– Utgångspunkten är att samhället har transformerats totalt och nu är helt beroende av informations och kommunikationsteknologi (IKT). Ingen del av det moderna samhället klarar sig utan informationssystem, förklarar Richard Oehme, chef för Cybersäkerhet och skydd av samhällsviktig verksamhet vid Myndigheten för samhällskydd och beredskap (MSB). 

Han fortsätter med att konstatera att skyddsåtgärderna inte alls utvecklats i samma utsträckning. Och, frågan är om det ens är möjligt att skapa skyddsåtgärder för allt.

– Det är snarare så att man måste jobba på ett nytt sätt med att skydda sina informationssystem. Man måste identifiera vilka delar i verksamheten som är allra viktigast att skydda, och sedan säkerställa skyddet av dessa. Data

Alla organisationer måste göra medvetna val angående sitt skydd 

Det innebär att man också måste välja bort delar som inte kommer skyddas i alla lägen, vilket görs via en risk- och sårbarhetsanalys. Med den som bottenplatta slår man fast vad som alltid måste fungera, därefter går man vidare och skapar ett anpassat skydd för olika informationstillgångar. Vad som alltid måste fungera är helt beroende på verksamheten.

– Så, varje organisation måste göra sin egen risk- och sårbarhetsanalys. Var och en måste göra medvetna val och säkerställa skyddet för det mest skyddsvärda och sedan kanske acceptera att vissa delar inte kan skyddas hela tiden, slår Richard Oehme fast. 

Han förespråkar också att organisationerna gör en risk- och sårbarhetsanalys som utgår från ett allriskperspektiv, vilket innebär att de inte bara gör analyserna utifrån risk för antagonistiska angrepp. Det är minst lika viktigt att vara beredd på ett vanligt strömavbrott eller en avgrävd fiberkabel samt att  ha en plan för hur man hanterar dessa störningar. 

Kontroll vid upphandlingar 

Idag ingår många it-tjänster i upphandlingar av olika slag och där gäller det att säkerställa att den leverantör man handlar av inte har sådana beroendeförhållanden till underleverantörer som i sin tur kan påverka den tjänst man köper. 

Man skapar rutiner både som en del i skyddet och för hur man agerar om något händer

– Det gäller att vara noga redan i kravställningen i upphandlingen, och sedan följa upp att alla kraven är tillgodosedda på alla nivåer och i alla led, säger Richard Oehme. 

När man väl gjort sin risk- och sårbarhetsanalys och medvetet valt ut vilka delar man alltid behöver skydda, måste man skapa rutiner både som en del i skyddet och för hur man agerar om något händer, d.v.s. en kontinuitetsplan. 

– Det här är en del som tyvärr allt för många prioriterar bort. Vad händer om de system som kommunen behöver för att betala ut försörjningsstöd slutar att fungera eller om man som ett litet fåmansföretag inte har en backup på sin kritiska data och servern hackas? Här gäller det att ha en kontinuitetsplan som säkerställer att man kan upprätthålla sin kritiska verksamhet när något har hänt, konstaterar han. 

Han kommer då in på att en central del för organisationer är att ha genomarbetade rutiner för  it-incidenthantering.  

Incidenthantering 

Vid MSB finns CERT-SE som är Sveriges nationella CSIRT (Computer Security Incident Response Team) med uppgift att stödja samhället i arbetet med att hantera och förebygga it-incidenter. Sedan 4 april är det också obligatoriskt för statliga myndigheter att rapportera allvarliga it-incidenter.

– Och, även om lagen bara föreskriver myndigheter att rapportera incidenter så kan även andra organisationer och företag göra det frivilligt, vilket vi rekommenderar, säger Richard Oehme. 

Och snart kommer också Nät- och informationssäkerhetsdirektivet, det s.k. NIS-direktivet inom EU som kommer reglera rapportering och åtgärder inom sex olika sektorer, detta direktiv kommer även att inkludera privata företag. 

data

 

Industriella informations- och styrsystem 

Det kan vara svårt att förstå omfattningen av allt som idag styrs via någon typ av it-system. Men alla kritiska samhällsfunktioner som elförsörjning, vattenförsörjning och transporter är helt beroende av it-system. Om de  störs ut eller hackas så  kan påverkan på samhället bli stor. För att styra och övervaka de processer som behövs för att kritisk infrastruktur ska fungera används en speciell typ av system - industriella informations- och styrsystem. 

Fungerar inte dessa styrsystem så fungerar inte samhället

– Vanliga kontorssystem kan skyddads på olika sätt, men när de kopplas upp mot industriella informations- och styrsystem, som ännu inte är lika skyddade, så ökar helt klart riskerna för att samhällsviktig verksamhet och kritisk infrastruktur kan slås ut, berättar Richard Oehme. 

Hans slutsats är att de industriella informations- och styrsystemen behöver skyddas bättre och att man måste vidta säkerhetsåtgärder när de kopplas samman med kontorssystem. 

– För, fungerar inte dessa styrsystem så fungerar inte samhället, konstaterar han. 

MSB har tillsammans med andra aktörer tagit fram en guide för det, ”Vägledning till ökad säkerhet i industriella informations- och styrsystem”. Den har enligt honom blivit en ”de facto”-standard i det systematiska arbetet med att skydda de styrsystemen. 

Informationssäkerhet är en ledningsfråga 

En rekommendation som Richard Oehme ger är att jobba strukturerat med ett Ledningssystem för informationssäkerhet, (LIS).

– Etablerar man ledningssystem för informationssäkerhet så har man grundplattan för ett systematiskt säkerhetsarbete i sin verksamhet. 

LIS bygger på standarder i ISO-serien 27000. MSB har med flera aktörer tagit fram ett metodstöd för arbetet som man hittar på informationssäkerhet.se. Man får veta hur man bland annat upprättar, driver  och följer upp policy och mål som är relevanta för riskhantering och förbättring av informationssäkerhet. 

Att arbeta systematiskt med informationssäkerhet handlar mycket om att skydda sina tillgångar

Att arbeta systematiskt med informationssäkerhet handlar mycket om att skydda sina tillgångar. Organisationer och företag kan genom ett systematiskt arbete med informationssäkerhet öka både kvaliteten och förtroendet för sin verksamhet. Slarvar man med informationssäkerheten så kan däremot central tjänster för den egna organisationen påverkas och styrkan i varumärket snabbt dala.   

Ansvaret för en organisations informationssäkerhet har under lång tid legat på it-avdelningar. Men, enligt Richard Oehme är det avgörande för ett framgångsrikt arbete med att skydda och säkerställa sina informationstillgångar att dessa frågor ytterst avgörs på ledningsnivå och i styrelserummen.

– Jag kan inte nog poängtera vikten av att ledningarna på företag, myndigheter, kommuner och andra organisationer verkligen tar dessa frågor på allvar och själva leder det strategiska arbetet med informationssäkerhet, avslutar han.