, accounting and tax laws Limitation of treatment if you believe that your personal information is incorrect, and you have requested a correction Extract and transfer of your personal data via a structured, widely used and machine-readable format to another data controller, under certain conditions You are entitled to file a complaint regarding our personal data processing to the Data inspection ( ). We will periodically update this privacy policy. All changes to this policy will be published on this page, and in the event of significant changes, we will also clearly state this on our website. Although we will do our best to notify you of changes to our privacy policy, we encourage you to periodically review this policy. See our st|Sweden Canada h2|Privacy Policy h4|Data Controller Collection INFORMATION THAT YOU PROVIDE US WITH INFORMATION THAT IS COLLECTED WHEN YOU VISIT OUR WEBSITE Processing Purpose: SECURE STATE CYBER CUSTOMERS: Sharing IT SUPPLIERS THIRD COUNTRY Storing Processing and deleting RIGHTS AT SECURE STATE CYBER Change communication Cookies Secure State Cyber pa|Vi planerar och genomför simulerade phishing-attacker i kampanjer utformade för er verksamhet. Genom detta kan ni kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Våra träningspaket ger era medarbetare förutsättningar för att upptäcka och hantera säkerhetsincidenter. st|Simulerade phishing-attacker Sweden Canada h4|Secure State Cyber pa|Cybersecurity training and simulated phishing campaigns for your organization. We plan and execute simulated phishing attacks to train your employees to detect and respond to malicious email-attacks. Through advanced metrics the organization can track risk behaviour of employees, departments and build cyber awareness. Employee awareness level is crucial to cybersecurity. Our cyber awareness and e-learning programs build your team’s ability to detect and respond to cyber incidents. Our e-learning programs are tailored for cybersecurity in different sectors such as healthcare, critical infrastructure, shipping, etc. Our cybersecurity courses are tailored for different sectors and target groups. This course covers in detail the new IMO requirements and guidelines. The course is developed for safety & security officers and quality managers in the shipping and offshore industries. Our e-learning platform for information security and cybersecurity training can be tailored for your organisation, including simulated phishing campaigns. Please get in touch if you want to know more about this. Thank you! We will get back to you shortly. st|Sweden Canada h2|Cybersecurity Training and e-learning h3|We train your employees. Get in touch. h4| Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: * First Name Last Name * * pa|Ett ransomware-angrepp kan få till följd att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte tillgänglig för medarbetarna. I många fall stjäls även information och sedan hotar angriparna med att publicera den känsliga informationen om inte en lösensumma betalas. För att skydda sig mot dessa typer av attacker behöver organisationer se till att arbeta med förebyggande åtgärder som systematiskt informationssäkerhetsarbete, säkerhetskopiering av information och möjlighet att återställa it-miljön snabbt i händelse av en attack. Sist men inte minst behöver medarbetarna övas så att de höjer sitt säkerhetsmedvetande. Läs mer om MSB:s varning på följande . Läs mer om vår digitala träning av medarbetare för att minska risken för att drabbas av ransomware vid en phishingattack . di|Written By Previous Previous Next Next st|Sweden Canada h1|Ökat hot från Ransomware-aktörer h2|Ny lag om tystnadsplikt vid IT-outsourcing Cyberspionage mot svenska företag h3|MSB varnar aktörer inom svensk hälso- och sjukvård h4|Ransomware-angrepp Skydda organisationen Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Nov 2 Ulrika Nilsson em|Sjukvården i USA har den senaste tiden blivit utsatt för större hot från ransomware-aktörer och nu varnar den svenska myndigheten för samhällsskydd och beredskap (MSB) om ökade hot mot svensk hälso- och sjukvård. pa|We plan and execute simulated phishing attacks to train your employees to detect and respond to malicious email-attacks. Through advanced metrics the organization can track risk behaviour of employees and departments and build cyber awareness. st|Simulated Phishing Sweden Canada h4|Secure State Cyber pa|Cybersecurity for managers Simulated phishing campaigns st|Cybersecurity training Sweden Canada h4|Secure State Cyber pa|In 2021 new international regulations for maritime cybersecurity will become mandatory. This course is developed for safety & security officers and quality managers in the shipping and offshore industries. The course covers in detail the new IMO requirements and guidelines. st|Sweden Canada h2|Maritime cybersecurity training h4|Secure State Cyber pa|Publicerad den mars 25, 2020 Hur kan du säkra företaget och dess medarbetare när många arbetar hemifrån? Läs våra råd! di|Written By Previous Previous st|Sweden Canada h1|Arbeta säkert hemifrån h2|Cyber-säkerhet i ett styrelse-perspektiv - Introduktion h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 16 Henrik Ottosson pa|Published on March 25, 2020 Staying protected while working from home How can you keep business operations and your workforce safe from cybercrime when your employees are working remotely or using personal devices to access company information? Basically There are two areas that you need to adress! Please read our advice! di|Written By Previous Previous Next Next st|Sweden Canada h1|Secure working from home h2|Cyber-security presentation at the H2O conference in Canada Maritime Cyber-security h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 16 Henrik Ottosson pa|Katalogtjänst HSA är en elektronisk katalog som innehåller kvalitetsgranskade uppgifter om personer och verksamheter inom svensk vård och omsorg. HSA används som underlag för säkerhetslösningar inom vård och omsorg. Vi tillhandahåller grundutbildning och fördjupningsutbildning för HSA-ansvariga, HSA-administratörer m.fl. som behöver ha kunskap om HSA Katalogtjänst. Identifieringstjänst SITHS är en säkerhetslösning inom vård och omsorg för utfärdande och användning av e-legitimationer för anställda. SITHS gör det möjligt för användare att identifiera sig med stark autentisering vid inloggning i e-tjänster. Vi tillhandahåller utbildning för SITHS-ansvariga, Säkerhetsansvariga och id-administratörer m.fl. som behöver ha kunskap om Identifieringstjänst SITHS. Vi tillhandahåller en lärplattform för organisationer anslutna till SITHS och HSA där ansvarig och administratörer får kontinuerlig tillgång till uppdaterade utbildningar. st|Informationssäkerhetsutbildningar för Vård och omsorg Sweden Canada h3|HSA-utbildning SITHS-utbildning Lärplattform SITHS och HSA h4|Secure State Cyber pa|Har er organisation behov av en flexibel lösning för utbildning inom SITHS och HSA? Vår lärplattform ger möjlighet till online-åtkomst till våra utbildningar inom SITHS och HSA för id-administratörer, katalogadministratörer och ansvariga inom SITHS och HSA. Vi erbjuder både grundläggande utbildningar och påbyggnadsutbildningar inom områdena. Kurserna är tillgängliga dygnet runt och uppdateras löpande när regelverk och annat förändras. Det finns även möjlighet att göra utbildningarna anpassade till er organisations administrativa rutiner om så önskas. Kurserna utförs online när deltagaren själv vill. Kurserna är indelade i olika delområden och deltagaren tar vid där man slutade om man väljer att göra kursmomenten uppdelat. Till kurserna finns möjlighet för ansvariga att koppla kunskapstest och följa hur organisationen ligger till gällande utbildningsnivå. st|Sweden Canada h3|Lärplattform för SITHS och HSA h4|Secure State Cyber pa|Våra HSA-utbildningar vänder sig till dig som arbetar med eller, vill veta mer om Katalogtjänst HSA som används inom svensk vård och omsorg som identitetshantering av medarbetare och underlag för säkerhetslösningar och behörighetsstyrning. Vi har tre HSA-utbildningar: – en grundläggande utbildning kring hur HSA fungerar. Pris: 5 900 kr per person. – en tilläggsutbildning till HSA Grundutbildning som riktar sig till HSA-administratörer som behöver lära sig hur HSA Admin-verktyget fungerar. Pris: 3 900 kr per person. – en utbildning som ger dig djupgående kunskaper kring HSA med fokus på behörighetshantering enligt patientdatalagen, vårdgivare och vårdenheter, hanteringen av legitimationer för legitimerade yrkesgrupper och personal med skyddade personuppgifter. Pris: 6 900 kr. Kommande kursdatum hittar du nedan. Vi erbjuder även denna utbildning i vår Lärplattform för SITHS och HSA, för mer information om det vänligen kontakta . HSA Grundutbildning 4 februari onlinekurs, 23 mars onlinekurs, 4 maj onlinekurs, HSA Adminutbildning 10 februari onlinekurs, 24 mars onlinekurs, 5 maj onlinekurs, Om inget av ovanstående tillfällen passar, eller om ni har speciella önskemål runt utbildningen, kontakta gärna oss genom att skicka meddelande till . st|VÅRD OCH OMSORG - HSA HSA Grundutbildning HSA Adminutbildning HSA Fördjupningsutbildning Sweden Canada h3|Kommande utbildningar: h4|Secure State Cyber pa|Våra SITHS-utbildningar vänder sig till vård och omsorgssektorn och dig som är SITHS Ansvarig Utgivare, Säkerhetsansvarig eller Id-kortsadministratör i en SITHS-ansluten organisation samt till dig som vill veta mer om SITHS säkerhetsinfrastruktur. Vi tillhandahåller följande utbildningar inom SITHS-området: denna utbildningen riktar sig till dig som ansvarar för SITHS-frågor, säkerhetsansvariga samt id-kortsadministratörer. Pris 5 900 kr. Kommande kurstillfällen samt anmälning hittar du nedan. Vi kan även tillhandahålla denna utbildning inom ramen för lärplattform SITHS och HSA, för mer information om vår lärplattform vänligen kontakta SITHS-utbildning: 25 mars, onlinekurs, 6 maj, onlinekurs, Om inget av ovanstående tillfällen passar, eller om ni har speciella önskemål runt utbildningen, kontakta gärna oss genom att skicka meddelande till . st|VÅRD OCH OMSORG - SITHS SITHS-utbildning – Sweden Canada h4|Kommande utbildningar Secure State Cyber pa|Cybersäkerhetsutbildning för ledningen Cybersäkerhetsutbildning för samhällskritisk verksamhet Simulerade phishing-kampanjer