Cybersäkerhetscentrets veckoöversikt – 25/2025

Var kan du få hjälp om du blir lurad på nätet?

Att bli lurad på nätet är ingen liten sak. Offret kan förlora sina pengar eller få sina personliga och känsliga uppgifter stulna. Brottsoffret kan också förlora sin sinnesro och känsla av trygghet. För att minimera skadorna är det viktigt att agera snabbt. I artikeln berättar vi vad du ska göra allra först när du märker eller misstänker att du har blivit lurad, och var du kan få hjälp med tekniska, ekonomiska och psykiska frågor. Många aktörer har deltagit i arbetet med artikeln. Tillsammans söker de sätt att öka medvetenheten om nätbedrägerier. 

Var kan du få hjälp om du blir lurad på nätet? (på finska)

DNS-administratör: Kom ihåg att städa din DNS och förhindra kapning av subdomäner

En DNS-post (Domain Name System record) är en definition som anger vart trafiken för ett domännamn ska styras. CNAME-posten i DNS-posten innehåller till exempel en IP-adress eller en annan nätadress. Den anger alltså från vilken resurs (t.ex. server, molntjänst) innehållet för nätadressen levereras. MX-posten är en del av DNS-posten och anger den e-postserver som tar emot meddelanden för domännamnet.

Dåligt hanterade eller föråldrade DNS-poster kan utsätta organisationen för DNS-dangling-sårbarhet och därigenom orsaka skada för organisationen, dess kunder och intressentgrupper. Sköt domänens livscykel och kom ihåg att ta bort onödiga och oanvända DNS-poster.

DNS-dangling uppstår när en DNS-post pekar på en extern tjänst som inte längre existerar, men DNS-posten har inte tagits bort. Det kan till exempel vara en tjänst som har erbjudits via en molntjänst men senare lagts ned. Om CNAME-uppgifterna i DNS-posten inte tas bort, blir den gamla subdomänen kvar och "hänger" i nätet. Detta möjliggör kapning av subdomänen. Om en hängande MX-post kapas, kan angriparen skicka och ta emot e-post i domänens namn.

Kapning av subdomän sker när angriparen hittar en hängande subdomän hos företaget och registrerar den resurs som DNS-posten pekar på. Angriparen behöver inte ha tillgång till organisationens DNS-hantering. En kapad subdomän kan användas för flera illasinnade ändamål på nätet. Man kan förhindra kapning genom att hålla organisationens DNS-poster uppdaterade.

Kapning av subdomäner kan bland annat innebära följande risker:

• Kapning av webbtjänster (subdomain takeover)
• Skadliga webbplatser i företagets namn
• Fiske av kunduppgifter

Gör så här:

• Ta bort onödiga DNS-poster.
• Följ regelbundet subdomänernas status.
• Säkerställ att DNS-hanteringen är centraliserad och att det finns ansvariga personer för hanteringen.
• Kontrollera att borttagna tjänster har tagits bort från DNS-posterna (t.ex. AWS, Github).

Olycksutredningscentralen publicerade rapport om Helsingfors dataintrång

Olycksutredningscentralen höll den 17 juni 2025 en presskonferens om Helsingfors dataintrång och offentliggjorde samtidigt en rapport om händelsen. I rapporten beskrivs i detalj vad som hände inom Helsingfors stads fostrans- och utbildningssektor våren 2024. Även Dataombudsmannens byrå publicerade ett meddelande om ämnet.

En allvarlig incident i en organisation ger värdefulla lärdomar som bör tas på allvar och gås igenom inom den egna organisationen. Här är några iakttagelser ur Cybersäkerhetscentrets perspektiv:

• Känn till vilka enheter och produkter som används i organisationen, särskilt på kantnätet
• Uppdatera enheterna regelbundet och ersätt föråldrade lösningar i tid
• Säkerställ att kantenheter använder multifaktorsautentisering eller annan säker autentiseringsmetod.
• Övervaka miljön åtminstone för de kritiska enheternas del
• Öva regelbundet för att upptäcka kritiska observationer i tid och kunna reagera korrekt

Många av de allvarliga dataintrången under de senaste åren har orsakats av föråldrade eller icke uppdaterade enheter.

