Informations- och cybersäkerhet
Informations- och cybersäkerhet: organisatoriskt och tekniskt skydd
Informationssäkerhet är ett brett område som omfattar skydd av all information men särskilt den ständigt ökande digitala informationen. En vanlig uppdelning av området är i organisatoriskt och tekniskt skydd. Organisatoriskt skydd består bland annat av styrdokument i form av policies och riktlinjer. Tekniskt skydd innefattar exempelvis brandväggar och kryptering, tillsammans med mycket annat.
Nya lagar att ta hänsyn till
Antalet attacker på svenska företag och offentliga aktörer ökar ständigt och det krävs ett allt mer heltäckande skydd för att minska sannolikheten att angriparna lyckas. Därtill har det kommit ett flertal nya lagar senaste åren i form av GDPR, NIS och en uppdaterad säkerhetsskyddslag, vilka till viss del träffar alla svenska företag. Swecos konsulter inom IT har en gedigen erfarenhet när det kommer till många av de branscher som träffas av den utökade skyddslagstiftningen för att skydda samhällsviktig verksamhet, och kan hjälpa er verksamhet att höja informationssäkerheten.
Informationssäkerhet allt viktigare i hög digitaliseringstakt
Informationssäkerhet kommer fortsätta att vara en viktig del för att göra den höga grad av digitalisering som skett och sker i Sverige säker. Många nya tekniska skyddslösningar lanseras men hur effektiva är de och klarar de till exempel GDPRs krav avseende amerikanska myndigheters tillgång till information i lösningen? Vid utformning av skydd behöver många aspekter beaktas för att införda åtgärder ska öka skyddet i tillräcklig grad samt för att de ska vara lagliga enligt exempelvis OSL och GDPR. Esams utredning av digitala samarbetsplattformar för offentlig sektor
Vi kan hjälpa dig som kund med:
- Informationsklassificering
- GDPR-uppfyllnad samt revisioner
- Revidera styrdokument samt granska uppfyllnad
- Konsekvensbedömning enligt GDPR
- Införa ledningssystem för informationssäkerhet
- Utforma incidenthanteringsrutiner
Inspelat seminarium 10 februari: Digitala lösningar för att bygga ett säkert, tryggt och resilient samhälle
Frågor och svar till expertpanel 10 februari
Hur fungerar lösningen om man jobbar offline eller reser mycket i tjänsten, både inrikes och utrikes med opålitlig uppkoppling?
Presenterad systemlösning fungerar inte off-line från bestämt transmissionsnät. Skälet till det är administrativ säkerhet, då denna lösning ska hantera säkerhetsskyddsklassificerade uppgifter som man med största sannolikhet enbart får hantera från Sverige. Normalt är att vi använder Försvarsmaktens signalskydd (krypton) på projektarbetsplatser och -kontor och det är från dessa bestämda platser man arbetar. Att utomlands bära med sig dessa krypton som enskild person är inte särskilt lämpligt, samtidigt mindre troligt att myndigheter ger den typen av tillstånd.
Verksamhetsägaren genomför tidigt en särskild säkerhetsskyddsanalys (SSA) för att förstå verksamhetens behov och gränser. Därefter genomföres det en särskild säkerhetsskyddsbedömning (SSB) som ligger till grund för en mängd beslut.
Från krav och behov inklusive beslut produceras systemlösningen. En lösning som kompletteras med administrativa metoder och fysisk säkerhet.
Svaret är att systemlösning inte fungerar bättre än nätkvaliteten.
När måste en organisation göra en Särskild Säkerhetsskyddsbedömning (SSB)?
Om en organisation bedömer att de bedriver samhällsviktig verksamhet och/eller hanterar säkerhetsskyddsklassificerade uppgifter, då krävs det att organisationen utför en särskild säkerhetsskyddsanalys (SSA) och en särskild säkerhetsskyddsbedömning (SSB).
Vem granskar att t.ex. ett vattenverk uppfyller Säkerhetsskyddslagen? Vad är konsekvensen om man inte uppfyller lagkraven?
