Flera Twitterkonton på Sveriges Radio hackade i helgen

I helgen råkade bland annat Sveriges Radios Eko-redaktion ut för dataintrång av flertalet Twitterkonton och obscena och märkliga inlägg publicerades. Inläggen ska ha varit av rasistisk och sexuell karaktär och ”hackaren” eller ”hackarna” ska även ha publicerat en bild på ett australiensiskt körkort.
Vi står inte bakom de publicerade meddelandena
Händelsen utreds och de tre Twitterkonton som utsatts har inaktiverats och man jobbar på att lösa det inträffade, sa Klas Wolf-Watz, chef på Ekot, till SVT Nyheter i lördags. Vidare säger Klas Wolf-Watz att de ser väldigt allvarligt på det inträffade då det inte är Sveriges Radio Eko-redaktion som står bakom meddelanden.
Läs mer här.
Amazon stäms för dataskyddsbrott

Europäische Gesellschaft für Datenschutz (EuGD) stämmer Amazon för brott mot dataskyddsförordning, GDPR, för olaglig överföring av data till USA, skriver EuGD i ett pressmeddelande 9 oktober 2020. Det handlar om att Amazon fortsätter att samla in, använda, lagra och överföra kundinformation till USA med stöd av Privacy Shield trots att den ogiltigförklarades i juli i år i samband med Schrems II-målet.
Ett dussintal rättsfall
I pressmeddelandet framkommer att EuGD har erfarenhet av ett dussintal liknande rättsfall i Tyskland och att fallen är extremt tidskrävande och kostsamma för de individer som det handlar om. Vidare säger EuGd:s VD Johann Hermann att det är oacceptabelt att världsledande molnföretag så som Amazon ignorerar konsumenternas rättigheter.
Läs mer här.
H&M bötfälls med 35 miljoner euros för dataskyddsbrott

Den tyska dataskyddsmyndigheten i Hamburg ålägger H&M 35,3 miljoner euro i böter för dataskyddsbrott. Flera hundra anställda vid H&M:s servicecenter i Nürnberg, Tyskland, har blivit övervakade av dess ledning genom registrering av personliga uppgifter, enligt den tyska dataskyddsmyndigheten i Hamburg, skriver EDPB på sin hemsida.
“Välkommen tillbaka samtal”
Övervakningen skall ha skett sedan åtminstone 2014 och delar av företagets anställda har varit föremål för en omfattad registrering av personliga detaljer om deras privatliv. Informationen har sedan lagrats på en nätverksenhet. Ledningen har utfört så kallade ”Välkommen tillbaka samtal” med sina anställda efter exempelvis sjukfrånvaro eller semestrar och en del av dessa samtal har dokumenterats och lagrats digitalt. Samtalen har spelats in och i vissa fall dokumenterats under längre tidsperioder.
Integritetsintrång
Uppgifterna som samlats in har bland annat använts för att ta beslut om åtgärder gällande de personalens anställning. Kombinationen av att samla in detaljer om de anställdas privatliv och registreringen av deras aktiviteter har lett till ett särskilt integritetsintrång i arbetstagarnas medborgerliga rättigheter.
Läs mer här.
Ny uppdaterad information gällande hantering av personuppgifter

Datainspektionen har tagit fram ny uppdaterad information riktad främst till arbetsgivare för att ge vägledning i hantering av personuppgifter om sina anställda enligt Dataskyddsförordningen, GDPR. Informationen gäller bland annat vägledning kring vad som gäller för rekryteringssystem och kamerabevakning på arbetsplatser.
Undantagsfall
Det är normalt förbjudet för en arbetsgivare att behandla känsliga personuppgifter så som exempelvis medlemskap i en fackförening eller etniskt ursprung men det finns undantag. Således tar även informationen upp och ger vägledning i vad som gäller i undantagsfall.
Både privat och offentlig sektor
Informationen vänder sig främst till arbetsgivare inom både privat och offentlig sektor, men kan även vara till hjälp för arbetstagare, arbetssökande, fackförbund och branschorganisationer.
Datainspektionen byter namn om regerigen får bestämma

Vid årsskiftet kan det vara så att vi får lägga ett nytt namn på minnet och därmed radera ett gammalt. Detta då Regeringen föreslår att Datainspektionen ska byta namn till Integritetsskyddsmyndigheten.
Därför namnbyte
I budgetpropositionen som regeringen lade fram 21 september framkom flertalet skäl till varför Datainspektionen bör byta namn, bland annat därför att:
”Datainspektionen har ett brett ansvar för att människor ska skyddas mot kränkningar av den personliga integriteten. Det framstår därför som naturligt att låta myndighetens uppdrag när det gäller skyddet för den personliga integriteten avspeglas i dess namn. Genom namnbytet markeras också myndighetens nya roll. Risken för att Integritetsskyddsmyndigheten skulle komma att förväxlas med Säkerhets- och integritetsskyddsnämnden bedöms vara liten.”
Lagändringen föreslås träda i kraft den 1 januari 2021.
Läs mer här (s.90 ff. i Budgetpropositionen för 2021, hela dokumentet, prop. 2020/21:1)
Viktig vägledning gällande personuppgiftsansvariga och personuppgiftsbiträden