Kantenheter ska bytas ut när deras tekniska livscykel (End of Life) tar slut. De senaste uppdateringarna bör installeras snabbt och kritiska säkerhetsuppdateringar omedelbart. Angriparna utnyttjar sårbarheter snabbare än någonsin. Sårbara kantenheter orsakar årligen flera allvarliga dataintrång i Finland.

Anvisningen om verksamheten för bedömningsorgan för informationssäkerhet har uppdaterats

Transport- och kommunikationsverket Traficom har publicerat en uppdaterad anvisning om verksamheten för bedömningsorgan för informationssäkerhet. Den reviderade anvisningen innehåller bland annat uppdateringar relaterade till NIS2-direktivet samt anvisningar om hur man ansöker om behörighet för bedömning av krypteringsprodukter.

Bedömningsorgan för informationssäkerhet är företag som har godkänts av Transport- och kommunikationsverket Traficom och som kan bedöma informationssäkerhetens överensstämmelse med kraven i statsförvaltningsmyndigheternas informationssystem och datakommunikation.

Bedömningsorgansanvisningen har uppdaterats och den nya versionen har publicerats den 13 juni 2025. Den nya anvisningen gäller från och med publiceringsdagen och finns tillgänglig på Traficoms Cybersäkerhetscenters webbplats.

Bedömningsorgansanvisningen kan utnyttjas både av bedömningsorgan för informationssäkerhet och av kunder som använder eller planerar att använda deras bedömningstjänster. Anvisningen är också fritt tillgänglig för alla som är intresserade av bedömningsorganens verksamhet eller ämnet i övrigt.

Anvisning till bedömningsorgan för informationssäkerhet 13.6.2025 (på finska)
Anvisningen om verksamheten för bedömningsorgan för informationssäkerhet har uppdaterats (på finska)

Evenemanget om kriterier och bedömning av molntjänster samlade molntjänstleverantörer och myndigheter

Cybersäkerhetscentret ordnade ett evenemang för molntjänstleverantörer där man presenterade kriterierna och bedömningsprocessen för informationssystemens bedömnings- och godkännandeverksamhet. Evenemanget riktade sig till leverantörer av molntjänster som har som mål att erbjuda tjänster där nationell eller internationell säkerhetsklassificerad information ska hanteras elektroniskt.

Finansministeriet höll en aktuell översikt om arbetet med att främja molntjänster inom den offentliga förvaltningen. Därefter höll experter från Cybersäkerhetscentret presentationer om bedömningsverksamheten i molnmiljö samt om läget för kriterieutvecklingen. Till slut diskuterade man gemensamt ämnet samt reflekterade över fortsatta åtgärder och samarbetsmodeller.

Evenemanget arrangerades av Cybersäkerhetscentrets avdelning för bedömningar som fungerar som nationell godkännandemyndighet för säkerhetsackreditering (SAA, Security Accreditation Authority). Godkännandemyndighetens uppgifter omfattar godkännande av informationssystem som hanterar säkerhetsklassificerad information inom EU och Nato, samt bedömningstjänster för system som hanterar nationell säkerhetsklassificerad information. Tjänsten erbjuds både företag och myndigheter.

Evenemanget hölls den 11 juni och samlade deltagare från cirka 40 organisationer. Ämnet väckte tydligt intresse och de frågor och kommentarer som framfördes var sakkunniga. Presentationsmaterialet kan begäras per e-post på adressen ncsa(@)traficom.fi.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.

Sårbarheter

CVE: CVE-2025-23121, CVE-2025-24286 & CVE-2025-24287
CVSS: 9.9
Vad: Flera kritiska sårbarheter som utsätter enheten för dataintrång.
Produkt: VeeAm
Korrigering: Uppdatera Veeam Backup & Replication till versionen 12.3.2 (build 12.3.2.3617).

CVE: CVE-2025-5349 & CVE-2025-5777
CVSS: 9.3
Vad: Sårbarheterna möjliggör kringgående av åtkomsthanteringen.
Produkt: Citrix
Korrigering: Tillverkaren uppmanar kunder som använder NetScaler ADC och NetScaler Gateway att installera de uppdaterade versionerna så snart som möjligt.