Efter IT-skandalen – finns det skäl att oroa sig?

Björn Hartig

Ingen har väl missat en av senare års största IT-skandaler. Transportstyrelsen outsourcade hanteringen av miljontals körkortsuppgifter till IBM. Resultatet? Hemligstämplad information hanterades av icke-säkerhetsgranskade tekniker i Rumänien och Tjeckien. Skandalen fick upp frågan om IT-säkerhet på tapeten, och nu kanske du undrar om säkerheten hos de företag du anlitar? Så här jobbar vi på Visma Spcs med IT-säkerhet.

 

Sammanfattning av IT-skandalen hos Transportstyrelsen – detta har hänt:

  • Våren 2015: Transportstyrelsen outsourcar sin IT-drift till IBM. För att snabba på processen ger generaldirektör Maria Ågren grönt ljus för avsteg från lagens krav på säkerhetskontroll av den utländska personalen.
  • Sommaren 2015: Myndighetens internrevisor ifrågasätter beslutet utan att styrelsen reagerar. När det framkommer att driften ska läggas ut på tekniker i Östeuropa, kopplas Säpo in för att kontrollera om överflyttningen av IT-driften äventyrar skyddandet av sekretessbelagda personuppgifter.
  • Hösten 2015: Säpo informerar Justitiedepartementet och rekommenderar att outsourcingen stoppas omedelbart. Trots varningar från Säpo tar IBM över IT-driften på myndigheten.
  • Vintern/våren 2016: Förundersökning inleds mot chef Maria Ågren. Misstanken – hennes beslut har exponerat sekretessbelagd information. Inrikesminister Anders Ygeman och försvarsminister Peter Hultqvist får information. Infrastrukturminister Anna Johanssons statssekreterare informeras flera gånger, men för inte informationen vidare.
  • Vintern 2017: Statsministern och infrastrukturministern får vetskap om problemen. Ågren blir avskedad utan officiell förklaring.
  • Sommaren 2017: Dagens Nyheter avslöjar att Ågren funnits skyldig till brott och bötfällts med 70 000 kronor. Det framkommer att information om bland annat individer med skyddad identitet gjorts öppen för spårning och registrering.

Händelsen är en av de allvarligare incidenterna kring sekretessbelagd information i svensk historia, och visar på vikten av att ha en tydlig säkerhetspolicy både internt inom företag och organisationer, såväl som mot externa samarbetspartners.

 

Hur arbetar Visma Spcs med personuppgifter?

Ett område som är särskilt aktuellt är hanteringen av personuppgifter. Chris Jangelöv, som är personuppgiftsombud på Visma Spcs och ansvarig för informationsspridningen och implementeringen av de nya europeiska reglerna (General Data Protection Regulation, GDPR) som träder i kraft 25 maj 2018, arbetar aktivt med att kartlägga samtliga delar av verksamheten som hanterar personlig information.

“En säker hantering av personuppgifter har alltid varit central för seriösa leverantörer av ekonomiprogram. När den nya lagen träder i kraft kommer skyddet för den registrerade att skärpas något och vi kommer självklart att anpassa våra produkter och tjänster där det behövs så att våra kunder kan leva upp till lagens krav.” – Chris Jangelöv, Visma Spcs

 Läs mer om hur vi jobbar med Dataskyddsförordningen GDPR

Hur jobbar Visma med säkerhet internt?

Det är ju vida känt att personalen är ett företags viktigaste tillgång, men kan samtidigt innebära en av de största säkerhetsriskerna. Visma har under lång tid arbetat för ett tydligt och uttalat säkerhetsmedvetande hos alla anställda i koncernen, vare sig det handlar om till synes triviala saker som e-post eller större områden såsom hantering av bokföringsdata. 

Utöver detta omfattas varje enskild medarbetare på Visma av sekretessavtal, och endast ett fåtal personer inom drift och teknisk support har åtkomst till din lagrade information.

“Vi människor med vår okunskap och våra vanor är den svagaste länken i kedjan. Vår uppgift här på Visma är att försöka hjälpa både vår personal och våra kunder att bli riskmedvetna.” – Espen Agnalt Johansen, Visma

Ny säkerhetspolicy för inloggning

Men det där med lösenord då? Alla har väl hört talas om stora företag som har fått sin databas med lösenord hackade. Därför har vi utvecklat Visma Connect, ett av Vismas senaste initiativ för en säkrare inloggning. Säkerhetschef Espen Agnalt Johansen på Visma AS i Oslo ansvarar för den nya inloggningsportalen, som har resulterat i ett förstärkt försvar mot attacker utifrån.