Den Europeiska dataskyddsstyrelsen, EDPB, har tagit fram en vägledning som tydligt framhäver gränsdragningen mellan organisationer som är personuppgiftsansvariga och personuppgiftsbiträden. Den organisation som är personuppgiftsansvarig är den som bestämmer varför och på vilket sätt en viss hantering av personuppgifter ska ske. En organisation kan ta hjälp av någon annan för den faktiska hanteringen och då blir den hjälpande organisationen ett personuppgiftsbiträde.
Datainspektionen haft ledande roll
Vägledningen som EDPB har publicerat fokuserar på gränsdragningen mellan personuppgiftsansvarig och -biträde. Den beskriver även vilka följderna blir av att ha en viss roll och vad som måste ingå i det personuppgiftsbiträdesavtal som ska tecknas mellan organisationen med ansvar och den som är biträde. Förutom detta innehåller vägledningen en beskrivning av ett gemensamt personuppgiftsansvar och hur ansvaret ska fördelas mellan dessa.
Vägledningen har tagits fram EU-gemensamt i en arbetsgrupp där den svenska Datainspektionen haft en ledande roll.
Läs mer här.
Norska Stortinget utsatt för cyberattack

Det handlar om en cyberattack där ett begränsat antal e-postkonton tillhörande några av det norska Stortingets ledamöter och anställda inom administrationen blivit angripna. Angriparna har fått ut data från de angivna personernas e-postkonton. Stortingets administrativa chef Marianne Andreassen bekräftar händelsen i ett uttalande på Stortingets hemsida. Stortinget tar händelsen på mycket stort allvar och de riktar full uppmärksamhet åt att analysera situationen. Detta för att uppnå en helhetsbild av det inträffade.
Motivet, omfattningen och skadan ej känd
Vilken typ av data som angriparna kommit över genom de hackade e-postkontona har ännu ej framkommit. Motivet bakom incidenten, omfattningen och skadan är fortfarande okänd. Stortinget har rapporterat in händelsen till bland annat den norska polisens säkerhetstjänst. Händelsen är under utredning.
Läs mer här.
Pulse Secure utsatt för ransomwareattack

Den franska dataskyddsmyndigheten CNIL informerades nyligen om att konfidentiell information om mer än 900 företag runtom i världen har publicerats på ett internetforum. Dessa data ska bland annat ha innehållit IP-adresser till sårbara servrar.
Ej uppdaterade produkter
Vad som inträffat visar sig vara ett dataintrång orsakat av en ransomwareattack där måltavlan varit Pulse Secure, ett virtuellt privat nätverk (VPN) som används av flertalet företag. Attacken påverkade icke uppdaterade versioner av vissa Pulse Secure-produkter, vilket möjliggjort angriparen att komma åt känslig information.
Programuppdateringar tillgängliga
Programutgivaren till Pulse Secure har publicerat en sammanställning av de berörda produktversionerna och tillgängliggjort programuppdateringar till dessa. De rekommenderar att organisationer som ännu ej uppdaterat sina Pulse Secure-produkter bör göra det snarast möjligt för att inte bli utsatta för intrång.
Uppdatera alla lösenord
CNIL rekommenderar också att de organisationer som berörs av detta förnyar alla lösenord som använts i organisationens system. Generellt råder CNIL organisationer att genomföra granskningar av sina informationssystem, samt att övervaka misstänkta aktiviteter för att dessa snabbt ska upptäckas.
Läs mer här.
Riktade IT-attacker mot kryptovalutaföretag

IT-säkerhetsföretaget F-Secure meddelar i ett pressmeddelande den 25 augusti 2020 att en Nordkorea-allierad hotaktör utfört riktade IT-attacker mot flertalet kryptovalutaföretag runt om i världen.
Kopplingar till Lazarusgruppen
Det framgår av pressmeddelandet att det handlar om en mycket skicklig ekonomiskt motiverad hotaktör som har kopplingar till Lazarusgruppen, vars intressen ligger i linje med Nordkoreas. F-Secure drar slutsatsen att attacken var en del av Lazarus offensiv riktad mot kryptovalutaindustrin i bland annat i USA, Storbritannien, Nederländerna och Tyskland.
“Spear phishing”
I pressmeddelandet framgår det att den taktik, de tekniker och processer som använts under attacken är en så kallad ”spear phishing”, i detta fall genom att använda LinkedIn för att skicka falska jobberbjudanden till olika profiler. Trots Lazarusgruppens ansträngningar att dölja sina spår, genom att till exempel inaktivera mottagarens antivirusprogram och avlägsna spår från skadliga koder, kunde F-Secure finna tillräcklig bevisning för att avslöja gruppens attack.
Läs mer här.
Det danska Datatilsynet har kastat känsliga dokument i vanlig pappersåtervinning

Det danska Datatilsynet skriver på sin hemsida att de av misstag har kastat dokument som kan innehålla konfidentiell och känslig information om medborgare, anställda etc. i en container istället för att strimlas. Detta är material som i vanliga fall lagras elektroniskt i Datatilsynets system.
Skulle ha strimlats
Dokumenten har kastats i en behållare i tron om att det sedan skulle strimlas men har istället kastats i en container som vanligt papper. Containern stod emellertid i ett låst återvinningsrum. Det danska Datatilsynet ser incidenten som djupt beklagligt och tycker att det är mycket olyckligt att den har inträffat. Datatilsynet har nu granskat myndighetens riktlinjer och skärpt sina förfaranden för att se till att pappersavfall i framtiden hanteras korrekt.
Pågått mellan februari och augusti
Överträdelsen har pågått under perioden februari till augusti, under samma period som myndigheten flyttade till nya lokaler. Från mitten av mars till mitten av juni har emellertid frågan inte varit aktuell, eftersom alla anställda under denna period arbetade hemifrån på grund av COVID-19. Det finns inga indikationer på att personlig information har nått obehöriga personer.
Läs mer här.