st|Cybersäkerhetsutbildningar Sweden Canada h4|Secure State Cyber pa|Att säkra verksamhetens tillgångar och skapa tillit hos kunder och partners är avgörande för affärerna. Cybersäkerhet och integritetsskydd är en ledningsfråga. Denna cybersäkerhetsutbildning riktar sig till personer i ledande befattning, till exempel ledningsgrupper och styrelsemedlemmar. Utbildningen fokuserar på planering, styrning och riskuppföljning inom organisationen, för att kontrollera risknivå och säkra verksamhetens kontinuitet. st|Sweden Canada h2|Cybersäkerhetsutbildning för ledningen h4|Secure State Cyber pa|Det finns genom GDPR ett starkt skydd för personuppgifter i EU. Eftersom detta skydd endast gäller inom EU finns det en grundregel om att personuppgifter inte får överföras till ett land som inte har samma, eller likvärdiga, skyddsregler. Sådana länder kallas för och det är som huvudregler förbjudet att överföra personuppgifter dit. Huvudregeln har ett antal undantag. Det mest använda undantaget är handelsavtalet mellan USA och EU som kallas Privacy Shield, som är en självcertifieringsmöjlighet för amerikanska bolag att visa att de genom egna rutiner och processer skyddar personuppgifter på ett likvärdigt sätt. Det finns även möjlighet att ingå EU-kommissionens standardavtalsklausuler mellan två parter där parterna genom avtalet garanterar att de genom egna rutiner och processer ska skydda personuppgifterna. Den österrikiske juristen och integritetsaktivisten Max Schrems gjorde i det s.k. Schrems II-målet gällande att Facebook var skyldig att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA). Dessa uppgifter användes sedan inom ramen för olika övervakningsprogram på ett sätt som var oförenligt med rätten till privatliv, dataskydd och rätten till effektiva rättsmedel vid en domstol vilket i praktiken, menade Schrems, innebar att skyddet som Privacy Shield och kommissionens standardvillkor var verkningslösa. För att göra en lång historia kort: EU-domstolen valde att ogiltigförklara Privacy Shield. Sedan den 16 juli 2020 kan med andra ord Privacy Shield inte längre användas som en skyddsmekanism för överföring till USA. Vi fick också närmare vägledning om användningen av standardavtalsklausulerna, vilket är i fokus för denna artikel. I praktiken påverkar Schrems II-domen betydligt fler scenarion än överföring av personuppgifter till USA. Till exempel finns det viktiga världsekonomier som har ett ännu sämre lagskydd för personlig integritet än USA – under vilka förutsättningar kan uppgifter överföras till Kina? Först är det dock nödvändigt att närmare klargöra vad som avses med av personuppgifter till ett tredje land, eftersom det är överföring som standardavtalsklausulerna omfattar. Med överföring avses inte endast att personuppgifter fysiskt lagras på en server i ett tredje land. Andra former av överföring är om en användare i ett tredje land har behörig åtkomst till personuppgifter från EU/EES. En HR-medarbetare som mejlar en mottagare i USA med uppgifter om anställda i ett europeiskt koncernbolag överför personuppgifter till USA. En medarbetare på affärsresa i Kina som loggar in på ett system och därigenom får åtkomst till uppgifter om europeiska kunder överför personuppgifter till Kina. Överföring av personuppgifter kan med andra ord ske i många olika former. EU-domstolen prövade i Schrems II om standardavtalsklausulerna som kommissionen har antagit är korrekta. EU-domstolens svar var att standardavtalsklausulerna kan användas, men den personuppgiftsansvarige kan inte enbart luta sig mot dessa. Klausulerna måste fallet ge en skyddsnivå som ger en för registrerade som den som finns i EU på grundval av GPDR. De krav som ställs på organisationer som vill överföra personuppgifter till USA är därför långtgående. EU-domstolen tar även tillfället i akt att påminna om att Datainspektionen och andra europeiska tillsynsmyndigheter är skyldiga att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardavtalsklausulerna inte iakttas eller inte kan iakttas i det tredjelandet. Standardavtalsklausulerna utgör i praktiken den primära skyddsmekanismen för överföring av personuppgifter under en överskådlig framtid. Det är därför nödvändigt att hitta en lösning på när och hur standardavtalsklausulerna kan användas. Därför presenterar vi här hur på Secure State Cyber arbetar med dessa bedömningar inom ramen för vår rådgivning. Inledningsvis har den personuppgiftsansvarige en ansvarsskyldighet, d.v.s. en skyldighet enlig lag att kunna visa för en tillsynsmyndighet att de grundläggande principerna för behandling av personuppgifter efterlevs. Det första steget bör därför vara att kartlägga befintlig och planerad tredjelandsöverföring, till vilka tredjeländer personuppgifter överförs samt vilka skyddsmekanismer som kan tillämpas. Vid kartläggningen är det viktigt att komma ihåg att överföring även innefattar behörig åtkomst av personuppgifter (se avsnitten Vad är en överföring, ovan). Denna kartläggning ska dokumenteras i organisationens registerförteckning. En registerförteckning är, som namnet antyder, en förteckning över den behandling av personuppgifter som sker under organisationens ansvar. Denna registerförteckning ska kunna visas för Datainspektionen på begäran och bör utgöra grunden för bedömningar om standardavtalsklausuler kan och bör användas. Vi rekommenderar att ni kontaktar mottagare av personuppgifter i tredje land – särskilt USA – för att höra hur de ställer sig till det ändrade rättsläget efter Schrems II. Mottagare kan vara tjänsteleverantörer, personuppgiftsbiträden (som behandlar personuppgifter på ert uppdrag) men även kunder och samarbetspartners. Ställ förhållandevis öppna frågor av karaktären ”vad innebär det för er att Privacy Shield blivit ogiltigförklarad?” I detta steget bör ni inte teckna några avtal, särskilt inte utan att konsultera sakkunniga. Syftet är att inhämta information som är värdefullt för kartläggning och andra bedömningar. När en organisation har kartlagt vilka överföringar som sker är det nödvändigt att utvärdera överföringarna eftersom, som EU-domstolen konstaterar, det är nödvändigt att göra en bedömning . Det är nödvändigt att besvara frågor som (1) för vilket eller vilka ändamål överförs personuppgifterna, (2) ska personuppgifterna vidareöverföras till andra tredjeländer, (3) vilka personuppgifter överförs, och (4) vad är mängden personuppgifter som överförs? Det kommer vara svårare att motivera en storskalig överföring av känsliga personuppgifter (som t.ex. omfattas av sekretess enligt offentlighets- och sekretesslagen) än småskalig överföring i enstaka fall av uppgifter som inte är av känslig art. Mot denna bakgrund bör den personuppgiftsansvarige göra en analys om mottagarlandets lagstiftning. Hur långtgående och detaljerad denna analys behöver vara behöver bedömas i förhållande till den aktuella överföringen. Vid en storskalig överföring till en molntjänst kan det till exempel vara lämpligt att ta hänsyn om molntjänsteleverantören har en skyldighet att lämna ut data till rättsvårdande myndigheter, rättssäkerhetsgarantier för enskilda personer vid en sådan begäran (som möjligheten att överklaga en begäran) samt det mandat som mottagarlandets tillsynsmyndigheter har. Parallellt med bedömningen om personuppgifter ska få överföras till ett tredje land och på grundval av standardavtalsklausuler eller en annan skyddsmekanism är det också nödvändigt att bedöma vilka som är lämpliga för att skydda personuppgifter. Om personuppgifter som planeras överföras endast ska tekniskt bearbetas genom lagring och säkerhetskopiering kan kryptering av data medföra en minskad risk för att den personliga integriteten äventyras. Om mottagaren i ett tredje land däremot ska kunna läsa eller ta del av den lagrade data är kryptering en mindre lämplig skyddsåtgärd. Vad som är en lämplig nivå av säkerhetsåtgärder behöver bedömas utifrån den aktuella överföringen. Det är inget uttryckligt krav men vi rekommenderar att den personuppgiftsansvarige samråder med dataskyddsombudet och ber om dennes rekommendation om standardavtalsklausuler är en lämplig skyddsmekanism för den aktuella överföringen. Vid en tillsyn av Datainspektionen bör det vara till den personuppgiftsansvariges fördel att dataskyddsombudet konsulterats och att detta dokumenteras. Efter dataskyddsombudets rekommendation är det lämpligt att fatta beslut om den aktuella överföringen ska ske, och om standardavtalsklausuler är en lämplig skyddsmekanism. Avslutningsvis har den personuppgiftsansvarige en informationsskyldighet där registrerade personer ska informeras om att personuppgifter avses överföras till ett tredje land. Denna information ska inkludera vilket det aktuella tredjelandet är, om ett beslut från EU-kommissionen om adekvat skyddsnivå finns eller saknas, samt vilken skyddsmekanism som används och hur den registrerade personen kan ta del av en kopia av skyddsmekanismen. Om standardavtalsklausuler används har den registrerade personen med andra ord en principiell rättighet att ta den av en kopia en de standardavtalsklausuler som tecknats. All denna information ska enligt GDPR tillhandahållas överföringen av personuppgifter sker, med ett språk som är klart och tydligt för den avsedda målgruppen. Den bedömning som behöver göras innan standardavtalsklausuler kan tecknas är mycket komplex. Därför är det viktigt att ha en tydlig arbetsmetod som bedömningarna görs utifrån. Det ger även organisationen möjlighet att prioritera arbetet utifrån de överföringar som är förknippade med en högre risk. Sist men inte minst bör denna bedömning dokumenteras steg för steg för att möjliggöra en granskning. Det är en sak att ha rätt och en annan sak att få rätt, i kontexten GDPR måste den personuppgiftsansvarige alltid komma ihåg att denne ska kunna visa efterlevnad. 