Hur säkra är Visma-molnen?

Du kanske har hört det tidigare; att jobba i molnet är ”modernt” och ”flexibelt”. Men det man lätt kan glömma är att frågan om lagring nog till syvende och sist ändå är den viktigaste anledningen till att jobba i ett webbaserat program – du inte behöver längre bekymra dig om yttre risker som bränder, blixtnedslag eller inbrott. Eller datorhaverier för den delen.

De tjänster och servrar som Visma använder för sina webbaserade program tillhör det absoluta toppskiktet vad gäller både prestanda och säkerhet. De övervakas dessutom av några av Sveriges skickligaste experter på området.

För dig som vill gräva djupare, hittar du detaljerad information kring våra molntjänster på Visma Trust Centre (på engelska). Här har vi bland annat specificerat en lista på vilka tjänster som hostas av vilka företag, och platserna där våra olika datacentra befinner sig.

Utökade möjligheter för samarbete med redovisningsbyråer

Att samarbeta tillsammans med din redovisningsbyrå i någon av våra molnbaserade program är ett av de säkraste sätten för att skydda din information. All information som skickas mellan dig och din byrå är krypterad inuti programmet och därför väldigt svåråtkomlig för folk utifrån. Nu kan du även själv bjuda in din redovisningsbyrå till samarbete, något som bara byrån kunde göra tidigare.

7 tips – detta kan du själv göra för att skydda dina uppgifter

  • Läs in dig på relevanta lagar

Funderar du på att lägga ut delar av verksamheten på externa aktörer? Då behöver du ha koll på vad lagen säger. Under våren 2018 uppdateras till exempel Personuppgiftslagen.

  • Formulera en egen säkerhetspolicy

Innan du kan kravställa mot en extern partner, exempelvis en redovisnings- eller revisionsbyrå, är det viktigt att du själv tänkt igenom och formulerat din egna policy för säkerhet. Var specifik! Hänvisa sedan till denna när du är i kontakt med potentiella partners.

  • Ställ krav på dina samarbetspartners

Om du väljer att outsourca delar av din verksamhet till externa aktörer, tänk på att välja en samarbetspartner med en tydlig och uttalad säkerhets- och personuppgiftspolicy. Ställ frågor om säkerheten!

  • Välj molntjänster – från välkända leverantörer

Vi har pratat nog om hur säkert det är att jobba i molnet. Dock är det föga värt om din leverantör av molntjänster, eller någon av dess partners, inte aktivt jobbar med säkerhet. Sammanfattat kan man säga att man går säker om man väljer en välkänd leverantör, men det skadar aldrig att ögna igenom policyn. Om det inte finns någon policy – se upp!

  • Skydda ditt företag mot bedrägerier och hackare

Det finns mycket du själv kan göra för att skydda sitt företag mot bedrägerier och hackare.

  • Ha flera lösenord – och byt dem regelbundet

Det är inte ovanligt att man av gammal vana använder ett och samma lösenord för många olika inloggningar, ofta för att man har svårt att komma ihåg dem annars. Ett tips är att ladda ner en lösenordsapp, där man får full koll på sina olika inloggningsuppgifter. Tänk också på att inte göra lösenorden för enkla. Använd en mix av versaler, gemener, siffror och specialtecken. 

  • Säkra upp företagsmobilen

På moderna telefoner kan du exempelvis använda pinkod, lösenord, mönster, fingeravtryck och till och med ansiktsigenkänning för inloggning. Välj ett lösenord för sim-kortet och ett annat för låsskärmen för bästa skydd.

Källor: Dagens Nyheter, Aftonbladet, Sydsvenskan

Björn Hartig Björn Hartig

Före detta tech-writer och webbinformatör med en nyfunnen kärlek till sökmotoroptimering.

bjorn.hartig@visma.com

Lev ut din passion

Här är bokföringsprogrammet för dig som driver företag eller som har en helt-fantastisk-affärsidé-du-måste-förverkliga-nu. Bokföringen puttrar på tryggt och säkert i bakgrunden och skapas av sig självt, simsalabim.

Visma eEkonomi