Om Vattenverket har bedömt att kraven uppnår kriterierna för Säkerhetsskyddslagen, i det fallet är det SÄPO som är samrådsmyndighet och tillsynsmyndighet.
Generellt är vitet för att bryta mot SSL från 25.000kr-50 000 000kr beroende på hur man brustit och vilken påverkan detta lett till. Inom offentligverksamhet är vitet dock satt till högst 10 000 000 kr.
Hur ser ni på att ha kompetens berörande säkerhetsskydd som värderingsgrund i förfrågningsunderlag vid upphandling?
Att kräva relevant kompetens från offererande företag avseende säkerhetsskydd är att betraktas som en grundläggande förmåga.
Ett företag som riktar sig med erbjudande till upphandlande organisationer som berörs av samhällskritisk verksamhet och infrastruktur samt kan innehålla säkerhetsskydds-klassificerade uppgifter, dessa företag förväntas själva förstå omfattningen och kraven på egen kompetensbemanning.
Varför är säkerhet och compliance inte solklart en strategisk fråga till ledningsgruppen i privata sektor? Ofta ansvarar ju fortfarande IT för det.
Tyvärr är vår erfarenhet att det inte heller är en prioriterad fråga för ledningar inom offentlig verksamhet. Det kan bero på lite olika saker. Som privatföretag så har man inte omfattats av t.ex. säkerhetsskyddslagen förrän förändringen som gjordes 2019 i lagstiftningen, vilket gör att denna fråga är ganska ny inom privat sektor. Även GDPR kan kalkyleras med på ett helt annat sätt kopplat till privata företag där de på ett annat sätt kan beräkna vite mot vinstmarginaler, vilket inte kan göras inom offentlig sektor.
Även NIS direktivet är ganska nytt, EU fattade beslut om detta 2016 och det applicerades i Svensk lag under 2018, vilket gör att även om det nu är 4 år som lagen fick lagakraft så hänger inte tillsynsmyndigheterna helt med och granskningar och viten har uteblivit i samband med att organisationerna för hur de ska granska verksamheterna sattes upp.
Nu eskalerar detta arbete på alla fronter och det kommer att driva frågan till ledningen på ett annat sätt vilket gör att det förhoppningsvis kommer skapa en mer tydlig ledning i frågan inom verksamheterna.
Vi är många som bygger Vattenverk i Sverige idag, hur kan vi få hjälp att synka vår tolkning av vilken information, vilka filer vi skall skydda mest? Idag gör alla sin egen bedömning.
De som bedriver en verksamhet har som regel den bästa kunskapen och förståelsen avseende det man arbetar med och vilket resultat som ska uppnås inom det egna ansvarsområdet.
Ett sätt att stärka förståelsen är att samarbeta med andra liknande verksamheter för att dela kunskap och erfarenheter. Svenskt Vatten bör vara en sådan organisation som kan bära en sådan roll. https://www.svensktvatten.se/
Därutöver går det att ta in företag som arbetar med IT- och Informationssäkerhet när särskild säkerhetsskyddsanalys (SSA) och särskild säkerhetsskyddsbedömning (SSB) ska utföras. Att diskutera hur metodmässigt utföra en analys med en annan part som har erfarenhet av att leverera system inom detta område kan vara ytterligare en förstärkningsåtgärd.
Det berättades att opensorce system väljs bort då dom är svåra att kontrollera ur ett säkerhetsperspektiv. Finns det någon ”stämpel” ett system kan skaffa sig för att visa sin säkerhet?
Ja, det går exempelvis att utgå ifrån system/mjukvara och hårdvara som andra redan har granskat och publicerat resultatet. Främst är det grundläggande opensource system som väljs bort, inkluderat säkerhetskomponenter. Verksamhetsnära opensource mjukvara kan tillåtas då de normalt inte bör vara systemkritiska och öppna mot omvärlden i denna typ av systemlösningar.’
Exempelvis har NSA (USA) en lista på komponenter de har granskat, Components List (nsa.gov). Ytterligare ett exempel är komponenter som är NATO approved