.png)
Detta är december månads nyheter och produktöversikt från Cyberday samt en sammanfattning av det sista admin-webinariet för 2024. Vårt nästa admin-webbinarium, där vi går live, kommer att äga rum i början av 2025. Du kan registrera dig för webbinariet på vår webbinariesida närmare datumet.
NIS2-direktivet ska tillämpas från och med oktober 2024, och de landsspecifika lagarna håller på att färdigställas i god takt. De största skillnaderna mellan länderna är utpekandet av sektorer och betoningen på säkerhetsåtgärder. I många länder har den nationella lagen implementerats.
Under våren 2024 publicerade vi e-boken NIS2 ready with ISO 27001's best practices, där vi visar hur kraven i den internationellt erkända standarden går hand i hand med direktivet och underlättar efterlevnaden. Nationell lagstiftning i många länder hänvisar också till ISO 27001 för att säkerställa adekvat implementering.
Vi publicerar de nationella NIS2-lagarna på Cyberday just nu!
Digital Operational Resilience Act (DORA) gäller för finansiella operatörer och leverantörer av ICT-tjänster som är verksamma inom EU. Den fastställer enhetliga krav för informationsnätverk och system som stöder finansiella affärsprocesser. Vi har redan skrivit om DORA mer i detalj på vår blogg.
Flera uppdateringar av tekniska standarder för tillsyn (RTS) till DORA kommer att publiceras under 2024 för att hjälpa finansinstitut att anta principerna i DORA och säkerställa efterlevnad. För att bedriva verksamhet i enlighet med DORA är det därför också nödvändigt att följa RTS-tilläggen.
Specifikationerna behandlar frågor som riskhantering, incidentklassificering, hantering av säkerhet i leveranskedjan, penetrationstestning, incidentrapportering och mer detaljerad implementering av informationssäkerhet för outsourcing. I den digitala säkerhetsmodellen har DORA redan fått en uppdatering av klassificeringen av incidenter, och vi kommer att införa RTS-förbättringarna under 2025.
Tillsynen över DORA inleds den 17 januari 2025.
CRA (Cyber Resilience Act) är en EU-förordning som säkerställer säkerheten för alla digitala produkter och tjänster. Den har ett brett tillämpningsområde och kategoriserar programvara och hårdvara (t.ex. konsumentelektronik, IoT, operativsystem) med digitala element. CRA säkerställer att produkter med digitala element utformas, utvecklas och underhålls med säkerhet i åtanke under hela deras livscykel.
Källa: exein.io
EU:s AI-lag trädde i kraft i augusti 2024, och dess tillämpning kommer att fasas in under 2025. AI-lagen gäller för utvecklare och användare av AI-system. Även om tillämpningsområdet för AI-lagen är snävare är det bra för organisationer att veta var de står.
Det huvudsakliga syftet med AI-lagen är att:
EU:s AI-lagstiftning förväntas fungera som ett globalt riktmärke för AI-reglering och balansera tekniska framsteg med sociala och etiska överväganden.
Organisationers Chief Information Security Officers (CISO) har ofta ett stort ansvar i sitt arbete. CISO är en strategisk aktör och riskhanterare. CISO:s roll är dock inte bara att se till att data skyddas, utan också att upprätthålla förtroendet i organisationen. Det är viktigt att ta hänsyn till den rädsla som många CISO:er upplever: kommer jag att förlora mitt jobb om det sker ett dataintrång i organisationen?
Portnox har genomfört en undersökning bland 200 CISO-anställda, framför allt i stora organisationer. Siffrorna talar sitt tydliga språk när det gäller utmaningar och farhågor i arbetet. 99% av de tillfrågade är oroliga för hur de ska klara sig på jobbet efter ett dataintrång, varav 77% är mycket oroliga.
Vad kan göras för att förbättra situationen? Organisationer bör förstå det aktuella läget för informationssäkerheten och avsätta resurser för att bygga upp och främja en proaktiv informationssäkerhetsmiljö och ett delat ansvar.
Informationssäkerhet är en laginsats - låt oss göra det till en sådan.
Artikel från helpnetsecurity.com
Artikel från darkreading.com
Låt oss nu se vad CyberArcs undersökning av personalens säkerhetsrutiner avslöjar. Undersökningen av 14.000 anställda inom en rad olika sektorer visar att säkerhetsrutinerna inte har förbättrats särskilt mycket. Nyckeltalen från undersökningen inkluderar:
Undersökningsresultaten visar på behovet av säkerhetsmedvetenhet och utbildning för personalen. Hur upprätthåller din organisation personalens säkerhetskunskaper?
Artikel från theregister.com
Cyberbrottsligor med utpressningsprogram har nyligen plågat den brittiska sjukvårdsindustrin. Storbritanniens NHS (National Health System) har varit mycket i nyheterna, eftersom många system har varit målet för flera attacker, enligt uppgift också av olika kriminella gäng. Bland de senaste målen finns det välkända Alder Hey Children's Hospital i Liverpool. Attacken mot barnsjukhuset har bekräftats av samma lösensummegrupp som tidigare har legat bakom många attacker mot NHS-sjukhus.