2020-09-07 Secure State Cyber AB Bestämmelserna omfattar även överföring till internationella organisationer, det är dock inget som utvecklas närmare i denna artikel. Mål C-311/18 (”Schrems II”). Artikel 7, 8 och 47 Rättighetsstadgan. EU-domstolen har utvecklat vad som avses med överföring i mål C-101/01 . di|Written By Previous Previous Next Next st|En guide till möjligheten att använda standardavtalsklausuler för att överföra data till USA och andra länder utanför EU Bakgrund – Schrems II-målet Vad är en överföring? Standardavtalsklausulerna Hur kan standardavtalsklausuler användas? Avslutande ord Sweden Canada h1|Standardavtalsklausuler för överföring av data till tredjeland h2|Cyberspionage mot svenska företag MSB varnar för phishing-attacker med COVID-19-skepnad h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Sep 11 Ulrika Nilsson em|EU-domstolens dom i det s.k. Schrems II-målet slog ned som en bomb mitt i industrisemestern och kapade i ett slag handelsavtalet Privacy Shield som utgjorde den juridiska grunden i det transatlantiska dataflödet. Kvar står EU-kommissionens s.k. standardavtalsklausuler som det primära juridiska verktyget för överföring av data till USA, men också överföring till resten av världen. EU-domstolens dom väckte dock fler frågor än vad domen besvarade om hur standardavtalsklausulerna kan användas. I denna artikel vill juristteamet på Secure State Cyber ge en sammanfattning på den metod vi använder oss av i vår rådgivning. tredje land överföring i det enskilda väsentligen likvärdig skyddsnivå eller ett annat tredje land Steg 1: kartlägga befintlig och planerad tredjelandsöverföring Steg 2: kontakta mottagare i tredje land, särskilt USA Steg 3: bedöm den aktuella överföringen i det enskilda fallet Steg 4: analys av mottagarlandet Steg 5: säkerhetsåtgärder tekniska och organisatoriska säkerhetsåtgärder Steg 6: samråd med dataskyddsombudet och beslut Steg 7: informera de registrerade innan Facebook Ireland v. Schrems Konfirmandlärarmålet pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson pa|Securing company assets and gaining trust from customers and partners are crucial parts in today’s business. Cybersecurity and data privacy are management issues. This cybersecurity course is developed for executive managers and board members. The course focuses on cybersecurity governance, risk and compliance in organizations to track risk levels and assure business continuity. st|Sweden Canada h2|Cybersecurity training for managers h4|Secure State Cyber pa|En kaka (eller cookie) är en liten textfil som Secure State Cybers webbplats begär att få spara på din dator för att bättre kunna ge dig som besökare tillgång till olika funktioner och tjänster. Det finns två olika typer av kakor. Den ena typen har ett utgångsdatum och sparas därför under en längre tid på din dator. Dessa kakor används t.ex för statistisk och analys av trafiken på en webbplats. När utgångsdatumet har passerat, raderas kakan automatiskt. Den andra typen av kakor saknar utgångsdatum och kallas istället för sessions-kakor. Sessions-kakor används huvudsakligen för att underlätta ditt surfande och raderas direkt när du stänger din webbläsare. För mer information om kakor och hur de fungerar, vänligen besök PTSs (Post- och telestyrelsen) om kakor. Alla som besöker en webbplats som använder kakor måste enligt lagen om elektronisk kommunikation få information om att webplatsen innehåller kakor, vad de används till och hur man kan välja bort dem. Secure State Cyber strävar efter att använda så få kakor som möjligt på sin webbplats, men för att kunna tillhandahålla, säkra och förbättra webbplatsen och dess funktioner används följande kakor: Dessa cookies är funktionella eller strikt nödvändiga för att webbplatsen ska fungera och kan inte stängas av i våra system. De används vanligtvis endast som svar på åtgärder som du har gjort i anslutning till en tjänstebegäran, till exempel när du ställer in personliga preferenser, loggar in eller fyller i ett formulär. Du kan ställa in så att din webbläsare blockerar eller varnar dig om dessa cookies, men vissa delar av webbplatsen fungerar då inte. Cookies som används Crumb (Session) siteUserCrumb (3 år) RecentRedirect (30 min) Locked (Session) ss_sd (Session) Test (Session) AWSALB, AWSALBCORS (1 veckq) PSPSESSID (1 månad) Dessa cookies tillåter oss att räkna antal besök och trafikkällor så att vi kan mäta och förbättra vår webbplatsprestanda. De hjälper oss att veta vilka sidor som är mer eller mindre populära och hur besökare navigerar runt på webbplatsen. Informationen som dessa cookies samlar in är aggregerad och därför helt anonym. Om du inte tillåter dessa cookies vet vi inte när du har besökt vår webbplats. Cookies som används ss_cid (2 år) ss_cvr (2 år) ss_cvisit (30 min) ss_cvt (30 min) ss_cpvisit (2 år) ss_cookieAllowed (30 dagar) De flesta webbläsare accepterar kakor automatiskt. Om du som besökare vill bli varnad varje gång vår webbplats försöker sätta en kaka på din dator eller om du inte accepterar att kakor lagras på din dator, kan du ställa in detta via din webbläsares säkerhetsinställningar. Exempelvis kan du i Microsoft Edge blockera eller radera kakor genom att klicka Inställningar > Avancerade inställningar > Sekretess och tjänster > Cookies För mer information om hur du ändrar inställningarna i din webbläsare, vänligen kontakta din webbläsares supportsida eller följ länkar nedan. st|Sweden Canada h2|Cookie-policy h3|Så här använder Secure State Cyber cookies h4|Funktionella och nödvändiga cookies Analys och prestanda-cookies BLOCKERA OCH STÄNG AV ALLA KAKOR Secure State Cyber pa|En kaka (eller cookie) är en liten textfil som Secure State Cybers webbplats begär att få spara på din dator för att bättre kunna ge dig som besökare tillgång till olika funktioner och tjänster. Det finns två olika typer av kakor. Den ena typen har ett utgångsdatum och sparas därför under en längre tid på din dator. Dessa kakor används t.ex för statistisk och analys av trafiken på en webbplats. När utgångsdatumet har passerat, raderas kakan automatiskt. Den andra typen av kakor saknar utgångsdatum och kallas istället för sessions-kakor. Sessions-kakor används huvudsakligen för att underlätta ditt surfande och raderas direkt när du stänger din webbläsare. För mer information om kakor och hur de fungerar, vänligen besök PTSs (Post- och telestyrelsen) om kakor. Alla som besöker en webbplats som använder kakor måste enligt lagen om elektronisk kommunikation få information om att webplatsen innehåller kakor, vad de används till och hur man kan välja bort dem. Secure State Cyber strävar efter att använda så få kakor som möjligt på sin webbplats, men för att kunna tillhandahålla, säkra och förbättra webbplatsen och dess funktioner används följande kakor: Dessa cookies är funktionella eller strikt nödvändiga för att webbplatsen ska fungera och kan inte stängas av i våra system. De används vanligtvis endast som svar på åtgärder som du har gjort i anslutning till en tjänstebegäran, till exempel när du ställer in personliga preferenser, loggar in eller fyller i ett formulär. Du kan ställa in så att din webbläsare blockerar eller varnar dig om dessa cookies, men vissa delar av webbplatsen fungerar då inte. Cookies som används Crumb (Session) siteUserCrumb (3 år) RecentRedirect (30 min) Locked (Session) ss_sd (Session) Test (Session) AWSALB, AWSALBCORS (1 veckq) PSPSESSID (1 månad) Dessa cookies tillåter oss att räkna antal besök och trafikkällor så att vi kan mäta och förbättra vår webbplatsprestanda. De hjälper oss att veta vilka sidor som är mer eller mindre populära och hur besökare navigerar runt på webbplatsen. Informationen som dessa cookies samlar in är aggregerad och därför helt anonym. Om du inte tillåter dessa cookies vet vi inte när du har besökt vår webbplats. Cookies som används ss_cid (2 år) ss_cvr (2 år) ss_cvisit (30 min) ss_cvt (30 min) ss_cpvisit (2 år) ss_cookieAllowed (30 dagar) De flesta webbläsare accepterar kakor automatiskt. Om du som besökare vill bli varnad varje gång vår webbplats försöker sätta en kaka på din dator eller om du inte accepterar att kakor lagras på din dator, kan du ställa in detta via din webbläsares säkerhetsinställningar. Exempelvis kan du i Microsoft Edge blockera eller radera kakor genom att klicka Inställningar > Avancerade inställningar > Sekretess och tjänster > Cookies För mer information om hur du ändrar inställningarna i din webbläsare, vänligen kontakta din webbläsares supportsida eller följ länkar nedan. st|Sweden Canada h2|Cookie-policy h3|Så här använder Secure State Cyber cookies h4|Funktionella och nödvändiga cookies Analys och prestanda-cookies BLOCKERA OCH STÄNG AV ALLA KAKOR Secure State Cyber pa|Denna utbildning innefattar både grundläggande cybersäkerhet och aktuell lagstiftning som gäller för samhällskritisk verksamhet. Utbildningen omfattar genomgång av gällande lagstiftning såsom dataskyddsförordningen (GDPR), NIS och säkerhetsskyddslagen samt detaljerade beskrivningar av vägledningar och rekommendationer för att åstadkomma effektiv informationssäkerhetsstyrning i verksamheten. Utbildningen riktar sig till säkerhetschefer, säkerhetsskyddschefer, inköpare, och andra beslutsfattare inom samhällsviktig verksamhet. st|Cyberssäkerhetsutbildning för samhällskritisk verksamhet Sweden Canada h4|Secure State Cyber pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson pa|Under 2021 införs nya internationella regler kring cybersäkerhet för maritima sektorn. Denna utbildning går igenom de nya kraven utifrån IMO:s regelverk och vägledningar. Utbildningen riktar sig till verksamma inom maritima sektorn med ansvar för säkerhets- och kvalitetsfrågor. st|Cybersäkerhetsutbildning för maritima sektorn Sweden Canada h4|Secure State Cyber pa| st|Sweden Canada h2|Cyberblog h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson pa|Svenska säkerhetspolisen anser att svenska företag behöver öka sitt skydd mot cybersäkerhet. Årligen försvinner miljarder på grund av cyberspionage. Det är viktigt att svenska företag förstår vikten av att skydda sig mot detta. Läs mer . di|Written By Previous Previous Next Next st|Sweden Canada h1|Cyberspionage mot svenska företag h2|Ökat hot från Ransomware-aktörer Standardavtalsklausuler för överföring av data till tredjeland h3|Säpo varnar för att miljarder går förlorade årligen. h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Oct 13 Ulrika Nilsson pa|Published on April 15, 2019 Today´s global maritime sector depends more and more on digitalization, integration of operations, and automation. The widespread and rapid implementation of IT systems and internet communication for ships at sea in every part of the world brings a new and urgent requirement – maintaining the operational safety of those critical systems.. Cybersecurity is today a priority in the international maritime sector. In what follows we look closely at new