Samhällsviktig verksamhet har inte endast ansvar för sin egen organisation, utan även ett större ansvar som rör Sverige, samhället och dess medborgare. Så vad ska man tänka på när man stärker sitt skydd inom samhällsviktig verksamhet? Vi går igenom grunderna och ger en handfull råd!
Varför är informationssäkerhet så viktigt inom samhällsviktig verksamhet?
Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas.
Informationssäkerhet gäller såväl hos enskilda personer som hos organisationer, både i näringslivet och i offentlig verksamhet. Informationssäkerhet omfattar därför hela samhället.
När det kommer till samhällsviktig verksamhet är det desto mer viktigt att man har en stark informationssäkerhet inom sin organisation. Den information som behandlas kan påverka samhället drastiskt om den läcker ut, förvanskas, förstörs eller stjäls, då det kan innebära stora störningar i samhället och till och med fara för liv.
Vad finns det för regelverk för samhällsviktig verksamhet?
Säkerhetsskyddslagen
Det finns ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vilka som bedriver säkerhetskänslig verksamhet. Det är i stället varje verksamhetsutövares egna ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksamhet enligt de författningar som gäller på säkerhetsskyddsområdet.
Säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks.
Arbetet med säkerhetsskydd behöver inledas med ett aktivt ställningstagande om huruvida en verksamhet till någon del är säkerhetskänslig. I praktiken medför detta att verksamhetsutövare, om svaret inte är uppenbart, behöver genomföra det första steget av processen för säkerhetsskyddsanalys och baserat på detta kan man sedan ta beslut om man faller under definitionen säkerhetsskydd.
Vill du veta mer om hur du gör en säkerhetsskyddsanalys?
Lagen om informationssäkerhet för samhällsviktiga och digitala tjänster
NIS-direktivet, The Directive on security of network and information systems, är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land. NIS-direktivet trädde i kraft den 1 augusti 2018 i Sverige genom lagen om informationssäkerhet för leverantörer av samhällsviktiga och digitala tjänster.
I dessa föreskrifter finns ett antal punkter som tydliggör hur man kan anpassa sin verksamhet:
- Systematiskt och riskbaserat informationssäkerhetsarbete – Det informationssäkerhetsarbete som bedrivs gällande informationshantering i nätverk och informationssystem som används för samhällsviktiga tjänster ska ske med stöd av standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, men ska även anpassas efter organisationen. När man identifierat de risker som finns ska man tydliggöra organisationens ansvar för arbetet med informationssäkerhet, se till att alla resurser finns för att kunna utföra arbetet, samt se till att arbetet anpassas och utvärderas.
- Närmare krav på informationssäkerhetsarbetet – Målet med organisationens arbete med informationssäkerhet ska framgå i en policy. Man måste även ha ett dokumenterat arbetssätt för att exempelvis klassificera information, analysera risker och ta rimliga säkerhetsåtgärder. Det är även viktigt att utbilda medarbetarna och se till att de förstår hur arbetet ska skötas och vad deras roll är.
- Särskilt om nätverk och informationssystem – Självklart är det av stor vikt att de nätverk och informationssystem som används för samhällsviktiga tjänster uppfyller kraven för informationssäkerhet. Man ska även ha en gedigen incidenthantering för informationen i dessa system och en plan för hur incidenterna ska hanteras och hur verksamheten ska gå vidare efter en incident.
Läs mer om NIS-direktivet och om du påverkas av det!
Vad kan hända om informationssäkerheten inom samhällsviktig verksamhet brister?
Bristande informationssäkerhet i samhällsviktig verksamhet kan få konsekvenser i form av att verksamheten inte kan bedrivas på ett ändamålsenligt och effektivt sätt, bristande skydd för den personliga integriteten, samt allvarliga konsekvenser för samhället.
Brister i informationssystem kan också påverka fysiska tillgångar. Skador på den kritiska infrastrukturen kan få ödesdigra följder. Incidenter som leder till oförmåga eller förstörelse av sådana system och tillgångar kan leda till allvarliga kriser som drabbar de finansiella systemen, allmänhetens hälsa, den nationella säkerheten eller kombinationer av dessa.
Det kan även leda till ett försämrat förtroende för tjänster och bakomliggande aktörer. Allvarliga och upprepade störningar kan leda till förtroendekriser, som också kan sprida sig till fler aktörer och tjänster och även till andra sektorer.
Hur börjar man jobba med informationssäkerhet?
För att höja beredskapen finns nu nya lagar. Dessa ställer krav på aktörer som levererar samhällsviktiga tjänster att höja informationssäkerheten. Det är dock inte alltid så lätt att veta var man ska börja. Därför kommer här åtta råd som ser till att du kommer i gång med informationssäkerheten på rätt sätt.
1. Inse att informationssäkerhet innebär mer än teknik
Idag hanteras mycket information i IT-system, vilket ofta medför att informationssäkerhet likställs med IT-säkerhet. Men, människor och processer måste också inkluderas, och alla delar är lika viktiga för att lyckas. För att skapa ett hållbart skydd krävs systematiskt och kontinuerligt arbete utifrån tillgångar, hot och risker.
2. Informationssäkerhetsarbetet bör kopplas till organisationens riskhantering
Allt säkerhetsarbete bör bottna i hur organisationen hanterar risker i den miljö där organisationen lever och verkar. Informationssäkerhetsrelaterade risker ska behandlas likadant som övriga risker.
3. Säkerställ att ledningen tar ansvar för informationssäkerheten
Ansvaret för säkerhetsarbetet måste alltid ligga hos ledningen, eftersom endast ledningen kan ta ett beslut att inte göra något åt säkerhetsriskerna. Med tanke på hur cyberattackerna ökar innebär ett beslut att inte investera i informationssäkerhet att man som verksamhet och ledning tar en oerhört stor finansiell risk.
4. Se över rutiner och processer
Informationssäkerhet omfattar hela organisationens verksamhet och all information oavsett om den finns i datorer eller på papper. Börja kartlägga processer och rutiner, vem som har tillgång till vilken information och vilka system samt nivån på dagens säkerhetstänk.
5. Säkerställ rätt resurser
Informationssäkerhetsarbetet måste bedrivas systematiskt och kontinuerligt för att säkerställa en tillräcklig nivå av informationssäkerhet i organisationen. För framgångsrikt informationssäkerhetsarbete bör du säkerställa både ledningens engagemang och rätt resurser.
6. Inled informationssäkerhetsarbetet med en analys
Systematiskt informationssäkerhetsarbete måste alltid anpassas efter en organisations specifika omständigheter. Att börja med att analysera både omvärlden och den egna verksamheten rekommenderas. Baserat på resultatet kan beslut tas om vilka säkerhetsåtgärder som måste implementeras.
7. Utveckla en säkerhetspolicy (denna hjälper dig att upprätthålla informationssäkerhet)
Styrdokument såsom en säkerhetspolicy är det formella ramverket för organisationens informationssäkerhetsarbete. Dessa bör specifikt ange vad som ska vara tillgängligt, vilka åtgärder som ska vidtas och hur arbetet ska gå till.
8. Ta hjälp av dem som kan informationssäkerhet
Att komma i gång med ett systematiskt informationssäkerhetsarbete är ett stort projekt som kan kännas lite övermäktigt att driva helt själv. Har du möjlighet så ta hjälp av de som kan allt om informationssäkerhet.
Har du frågor om hur du kan säkra er verksamhet? Tveka inte att kontakta oss!