På många platser har attacken påverkat tillgängligheten till systemen, vilket har lett till inställda möten och att personalen har fått använda papper och penna. Trots dataintrånget har Alder Heys tjänster inte påverkats och det har inte skett några störningar i planerade möten eller procedurer. Känsliga uppgifter stals dock i samband med dataintrånget. När det gäller Alder Hey omfattar de läckta uppgifterna patient- och donatorinformation, rapporter och dokument. Sjukhuset bekräftar att man utreder dataintrånget och att man samarbetar med National Crime Agency (NCA) och andra partners för att bedöma konsekvenserna och säkra sina system.
Artikel från thehackernews.com
I december beslutade Rumänien, Europas sjätte största land, att ogiltigförklara resultatet av den första omgången i presidentvalet. Annulleringen kom efter att tjänsten Tik Tok börjat sprida kampanjer för högerpartiet Geogescu, i vilka Ryssland misstänktes vara inblandat. Utredningen fann bland annat stora odeklarerade donationer och 25 000 konton i sociala medier som på kort tid aktiverats för att stödja Geogescus valkampanj, samordnat genom en annan kontaktkanal. Det är ännu inte klarlagt om Geogescu spelade någon roll i kampanjen.
I uttalandena om ogiltigförklaring framhölls att valresultatet inte stämde överens med opinionsundersökningarna och att en relativt okänd kandidat från den yttersta högern vann valet. Kandidater som gjorde bra ifrån sig i valet är naturligtvis missnöjda med beslutet, och vissa har kommenterat att ogiltigförklaringen var antidemokratisk. Den andra omgången av presidentvalet skulle ha ägt rum i december 2024, men den rumänska regeringen har beslutat att skjuta upp presidentvalet till ett senare datum, troligen våren 2025.
Fallet belyser särskilt de växande utmaningar som demokratier står inför på grund av extern inblandning via digitala plattformar, och understryker det akuta behovet av att stärka kontrollen av sociala medier och modernisera politiska regler för att skydda valens integritet.
Funktionen gör att du först kan klassificera dina partners i olika kategorier och identifiera vilka som behöver en säkerhetsbedömning. Du kan sedan skicka bedömningar baserat på det valda kravramverket. Läs mer om funktionen i vår Akademin.
Vi har också lanserat de första förbättringarna av säkerhetsbedömningar, bland annat granskning av bedömningssvar, förnyad inlämning av begäran och möjlighet att ta bort överflödiga bedömningar .
Med hjälp av vårt team kan kontot kopplas till en funktion på gruppnivå som gör det möjligt för olika organisationer inom en stor grupp att använda separata Cyberday . På företagsnivå kan det dock ibland finnas behov av ytterligare krav för vissa uppgifter och ibland ett behov av att tillhandahålla en företagsimplementering för vissa uppgifter.
Ett av kontona kan definieras som ett "huvudföretagskonto", där huvudanvändarna kan besluta att distribuera de önskade uppgiftsbeskrivningarna till underkontona. Underkontona får de distribuerade beskrivningarna omedelbart, men i övrigt måste de hantera sina egna uppdragsversioner på normalt sätt, inklusive att skriva sina egna "kontospecifika specifikationer" i processbeskrivningen.
Den här funktionen är särskilt utformad för konsulter som hanterar flera konton eller stora företag med flera företag/konton under sin kontroll och med samma nyckelpersoner. På sidan Dina konton visas nu mer relevant information. Om du har tillgång till flera Cyberday kan du komma åt dem via knappen "Ändra konto" i menyn till vänster.
Användning av publika API:er: Vi kommer snart att sträva efter att publicera bättre beskrivningar av de offentliga API:er som finns tillgängliga på Cyberday. Dessa kommer att göra det möjligt för organisationer att bygga sina egna integrationer mellan andra tjänster och Cyberday.
Cyberday Trust center rapporteringsportal: Du kan enkelt skapa en webbsida med trovärdigt utseende för säkerhetsrapportering. Du kan välja vilka rapporter du vill dela (t.ex. organisationens säkerhetspolicy, efterlevnadsrapporter eller delområdesspecifika säkerhetspolicyer) och annan "kontrollinformation" läggs också till på sidan. Rapporterna och hela portalen kan vara antingen fritt tillgängliga eller skyddas av en lätt autentisering.
Tydligare förbättringsrekommendationer från Cyberday: Vi testar för närvarande en ny vy på skrivbordet som i prioriterad ordning kommer att ge upp till de kommande 10 rekommendationerna för förbättringar av antingen efterlevnadsvärdet eller dess bevis. Dessa kommer alltid att hjälpa användaren att förstå vad som bör göras härnäst.
Dessutom utforskar vi för närvarande AI-assisterad generering av svar på säkerhetsundersökningar med hjälp av innehåll från ditt ledningssystem. 🔍
Nya ramverk: TISAX, NIS2 Nationella lagstiftningar: Kyberturvallisuuslaki (Finland), Cyberfundamentals (Belgien), NSM ICT Security Principles (Norge)
Kommande ramverk: DORA RTS, CIS18, CRA, NIS2 nationella lagar
Kontrollera tillgängliga och kommande ramverk i Cyberday eller på Frameworks webbplats.