requirements which all of us in this industry must now meet. Also, we provide guidance on how to implement cybersecurity in maritime operations. Neither the , IMO, nor national authorities have developed cybersecurity regulations specific to the maritime sector. This will change in the very near future. As of , cybersecurity requirements will be formalised in Chapter IX of the International Convention for the , SOLAS, Regulations 1-6, Management for Safe Operation of Ships. This is not an isolated development. Significant moves towards cybersecurity regulations for shipping have already been taken by other organizations or are in the pipeline. The urgent need to develop for the maritime industry has, in fact, been an area of concern for some time. In June 2017 the IMO´s , MSC, agreed guidelines for cyber risk management. These, in turn, became the basis of for the entire maritime sector, The guidelines place an obligation on shipowners, operators, and stakeholders to adopt a risk management approach with three overriding objectives: minimizing the danger to crew, to environmental safety, and to the financial consequences of a full or partial loss of availability, integrity and confidentiality of sensitive data. In the face of emerging cybersecurity threats to the industry and with the MSC resolution in mind, IMO has taken the decision to incorporate mandatory cybersecurity requirements into the , ISM. , cybersecurity must be addressed by all players in the shipping industry and incorporated into their Safety Management Systems, SMS. One organisation which was quick to respond to these new circumstances was the , OCIMF. Beginning in January 2018 the OCIMF updated , TMSA, version 3, with a 13th Performance Element. This new element deals specifically with cybersecurity. What do developments like these mean for the ? More specifically, what does the ISM Code, a SOLAS requirement, and TMSA version 3, best industry practice, require when it comes to preventing cyber crime at sea? The ISM Code requires modification to a company’s SMS and should now include the following. Cybersecurity measures to be adopted in the company´s Health, Safety & Environment, Security & Quality / HSES&Q Policy Statement. Risk assessments of all OT and IT systems onboard and ashore Policy in place for the uses of removable storage. Policy and procedure in place regarding network communications and WiFi for vessel crews. Policy and procedure in place for monitoring and updating navigation and communication systems. Policy in place regarding authorization criteria for remote connections. Inventory of all OT systems. Internet access policy in place outlining restrictions relating to operations currently being performed onboard. Contingency Plans for Emergency R esponse developed and in place. Items identified by TMSA and listed below. Procedures in place regarding patch management for software. Processes and guidance in place for the identification and mitigation of cyber threats. Availability of guidelines for cybersecurity set by industry and classification authorities. Password management procedures developed. A Cyber Awareness Plan to promote security awareness among all personnel, developed and implemented. requirements set out in the ISM Code will cover the following operations of all vessels on international operations, specifically: Passenger ships including high-speed passenger craft. Oil tankers, chemical tankers, gas carriers, bulk carriers and cargo high-speed craft of 500 GRT and above. Other cargo ships (offshore vessels) and mobile offshore drilling units (not bottom founded) of 500 GRT and above. TMSA version 3 also relates to business operations under the Ship Inspection Reporting Program / SIRE. TMSA 3 is now in effect. Any business operating under the jurisdiction of the new ISM Code should therefore to update their SMS accordingly. The deadline is no later than the first annual verification of the company’s following January 1st 2021. For all organizations concerned the message is clear. In order to be prepared and to develop the required business cybersecurity posture, including provisions relating to third party ecosystems, start planning now for the implementation of best-practice. In support of this action , IMCA, which represents the offshore support and construction (vessels) industry worldwide has also updated its advice on cyber threats. includes , and sub-controls, that focus on various technical measures and activities. The primary objective is to help organizations prioritize defence against the current most common and most damaging forms of attack on IT systems and networks. . This means drawing up an inventory, tracking and managing all hardware devices on the network so that only authorized devices have access. This action also allows unauthorized and unmanaged devices to be identified, located and prevented from gaining network access. . Again, this means drawing up an inventory and using it to track and correct all software on the network. Only authorized software should be installed and permitted to function. All unauthorized and unmanaged software should be identified and prevented from being installed or from executing any function. Determine, implement and actively manage, by tracking reporting and correcting the security configuration of all laptops, servers and workstations. This should be done using a rigorous configuration management and change control process in order to prevent attackers from exploiting vulnerable services and settings. Continuously acquire, assess and take action on new information in order to identify all vulnerabilities. Remediate same and by so doing minimize the window of opportunity for attackers. Maintain a watch 24/7 against the installation, spread and execution of malicious code at multiple points in the enterprise, while optimizing the use of automation to enable rapid updating of defence, data gathering and corrective action. . Manage the security lifecycle of all software applications, whether developed in-house or acquired, in order to prevent, detect and correct security vulnerabilities. . Deploy and implement the processes and tools used to track, control, prevent abuse of and correct the secure use of wireless local area networks (LANs), access points and wireless client systems. . Prepare and deploy all processes and tools for adequately backing up critical information, with a proven methodology for its timely recovery following a security breach. . This refers to all functional roles in the organization, prioritizing those which are mission critical for business operations and security requirements. Identify the specific expertise, skills and abilities needed to support defence of the enterprise. Develop and execute an integrated plan to assess and identify gaps in cyber defence. Remediate any vulnerabilities thereby identified through operational policy, organizational planning, training and awareness programs. . Establish, implement and actively manage, by tracking, reporting on and correcting, the security configuration of network infrastructure devices. This should be done using a rigorous configuration management and change control process in order to prevent attackers exploiting vulnerable services and settings. . Protocols and Services. Manage by tracking, controlling and correcting the ongoing operational use of ports, protocols and services on networked devices in order to minimize windows of vulnerability available to attackers. . Manage the processes and tools used to track, control, prevent or correct the assignment, use of and configuration of administrative privileges on computers, networks and applications. . Detect, prevent and/or correct the flow of information transferring between networks operating at different trust levels with a focus on data likely to compromise security. . Collect, manage and analyze audit logs of cybersecurity-related events that could help in the detection or understanding of an attack, or which could assist recovery from a security breach. . The processes and tools used totrack, control, prevent or correct secure access to critical assets, such as information, resources and systems should be organised and maintained according to a formal determination of which persons, computers and applications have a need, and right, to access these critical assets, based on an approved classification. Actively manage the lifecycle of system and application accounts in order to minimize opportunities for attackers to leverage them. This includes managing their creation, use, periods of dormancy and deletion. . Deploy and implement processes and tools used to prevent data exfiltration, to mitigate the effects of exfiltrated data and to ensure the privacy and integrity of sensitive information. . Protect the organization’s information, as well as its reputation, by developing and implementing an incident response infrastructure. This should include detailed planning, the definition of personnel roles and responsibilities, training, communications and management supervision. These actions are essential for the purposes of quickly detecting an attack, effectively containing any damage, eradicating the attacker’s presence, and restoring the integrity of the network and systems. . Make cybersecurity an inherent attribute of the enterprise by specifying, designing, and creating features that allow a high degree of confidence in systems operations while denying or minimizing opportunities for attackers. . Test the overall strength of your organization’s defences, including technology, processes, and personnel, by simulating the actions and objectives of an attacker. From the high-level resolution of MSC mentioned above, IMO has updated guidelines for the shipping industry to version 2.0. was composed and for the maritime industry. Members of these associations range from shipowners, operators, dry and tanker cargo shipping industry partners and international maritime industry organisations. Version 2.0 includes important updates concerning specific risks and the threat environment now facing the industry. Among these items are the following. into eacg ship´s safety management system / SMS. performed on operational technology / OT so as to include navigation and engine control systems. Additional