Cybersäkerhetscentrets veckoöversikt – 8/026

Multifaktorautentisering räcker inte alltid för att skydda Microsoft 365-tjänster

Under början av året har Cybersäkerhetscentret fått anmälningar om flera tiotals fall av intrång i Microsoft 365-konton. M365-konton kapas inom alla sektorer och hos aktörer av alla storlekar som använder miljön. Efter ett kontointrång skickar brottslingar ofta vidare nätfiskemeddelanden från det kapade kontot.

Nätfiskemeddelandena är välgjorda och ofta särskilt vilseledande just eftersom de kan komma från ett kapat konto som tillhör en samarbetspartner och innehålla en länk till en äkta fil. När användaren klickar på länken omdirigeras hen dock till en nätfiskesida som kontrolleras av brottslingar och som liknar ett legitimt inloggningsfönster. Den AiTM-teknik (adversary-in-the-middle) som brottslingarna använder kan kringgå multifaktorautentisering (MFA, multi-factor authentication).

Organisationer behöver införa ytterligare skyddsåtgärder för att förhindra AiTM-angrepp. Rekommenderade åtgärder är:

• Lösenordsfri och nätfiskeresistent autentisering (phishing-resistant MFA)
• Tillåta åtkomst endast från godkända och hanterade enheter (device compliance policies)
• Riskbaserad autentisering
• Kontinuerlig utvärdering av åtkomst (Continuous Access Evaluation)
  
  
   

Till Cybersäkerhetscentret har det anmälts fall där en användare hann ange sina inloggningsuppgifter på en nätfiskesida, men där dataintrånget förhindrades tack vare organisationens villkorsbaserade åtkomstregler. Nätfiske är ett ständigt föränderligt hot, och ingen enskild åtgärd ger ett fullständigt skydd. Uppföljning och analys av inloggningsloggar samt identifiering av avvikelser möjliggör att angrepp upptäcks i tid. Organisationer bör säkerställa att skyddet av M365-miljön motsvarar den förändrade hotbilden.

Myndigheten för digitalisering och befolkningsdata publicerade en ny handbok som stöd för övningsverksamhet

Myndigheten för digitalisering och befolkningsdata har publicerat en handbok om hur man säkerställer övningars effekter och genomför utvecklingsåtgärder i praktiken (tillgänglig på finska: “Harjoitusten vaikutusten varmistaminen ja kehitystoimien vieminen käytäntöön”). Handboken hjälper organisationer att tillvarata resultaten från övningar och omsätta utvecklingsåtgärder i praktiken. Cybersäkerhetscentrets övningsfunktion har medverkat i arbetet med att ta fram handbokens innehåll.

Att säkerställa effekterna av övningsverksamhet inom cybersäkerhet är en väsentlig del av organisationens förmåga att utveckla beredskap och kontinuitetshantering. Lärdomar från övningar och identifierade utvecklingsområden bör dokumenteras och analyseras systematiskt, så att de kan integreras i organisationens verksamhet och planering. Detta säkerställer att övningar inte blir enskilda händelser, utan stöder kontinuerligt lärande och utveckling. Processen omfattar återkoppling efter övningar, dokumentation av resultat samt genomförande av utvecklingsåtgärder som en del av det dagliga arbetet och beredskapsplaneringen.

Nationell cyberövning stärkte kompetensen i kommuner och inom logistiksektorn

Den nationella cyberövningen 2026 (KYHA) samlade aktörer från kommuner och kritisk infrastruktur i Jyväskylä för att öva cybersäkerhet och samarbete. Övningen genomfördes av JYVSECTEC (Jyväskylä Security Technology), ett forsknings-, utvecklings- och utbildningscenter. I år låg särskilt fokus på att stärka cyberkompetensen inom logistiksektorn, men även representanter för nationell trafikstyrning och vädertjänster deltog.

Under övningen behandlades cyberincidenter riktade mot logistiken, vilka simulerades särskilt ur ett perspektiv som omfattade väg- och sjötrafik samt hamnverksamhet. Målet var att stärka inte bara den tekniska cyberkompetensen utan även informationsutbytet i leveranskedjor och samarbetsmodeller vid störningssituationer. Deltagarna fick öva på realistiska hot och hantering av situationer tillsammans med andra organisationer.