guidance for managing risk associated with The purpose of the IMO guidelines is to address the specific and unique needs of the maritime, shipping and commercial passenger industries in relation to cyber risk management. The IMO guidelines in general are based on best-practice as developed by the cybersecurity sector, with add-ons relating to the specific requirements and functional areas of the maritime industry. The IMO guidelines cover the following topics. Adoptingbest-practice standards is a necessary step . The maritime industry has specific challenges that must be met. These include, first of all, the relation to safety issues as well as the entanglement of IT and Operational Technology / OT. IMO Guidelines focus on the close relation between safety and security. But the guidelines also highlight important distinctions. Cybersecurity concerns itself with the protection of IT / OT information and data from unauthorized access, manipulation or tampering. Cyber safety is focussed on the risk of loss of availability, or integrity, of data and OT that are critical for the safety of personnel as well as vessels and other facilities. Systems that fall under Cyber Safety would include ECDIS, GNSS or other external sensor data or OT systems such as Dynamic Positioning or engine control systems. There are some very . A sure way to remember the difference is to separate them by their main functions. IT systems process information and/or transmit data. OT systems control physical machines. High performance is maintained even when access controls and restrictions are applied. “0 downtime” is not typically a crucial factor Low fault tolerance required Low safety impact Data management High degree of compatibility in using open source protocols Resource flexibility; IT systems are engineered to permit fluctuatation of resource allocation Professional CTO / IT Director should be responsible for procurement Timing is a key factor and controls or functions which delay processes can cause disruption or even system failure. “0 downtime” is typically a crucial factor. Redundancies or backup systems are required to maintain “0 downtime” High safety impact. High fault tolerance required. Low compatibility / proprietary protocols used. Resource inflexible. Systems are engineered with enough resources to perform designed functions The Chief Engineer is responsible for procurement Information security in plain language refers to those steps taken to ensure that information does not fall into the wrong hands. A good starting point for anyone seeking to understand Information Security is a policy tool known as the . CIA in this case stands for Confidentiality, Integrity and Availability of Information. The CIA Triad is a of policies, security controls, and procedures in any organization. Confidentiality refers to the concept that only those who need access to information, or those for whom the information is intended should have access to the plain-text contents. Integrity refers to assurance that the information is free from unauthorized tampering or modification in any way. In addition there should be a means of testing the integrity of the information. Availability refers to ease of access to information by authorized entities. When an authorized entity which needs the information takes the correct steps to access it they should face no difficulty in doing so. The CIA Triad is today an industry standard which is used to assess organizations for cyber risk. The goal of cyber risk management is to determine the needed to ensure Confidentiality, Integrity and Availability of the organization´s most important information assets. Developing and implementing a cyber risk management strategy incorporating both Cybersecurity and Cyber Safety should begin with communication and planning workshops. The unique frame of reference and area of expertise in each of these two skill sets help to determine the right balance between Cybersecurity and Cyber Safety. The first step should be a general Threat Risk Assessment /TRA with a maritime focus. In terms of Cyber Risk Management there are four possible actions. These are as follows. Risk Avoidance Risk Transfer Risk Acceptance Risk Mitigation. In most cases this is not a feasible solution to risk management as the interconnectivity and communication of businesses relies on the internet, web facing servers and cloud solutions. In this context, a decision to avoid risk means going back to pen and paper for every interaction. Clearly this choice will place the company at a huge disadvantage to their competitors who will likely prefer to mitigate, transfer and accept some of the residual risk. This alternative is based on the growing market for cybersecurity insurance providers. Much like automotive or other types of term insurance, a higher risk incurred by not performing corrective maintenance or having a history of “accidents” means higher insurance premiums. In some cases it may be cost effective compared to the alternative of Risk Acceptance. This is where the greatest effort is required by the organization under threat but also where we see the greatest ROI. Company brand, customer trust, and other non-quantifiable assets are not easily acquired. Nor can the results of a loss of those assets be easily transferred. You can’t buy reputation insurance. Here we have two alternatives. We can accept risk as it is or we can accept the residual risk after a mitigating factor has been added. A degree of residual risk will, however, continue to be present even after mitigation. For that reason every information security management system and risk management strategy entails the acceptance of a degree of risk. The first steps in cybersecurity concern the Identify Function in the cybersecurity framework. The Identity Function covers identification of the following. This refers to both information assets as well as physical devices and systems This includes all parties presenting a threat, existing or potential. This refers to all known weak points where an attack would be most likely to penetrate our defences. Information from the three areas above should be applied to the assessment of risks and the degree and nature of business impact in a risk assessment workshop. Additionally, customised cyber risk assessments should be performed for each unique type of ship in order to accurately identify the risk pattern for that ship. Based on the results from the Threat Risk Assessment / TRA the next step is to select appropriate controls to mitigate risks. Selected controls should not only cover technical measures but also cover training and cyber awareness for all personnel. Procedural and administrative controls relating to policy and procedure should also be addressed. The consist of a set of twenty actions. These actions form a defence-in-depth framework of best practices that mitigate the most common attacks against systems and networks. This framework purposely avoids the “nitty-gritty” of security, focusing on high-level areas that offer the greatest value. At the same time the controls are mapped to other standards and guidelines, giving both a holistic view and compliance support. The CIS framework was developed by a grass-roots community covering multiple sectors and industries. Based on the collective experience of actual attacks and the professional expertise of this community the controls are listed in order of priority. This approach helps us to focus efforts on the most fundamental and valuable actions which should be taken to prevent, raise the alarm and respond to an attack. Controls 1-6 are the most important. These are “Basic Controls”. Taking action in these areas decreases the likelihood of a successful attack by 85%. Moreover the Top 6 are highly cost-effective in terms of lowering the level of cyber risk. The additional recommended actions in the CIS Framework are listed below under the heading of Foundational. Inventory and Control of Hardware Assets Inventory and Control of Software Assets Continuous Vulnerability Management Controlled use of Administrative Privileges Secure Configuration for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers Maintenance, Monitoring and Analysis of Audit Logs Email and Web Browser Protection Malware Defences Limitation and Control of Network Ports, Protocols, and Services Data Recovery Capabilities Secure Configuration for Network Devices, such as Firewalls, Routers, and Switches Boundary Defence Data Protection Controlled Access Based on the Need to Know Onboard Networks (Annex 2) Segmentation According to Wärtsilä, a major, worldwide marine engine manufacturer, the vast majority of cybersecurity attacks are conducted by means of phishing and social engineering techniques, But most actual breaches of security can be attributed to human error. Wärtsilä´s strategy for detecting and mitigating cybersecurity attacks is based on training and awareness programs for all personnel. More specifically, regular training not only increases and maintains awareness but focusses attention on specific forms of threat. These include malware, phishing and social engineering, Additionally personnel training helps ensure vigilance regarding password protection, private use of the internet, email attachments and links and other Do´s and Don´ts. Regular training will go a long way in detecting and preventing cyber security violations. What exactly happens in a cyber attack? Let´s look at the phases of a typical cybersecurity violation. The reconnaissance phase comes in two main forms: Passive Reconnaissance – Not engaging the target directly, open source info gathering. This can mean dumpster diving, google hacking, or using job sites or social media websites to find information about employees that can be used in a later phase. Active Reconnaissance – Directly interacting with the target. This could mean manipulating the human factor, sending emails, calling reception or employees directly to gather information about the targeted organization. Using tools to probe the target and recording the response. The intention is to identify versions of operating systems and software running on systems in order to home in on vulnerabilities that may be present on those same systems. Getting a foot in the door to systems. This can mean either remotely or physically. Once inside the attacker can either escalate privileges so that they have full access or acquire “system privilege” on a particular system. A hacker enters a system and escalates privilege, They aim to maintain that level of access, so the attacker may leave a “backdoor” or rootkit such as a remote access trojan / RAT so they can easily return to a system for some nefarious purpose such as exfiltrating data or to “pivot” to another system on the network. Hackers of course seek to escape detection. For this reason they remove, or try to delete, any trace of their intrusion into a system. This may include deleting logs or malware / scripts / exploits / payloads that they had used to gain access. It can also include removing accounts they may have created for the purpose of gaining access or escalating privilege, or causing a system to overwrite relevant logs by causing it to write a large number of irrelevant logs. The implementation of a well prepared response plan is of vital importance in resolving problems with the minimum risk to personnel, assets and normal operations. Response and recovery plans should be reviewed and exercised in reality at regular intervals. Conduct a preliminary evaluation to determine if the event requires escalation of response action or if it can be resolved through normal response activities. Notify the Master of the vessel and, if required, shoreside management Review the event details. Perform an initial assessment of the event and associated impacts. Determine if an escalation level needs to be declared. For example: 1) Does the situation require assistance beyond the vessel and shore side management? 2 ) Does the situation require the relocation of people or materials/equipment? Establish a planning cycle so that status updates can be provided at regular intervals. Monitor recovery efforts and address any identified issue. Determine if the problem has been resolved. Declare the incident over. Notify appropriate personnel to begin restoration of services and a return to normal operations. The stated aim of the Guidelines is as follows. “Offering Guidance to Shipowners and Operators on Effective Cyber Risk Management” The Guidelines are not intended to be a call for external vetting or auditing as many smaller organizations may not necessarily benefit from an audit of procedures. An example of an organization that would not necessarily benefit from an external audit is one whose policies and procedures are less granular and more ad hoc, unwritten and informal. An organization that has unwritten and informal procedures and policies for cyber risk management would benefit more from starting with basics rather than forming a committee comprised of key members of management, finance, HR, legal and IT to discuss and write formal policies and procedures for cyber risk management in their own organization. These policies may be based on several informal procedures already being conducted in the organization as well as adaptations from industry best practice as well as “Guidelines on Cybersecurity Onboard Ships”. The procedures and policies in place in an organization may currently only be an acceptable use policy for their users plus account policy, network configuration and server administration procedures for the IT Section. The organization may have overlooked certain items that would be beneficial for formalizing policy. In that case, using the IMO Guidelines and external resources to help identify gaps in this process is recommended. The Maritime Safety Committee states that the guidelines are advisory. The information and advice provided by the MSC guidelines should be adapted by maritime operators depending on their specific business. As a shipping company or a shore-based operation you may choose which specific risk management approach to adopt based on the needs of your business and on the risk appetite of your business. Clearly an SMS should aim for cyber risk management in accordance with the functional objectives and requirements of the ISM Code. There are several cyber risk management frameworks to choose from. The guidelines suggest an approach that is based on the five functional elements of the These are as follows: Identify, Detect, Protect, Respond and Recover. It´s highly positive to see that MSC and the facilitation committee agreed on guidelines after due diligence and research into an already well-established industry with best practices that are evaluated and improved regularly. There are three areas of guidance and standards that are referred to in as reference material: ”The Guidelines on Cybersecurity Onboard Ships” ”ISO/IEC 27001 standard on Information technology – Security techniques – Information security management systems – Requirements. Published jointly by the International Organization for Standardization (ISO) and the International Electrotechnical Commission (IEC)” ”United States National Institute of Standards and Technology’s Framework for improving Critical Infrastructure Cybersecurity (the NIST Framework).” performs external technical reviews and audits as well as identifying threats and vulnerabilities. Secure State Cyber, with operations in Europe and North America, helps organizations manage cyber risk and is available to assist any organization, from those that are unsure where to start, right up to any level of maturity in cyber risk management. di|Written By Previous Previous st|January 1st 2021 cybersecurity regulations high-level recommendations As of January 1, 2021 worldwide maritime sector What does the ISM code say about information security requirements? What are the TMSA cybersecurity requirements? Does the ISM code impact you? Mandatory start planning Document of Compliance What about cybersecurity in the offshore industry? twenty controls Inventory of Authorized and Unauthorized Devices Actively Managed Inventory of Authorized and Unauthorized Software Actively Managed Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations and Servers. Continuous Vulnerability Assessment and Remediation. Malware Defences. Application Software Security Wireless Access Control Data Recovery Capability Security Skills Assessment and Appropriate Training to Fill Gaps Secure Configurations for Network Devices such as Firewalls, Routers and Switches Limitation and Control of Access to Network Ports Control the Use of Administrative Privileges Boundary Defence Maintenance, Monitoring and Analysis of Audit Logs Control Access Based on Need to Know Account Monitoring and Control. Data Protection Incident Response and Management Secure Network Engineering Penetration Tests and Red Team Exercises Overview of IMO guidelines approved by the world´s leading international trade associations Incorporation of cyber risks Improvements to guidance relating to risk assessments third party suppliers and vendors. Specific maritime considerations but not enough Safety and cybersecurity Information technology and operational technology distinct differences between IT systems and OT systems Further distinctions in IT systems Further distinctions in OT systems Basic consepts of information security guide to the implementation Confidentiality Integrity Availability appropriate degree of protection Cyber risk management Four possible actions Risk Avoidance Risk Transfer Risk Mitigation Risk Acceptance Identify Protect Implementing technical controls, CIS top 20 CIS framework to 6 actions CIS framework foundational actions Detect Anatomy of a cyber attack Reconnaissance – Gathering information on the targeted organization or entity. Scanning Gaining Access Maintaining Access Covering Tracks Company and vessel response planning Example: Initial Response (Not all inclusive) Recovery – From planning cycle to restoration of services Example: Recovery planning (Not all inclusive) Recommendations from the IMO guidelines Reference documentation Cybersecurity service with a maritime focus Sweden Canada h1|Maritime Cyber-security h2|Secure working from home h3|The new mandatory cybersecurity requirements for all ship owners How can you comply with the new cybersecurity requirements? A summary of the IMCA 20 controls for offshore cybersecurity h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 16 Henrik Ottosson pa|Secure State Cyber tailor-makes information security trainings for organisations that want to raise the security awareness of their staff. We customise our trainings to ensure that all levels of employees within the organisation are aware of the organisations information security threats, policies, procedures and the industry regulations. These customised trainings can be presented either digitally or physically onsite. For more information on designing your own information security courses, please contact us at st|Tailored Information Security Training Sweden Canada h4|Secure State Cyber pa| st|Sweden Canada h2|Cyberbloggen h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson pa|Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer och kan även anpassas till er verksamhet. st|E-learning utformad för er verksamhet Sweden Canada h4|Secure State Cyber pa|[1] Det finns i grund och botten två lösningar på detta problem: (1) klargöra (genom lag eller domstolspraxis) hur ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer. Skapas en sådan regel är det ju nämligen ointressant att reda ut gråzonen för röjandet. Genom den nya lagen om tystnadsplikt för tjänsteleverantörer vid IT-outsourcing [2] som trädde i kraft den 1 januari 2021 tar riksdagen sikte på att skapa en möjlighet att röja information för tjänsteleverantörer. Frågan är dock om den nya lagen innebär ett elegant alexanderhugg eller blott ett magert stick. Lagen gäller när en myndighet (samt vissa privata aktörer som erhåller offentlig finansiering) uppdrar åt en tjänsteleverantör att . Med andra ord omfattas inte all outsourcing utan endast outsourcing som består i att tekniskt bearbeta eller lagra information. Begreppen teknisk lagring och teknisk bearbetning är hämtade från den svenska grundlagen tryckfrihetsförordningen. Trotts detta är innebörden allt annat än glasklart. Enligt regeringens proposition behöver begreppen tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen. En tjänsteleverantör kan