Statens cybersäkerhetsdirektör Rauli Paananen vid kommunikationsministeriet betonade att samhällets digitalisering förutsätter cybersäkerhetsövningar för alla aktörer inom kritisk infrastruktur. En övning riktad till logistiksektorn bidrar till att upprätthålla förmågan att hantera cyberincidenter. Enligt en representant för Fintraffics vägtrafikstyrning har återkommande övningar varit till nytta för utvecklingen av den egna verksamheten och övningspraxisen samt för förståelsen av olika aktörers roller i krävande situationer.

Den nationella cyberövningsverksamheten är en del av ett bredare arbete för att stärka finländska organisationers resiliens mot cyberhot. JYVSECTEC ordnar motsvarande övningar för olika branscher. De är viktiga både för utvecklingen av teknisk kompetens och förmågan till samverkan.

ENISA ordnar en enkät om tillämpningen av CRA för små och medelstora företag

ENISA har tillsammans med Europeiska kommissionen lanserat en kort enkät riktad till mikro-, små och medelstora företag (SMF) för att få en bättre förståelse för hur de ser på den kommande cyberresiliensförordningen (Cyber Resilience Act, CRA) och vilket stöd de anser vara mest nyttigt.

CRA börjar tillämpas i december 2027 och gäller SMF som tillverkar, distribuerar eller importerar produkter med digitala element. SMF har en central roll i Europas digitala leveranskedja. Svarandenas synpunkter är viktiga för att den kommande vägledningen och det stöd som tas fram ska vara praktiskt, realistiskt och genuint användbart.

Enkäten behandlar bland annat följande teman:
• Förståelse för och kännedom om CRA
• Hur förberedda SMF upplever sig vara inför genomförandet av CRA och vilka utmaningar de ser
• Nuvarande praxis inom cybersäkerhet och produktsäkerhet
• Önskade sätt att få vägledning, stöd och aktuell information om CRA

Ni kan gärna sprida enkäten till SMF i era nätverk. ENISA delar även information om enkäten via nätverket Digital SME Alliance och till medlemmarna i ENISA:s rådgivande grupp.

Beredskap för hektiska cyberstörningssituationer är en del av organisationers vardag – Cybersäkerhetscentrets Matias Mesiä föreläste på Disobey

Cybersäkerhetscentret var väl representerat i lördagens kvällsprogram på huvudscenen, då operationschef Matias Mesiä föreläste om hanteringen av betydande cyberincidenter. Mesiä betonade att beredskap för hektiska cyberstörningssituationer är en del av organisationers vardag. Planerade handlingsmodeller bör övas och utvecklas genom en kritisk granskning baserad på tidigare erfarenheter.

Under de senaste åren har Cybersäkerhetscentret årligen inlett närmare 20 omfattande operationer för att hantera betydande cyberincidenter. Exempel på sådana är dataintrånget mot Helsingfors stad och kabelbrotten i Östersjön – fall med omfattande konsekvenser eller som krävde snabba åtgärder – samt olika förebyggande insatser.

Mesiä delade med sig av fallbeskrivningar och lärdomar som samlats under åren. Incidenthantering bygger på tydliga, tillräckligt lätta och väl inövade processer, så att tröskeln för att inleda åtgärder inte blir för hög. Samtidigt betonade Mesiä betydelsen av efterarbetet. Nedtrappningen av en operation och insamlingen av lärdomar är viktiga delar av incidenthanteringsprocessen för att verksamheten ska utvecklas från gång till gång.

Mesiä gav också flera konkreta råd. En organisation som drabbas av en betydande cyberincident kan till exempel ställas inför utmaningar kring otydlig arbetsfördelning och ansvar: vem leder och vem gör det inte? Vem samlar in information och vem ansvarar för samordningen med myndigheter? För dem som utreder incidenten är det dessutom bra att arbeta i par, där den ena dokumenterar och antecknar hur utredningen framskrider.

Cybersäkerhetscentrets experter har medverkat på Disobeys scen även tidigare år. Föreläsningarna av Jussi Eronen, Heikki Juva och Antti Rössi kan ses via länkarna nedan.

Aktuella bedrägerier

I den här sammanfattningen berättar vi om aktuella bedrägerier som har rapporterats till Cybersäkerhetscentret under den senaste veckan.