exempelvis ha fått i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet. Några exempel på vad som utgöra teknisk lagring och teknisk bearbetning är: Åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten. Förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Migrering av information vid avveckling av tjänst. Enligt propositionen ska en upphandlande myndighet informera anlitade tjänsteleverantörer om vilka tjänster som omfattas av tystnadsplikt. Någon sådan förpliktelse ges dock inte genom lagen. En tjänsteleverantör bör därför alltid göra en egen juridisk bedömning för att utreda vilka tjänster som omfattas av den nya lagen och förankra detta med berörda kunder, om nödvändigt genom avtal för att undvika olyckliga missförstånd mellan parterna. En straffsanktionerad tystnadsplikt innebär att det innebär ett brott att bryta mot tystnadsplikten och avslöja en uppgift som är hemlig, d.v.s. information som tjänsteleverantören hanterar åt en myndighet. Därmed kan en person dömas av en domstol för brottet med en straffskala på böter eller fängelse i max ett år. Det krävs inte att gärningen begås uppsåtligen utan brottet kan även begås av oaktsamhet (d.v.s. vårdslöshet eller slarv). En straffsanktionerad tystnadsplikt kan jämföras med tystnadsplikt enligt avtal. Tystnadsplikt enligt avtal är mycket vanlig (t.ex. i ett anställningsförhållande) men det innebär inte något brottsligt att bryta mot tystnadsplikt enligt avtal. Däremot kan skadestånd, vite, eller att avtalet avslutas i förtid vara avtalsrättsliga sanktioner som kan följa om en part bryter om avtalet. En sekretessförbindelse med en anställd gäller dessutom endast i förhållande mot arbetsgivaren (tjänsteleverantören) och inte i förhållande till myndigheten. En annan viktig skillnad är att det endast är en fysisk person (d.v.s. en människa) som kan dömas för ett brott i Sverige. Med andra ord kan inte ett företag eller en juridisk person dömas för ett brott. Det är tjänsteleverantörens personal som därmed bär det straffrättsliga ansvaret för att de själva upprätthåller tystnadsplikten. Mot den bakgrunden bör en tjänsteleverantör säkerställa att berörd personal får information om att de omfattas av en straffsanktionerad tystnadsplikt. Varför är det då viktigt med en straffsanktionerad tystnadsplikt? För att ställa frågan på sin spets: vad uppnår en tystnadsplikt som inte ett vite eller skadestånd på miljonbelopp uppnår? Lagen tar som bekant sikte på att möjliggöra att information kan röjas för en tjänsteleverantör samt dennes underleverantörer. För att en myndighet ska få lämna ut information till en enskild – vilket innefattar tjänsteleverantörer som utför tjänster på uppdrag av myndigheten – krävs att myndigheten först gör en skadeprövning. [3] Vid en skadeprövning bedömer myndigheten om uppgifterna kan röjas för tjänsteleverantören utan att de personer eller intressen som ska skyddas av sekretessen lider skada. Tystnadsplikt genom avtal (Non-Disclosure Agreement eller ”NDA”) ger visst skydd men bedöms inte juridiskt som ett likvärdigt skydd som en straffsanktionerad tystnadsplikt. [4] En straffsanktionerad tystnadsplikt medför inte per automatik att all information kan röjas för en tjänsteleverantör; eller för den delen att all outsourcing kan ske. Det är inte heller lagens syfte. Det är alltid nödvändigt att bedöma om outsourcing är lämpligt samt om vald nivå av informationssäkerhet kan bibehållas eller stärkas. En del av komplexiteten med outsourcing ligger dock i att oförutsägbara mänger och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Rättsläget är idag oklart om teknisk tillgänglighet medför ett röjande till tjänsteleverantören eller inte. Utifrån antagandet att ett tekniskt röjande sker behöver en skadeprövning göras. Eftersom en straffsanktionerad tystnadsplikt är värt mycket rent juridiskt vid en sådan bedömning ska denna lag inte underskattas. Med det sagt: grundproblemet – den gordiska knuten – att det är oklart vad ett röjande är kvarstår. Det uppenbara problemet är svensk domstols domsrätt. Annorlunda uttryckt: svensk lag gäller som utgångspunkt endast i Sverige. För att svensk lag ska vara tillämplig utanför Sverige krävs att gärningen (brott mot tystnadsplikt för den aktuella informationen) även är kriminaliserad i det andra landet. En myndighet har knappast lyxen att vid en upphandling överblicka eller välja tjänsteleverantörer som endast nyttjar personal i länder med en lagstiftning motsvarande den svenska; särskilt om en av de globala drakarna (Amazon, Google, Microsoft m.fl.) levererar hela eller delar av tjänsten. Slutsatsen blir därför att lagen varken är ett alexanderhugg eller en halvmesyr. I den utsträckning tjänsteleverantörens personal befinner sig exklusivt i Sverige är det mer sannolikt att uppgifter får röjas för tjänsteleverantören (även om en prövning självklart ska göras i det enskilda fallet). Om tjänsteleverantören eller underleverantörers personal befinner sig utanför Sverige blir effekten betydligt mindre. Den 15 januari 2021 presenterades delbetänkandet [5] som bland annat tar sikte på att undanröja osäkerheten i vad som är ett röjande. Mer om denna nya utredning samt hur förslaget samspelar med en straffsanktionerad tystnadsplikt kan du snart läsa här i Cyberbloggen där vi fortsätter att följa och analysera juridiken kring dataskydd och informationssäkerhet. [1] Se bland annat dom NJA 1991 s. 103. [2] [3] Alternativt benämnt ”menprövning”. [4] Se bland annat [5] di|Written By Previous Previous Next Next st|Sweden Canada h1|Ny lag om tystnadsplikt vid IT-outsourcing h2|Nytt lagförslag om när myndigheter får outsourca informationshantering Ökat hot från Ransomware-aktörer h3|Digitalisering av offentlig sektor kan innebära att information betraktas som röjd i lagens mening. h4|När gäller den nya lagen? Vad innebär en straffsanktionerad tystnadsplikt? Varför behövs en straffsanktionerad tystnadsplikt? Finns det några andra problem? Avlutande ord om framtiden Referenser: Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Feb 4 Ulrika Nilsson em|Vid digitalisering av offentlig sektor finns det en gordisk knut; när en uppgift som skyddas av sekretess enligt offentlighets- och sekretesslagen ska betraktas som röjd i lagens mening. När information ska betraktas som röjd är nämligen allt annat än klart. För att sammanfatta en mångårig och snårig juridisk diskussion: det är sannolikt inte nödvändigt att en utomstående faktiskt tagit del av en sekretesskyddad uppgift för att den ska anses röjd. Viss risk för att någon har tagit del av information är sannolikt tillräckligt. tekniskt bearbeta eller lagra information kan brott mot tystnadsplikt Säker och effektiv IT-drift pa|Publicerad 26/4 2018 Jan Karlsson, Senior Security Advisor på Secure State Cyber, presenterar hur informationssäkerheten har övergått till cybersäkerhet, pga. digitalisering och en ny hotbild. Tips ges på hur företagsledningen ska bemöta denna nya hotbild och vilka frågor som borde ställas under nästa styrgruppsmöte. Introduktion 1:40 Informationssäkerhet till Cybersäkerhet 1:41 Dagens hotbild 2:55 Cybercrime as a service 4:48 Ramverk för cybersäkerhet (CSF) 6:04 Var det oftast går fel 9:13 Nyckelfrågor för styrelsen del 1 13:45 Nyckelfrågor för styrelsen del 2 16:32 Nyckelfrågor för styrelsen del 3 18:26 Vad kan företagsledningen göra? 19:09 Avslutningsord 22:30 di|Written By Previous Previous Next Next st|Sweden Canada h1|Cyber-säkerhet i ett styrelse-perspektiv - Introduktion h2|MSB varnar för phishing-attacker med COVID-19-skepnad Arbeta säkert hemifrån h3|Kapitel h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 25 Henrik Ottosson pa|Myndigheten för samhällsskydd och beredskap (MSB) varnar för phishingattacker med COVID-19-skepnad och riktade ransomware-attacker mot hälso- och sjukvården i Sverige. Det är viktigt att se till att medarbetare är utbildade och vet hur de ska identifiera och rapportera t.ex. phishingförsök. Kontakta oss för mer information . Läs mer om MSB:s rekommendationer . di|Written By Previous Previous Next Next st|Sweden Canada h1|MSB varnar för phishing-attacker med COVID-19-skepnad h2|Standardavtalsklausuler för överföring av data till tredjeland Cyber-säkerhet i ett styrelse-perspektiv - Introduktion h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 30 Ulrika Nilsson pa|Published on June 15, 2018 Jan Karlsson presented at the H2O Conference in Halifax on 7 June 2018. The two senior consultants discuss how the Ocean Industries faces potential threats from cyber-attacks to no less a degree than onshore industries. However, there threats have more often been overlooked when it comes to maritime operations, despite the fact that the security of operational, informational and communication networks/technologies and their data are just as critical. This presentation considers maritime cybersecurity awareness in the context of the ocean sector. di|Written By Next Next st|Sweden Canada h1|Cyber-security presentation at the H2O conference in Canada h2|Secure working from home h4|Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Jun 25 Henrik Ottosson pa|Som vi tidigare diskuterat här på Cyberbloggen är rättsläget oklart om under vilka förutsättningar information ska bedömas vara röjd inom ramen för offentlighets- och sekretesslagen vid outsourcing. Det finns i grunden två lösningar på detta problem: (1) Klargöra (genom lag eller domstolspraxis) under vilka förutsättningar ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar tillåtas röja information till tjänsteleverantörer. Skapas en sådan regel är det sedan ointressant att reda ut gråzonen för röjandet. Genom den nya lagen om tystnadsplikt vid IT-outsourcing som trädde i kraft den 1 januari 2021 tog lagstiftaren ett första steg i riktningen mot att skapa en möjlighet för myndigheter att under vissa legala ramar få röja information till tjänsteleverantörer. Delbetänkandet bygger vidare på denna inriktning. [2] Vi får en diger analys av vad som utgör ett röjande. Men framför allt får vi ett skarpt lagförslag om när information får röjas vid outsourcing av informationshantering. Det korta svaret är att vi fortfarande inte vet med säkerhet vad som är ett röjande. Det som delbetänkandet presenterar är en analys (med andra ord en ) av offentlighets- och sekretesslagen; inte en legaldefinition. Utredningsgruppen har inte haft i uppdrag att föreslå ändringar till lagens begreppsapparat. Därmed har en definition av ”röjande” inte funnits på dagordningen. Med det sagt presenteras en tolkning som sannolikt kommer ha stor påverkan på myndigheters tolkning av röjande-begreppet. Därför finns det ett behov av närmare redogöra för tolkningen. Inledningsvis är det viktigt att poängtera att delbetänkandets tolkning uteslutande tar sikte på kontexten en myndighets IT-outsourcing till en tjänsteleverantör och dennes eventuella underleverantörer. Denna tolkning är med andra ord inte avsedd att tillämpas i andra sammanhang. Det finns två former av röjande: tillåtet röjande och otillåtet röjande. Ett tillåtet röjande sker när information röjs och det finns en sekretessbrytande bestämmelse som tillåter röjandet (t.ex. efter en skadeprövning). Motsatsvis sker ett otillåtet röjande när det inte finns en sekretessbrytande bestämmelse som möjliggör att informationen röjs och det ändå sker ett röjande. Röjande i sig är med andra ord ett neutralt begrepp i den bemärkelsen att ett röjande inte per definition är något förbjudet. Delbetänkandet tar avstamp i legaldefinitionen av sekretess: [3] [ ] ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Definitionen redovisar två exempel på hur ett röjande kan ske; d.v.s. genom utlämnande av en handling eller muntligt röjande. Definitionen är inte uttömmande eftersom formuleringen ”eller på något annat sätt” preciserar att röjande kan ske på andra sätt. Delbetänkandet tolkar sekretessdefinitionen som att information som utlämnats (utanför myndighetens gränser) alltid är röjd. Den svenska grundlagen tryckfrihetsförordningen medför nämligen att det är nödvändigt att upprätthålla en tydlig myndighetsgräns mellan myndigheter samt i förhållande till exempelvis en tjänsteleverantör som agerar på uppdrag av en myndighet. Delbetänkandet kommer därför, något förenklat, mot den bakgrunden till slutsatsen att all outsourcing innebär ett röjande eftersom information behandlas och lagras utanför myndigheten. Det leder till konsekvensen att det inte finns något krav på att en person faktiskt tagit del av informationen för att den ska betraktas som röjd i lagens mening. Det medför att information är röjd även om tjänsteleverantören omfattas av en tystnadsplikt enligt avtal eller lag. Det medför också att information som är krypterad eller pseudonymiserad ska betraktas som röjd när den behandlas av en tjänsteleverantör. I sammanhanget är det viktigt att särskilja frågan om information är röjd eller inte från frågan om vilka skyddsåtgärder som myndigheten är förpliktigad att säkerställa för informationsmängden. Det finns, trots en sekretessbrytande bestämmelse som medför att informationen får röjas, krav på vilken nivå av informationssäkerhet som myndigheten ska implementera. Det är alltså inte ointressant att kryptera information oavsett om det inte har betydelse för röjandefrågan. Debatten om röjande har historiskt, förenklat, tagit sikte på ett sannolikhetsresonemang där sannolikheten att informationen blir tillgänglig varit avgörande. Detta resonemang härrör från ett av Högsta domstolens prejudikat. [4] Delbetänkandet kommer till slutsatsen att detta prejudikats räckvidd inte omfattar outsourcing. Anledningen är att prejudikatet tog sikte på otillåtet röjande när inbrottstjuvar berett sig tillgång till ett nyckelskåp som innehöll nycklar till ett säkerhetsskåp där sekretesskyddade handlingar förvarade. Högsta domstolen kom till slutsatsen att informationen i handlingarna endast skulle anses röjd om omständigheterna var sådana att man måste ha räknat med att obehöriga fått åtkomst till informationen. Delbetänkandet anser i sin tolkning att Högsta domstolens resonemang tar sikte på en viss situation och att denna situation inte bör tillämpas på myndigheters IT-outsourcing. Delbetänkandet föreslår en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen; d.v.s. en bestämmelse om hur och till vem viss information får röjas. Genom förslaget till en ny sekretessbrytande bestämmelse skapas en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer. Denna sekretessbrytande bestämmelse tar (precis som lagen om tystnadsplikt vid IT-outsourcing) inte sikte på all form av outsourcing. Endast outsourcing i form av teknisk bearbetning eller teknisk lagring omfattas. Några exempel på vad som utgöra teknisk lagring och teknisk bearbetning är: åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten. förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Migrering av information vid avveckling av tjänst. Det är därför nödvändigt för den outsourcande myndigheten att göra en noggrann analys av om projektets olika delar omfattas. Det krävs även att informationshanteringen sker för myndighetens räkning. I den mån som tjänsteleverantören behandlar informationen för egna ändamål blir med andra ord den sekretessbrytande bestämmelsen inte tillämplig. Därefter ska den outsourcande myndigheten göra en En intresseavvägning är, som begreppet antyder, en avvägning mellan två eller flera intressen. I den första vågskålen ska myndigheten placera det intresse eller de intressen som ska skyddas av sekretessen. T.ex. är intressena för sekretess inom hälso- och sjukvården den enskildes hälsotillstånd samt personliga förhållanden (familjeförhållanden, ekonomiska ställning, arbetsförmåga m.m.). I den andra vågskålen ska de myndighetsaktuella skälen för outsourcing placeras. Det medför ett krav på myndigheten att göra en noggrann utredning och därefter preciserar de aktuella intressena som föreligger. För att genomföra en korrekt intresseavvägning bör myndigheten genomföra en informationsklassning. En del av komplexiteten med outsourcing ligger som bekant i att oförutsägbara mängder och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Det ställer långtgående krav på informationsklassningen. En detalj i sammanhanget är att delbetänkandet konstaterar att många myndigheter brister i informationsklassning. Innebär nu det här att problemen är över? Vi har en tolkning i delbetänkandet och vi har ett lagförslag till en sekretessbrytande bestämmelse. Situationen är dock inte riktigt så enkel. tar det i regel, under de bästa förutsättningarna, år för ett lagförslag att bli lag. Det är med andra ord inte realistiskt att vi får någon sekretessbrytande bestämmelse i offentlighets- och sekretesslagen under 2021. Om vi utgår från att tolkningen av ”röjande” som delbetänkandet presenterar är korrekt leder det till slutsatsen att det sannolikt sker en hel del outsourcing från myndighetshåll som medför ett röjande i strid med offentlighets- och sekretesslagen. Fram till dess att den föreslagna sekretessbrytande bestämmelsen träder i kraft finns det begränsat utrymme att genomföra många av dessa outsourcingprojekt. Det öppnar upp ett personligt straffansvar för [5] för beslutsfattarna i den mån de fattar, eller har fattat, beslut om otillåtet röjande. En fysisk person som otillåtet röjer information – antingen uppsåtligen eller av oaktsamhet (vårdslöshet eller slarv) – har med andra ord ett personligt straffansvar. Att delbetänkandet på detta sätt öppnar för personligt straffansvar gör att rättsläget för beslutsfattarna blir mer komplext än någonsin. har den rättsliga debatten (som många gånger varit minst sagt polemisk) varit i full gång sedan 2014. Många aktörer har investerat både prestige och trovärdighet i denna debatt. Delbetänkandet besvarar inte alla frågor och tolkningarna och är långt ifrån fria från invändningar. För att presentera några kortfattade exempel: Myndigheters arbetsmaterial (som inte är allmän handling) outsourcas till en tjänsteleverantör och röjs därmed enligt delbetänkandets tolkning. Information som utlämnas (expedieras) utanför myndigheten blir enligt tryckfrihetsförordningen allmän handling. Medför det därmed att arbetsmaterialet genom utlämnande ska bli allmän handling? Det leder i sin tur till den potentiella konsekvensen att information som inte är allmän handling blir allmän handling genom själva outsourcingen. Delbetänkandet kommer till slutsatsen att Högsta domstolens prejudikat [6] inte bör tillämpas på outsourcing. Är det verkligen fallet? Det går att argumentera för att poängen med Högsta domstolens sannolikhetsresonemang var precis den att inte varje utlämnande kategoriskt ska medföra ett röjande. Högsta domstolen nämner detta explicit i sin dom, mot bakgrund av den riskexponering för straffansvar det skulle öppna upp för. Det är inget som delbetänkandet berör. Det går även att ifrågasätta delbetänkandets tolkning av legaldefinitionen av sekretess. [7] Delbetänkandet redogör i princip endast för en tolkning; att varje utlämnande medför ett röjande. Det finns dock flera andra tolkningsalternativ hur denna definition ska läsas. Läsaren får därigenom ingen presentation av olika tolkningsalternativ och deras respektive styrkor och svagheter. Det finns därför gott om juridiskt utrymme till att debattera tolkningarna och lagförslaget. Inte minst finns det många aktörer som har ett stort intresse i en sådan fortsatt debatt. Detta delbetänkande utgör därför på inget sätt slutpunkten. [1] SOU 2021:1 [2] Läs gärna vår tidigare artikel om lagen här på cyberbloggen: Cyberbloggen: [3] 3 kap. 1 § offentlighets- och sekretesslagen (2009:400). [4] NJA 1991 s. 103. [5] 20 kap. 3 § brottsbalken. [6] NJA 1991 s. 103. [7] 3 kap. 1 § offentlighets- och sekretesslagen. di|Written By Next Next st|Sekretess är För det första För det andra Sweden Canada h1|Nytt lagförslag om när myndigheter får outsourca informationshantering h2|Ny lag om tystnadsplikt vid IT-outsourcing h3|Vet vi äntligen vad som är ett röjande? h4|Vet vi äntligen vad som är ett röjande? När får röjande ske? Avslutande reflektioner Referenser Secure State Cyber sp|0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Mar 23 Ulrika Nilsson em|Som en försenad julklapp landade delbetänkandet Säker och kostnadseffektiv it-drift [1] under granen lagom till tjugondag knut. Delbetänkandet är ett ymnighetshorn för den med en önskan att förkovra sig i digitaliseringsjuridik. Framför allt ger det oss efterlängtad vägledning om när information ska anses som röjd när en myndighet outsourcar sin informationshantering. tolkning per definition kan intresseavvägning. brott mot tystnadsplikt Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering.