I slutet av mars släppte SÄPO sin årsbok för 2019. I den konstaterar de att angreppen från främmande makt har intensifierats i takt med att globalisering och digitalisering gjort samhället mer sårbart. Under 2019 blev det därför allt mer tydligt att vi alla måste börja tänka säkerhet.
Brister i IT-säkerheten ökar riskerna för samhällsstörningar
SÄPO konstaterar i sin årsbok för 2019 att digitaliseringen i kombination med fortsatt stora brister i IT-säkerheten innebär att riskerna för störningar i samhällsviktiga verksamheter ökar. Cyberattacker utförda av kvalificerade statliga och statsunderstödda angripare fortsätter att öka i omfattning och sofistikeringsgrad. De utnyttjar brister i säkerheten för att inhämta information men också för att påverka beslutsfattare och andra.
I dessa tider när dessutom allt fler på myndigheter och organisationer jobbar hemma, har främmande makt möjlighet att hämta säkerhetskänslig information, säger säkerhetspolischef Klas Friberg.
Vi behöver göra mer för att skydda det mest skyddsvärda
Kunskapen om vikten av säkerhetsskydd har ökat i Sverige. Ändå ser Säkerhetspolisen fortfarande brister hos de myndigheter och andra verksamheter som hanterar det mest skyddsvärda.
”Arbetet med att skydda det mest skyddsvärda behöver intensifieras. Gapet mellan sårbarheter och säkerhetsskydd är fortfarande för stort. En bättre kunskap om hot, sårbarheter och säkerhetsskydd, samt en högre prioritering av dessa frågor skulle minska gapet”, säger Anna Sjöberg, chef för säkerhetsavdelningen, där Säkerhetspolisens arbete med säkerhetsskydd ingår.
Nya säkerhetsskyddslagen ett stort steg i rätt riktning
Med den nya säkerhetsskyddslagen och tillhörande förordning har Försvarsmakten fått ett utökat ansvar inom det som kallas signalskydd. Det nya är att alla verksamhetsutövare som bedriver säkerhetskänslig verksamhet, det vill säga verksamhet av betydelse för Sveriges säkerhet, nu omfattas. Det innebär att alla aktörer som kommunicerar säkerhetsskyddsklassificerad information måste använda signalskydd som är godkänt av Försvarsmakten på förbindelser som kan avlyssnas av obehöriga. Detta gäller numera både offentlig och privat verksamhet vilket kommer att stärka säkerhetsskyddet i hela samhället.
– Att minska sårbarheterna är något som hela samhället behöver ta ansvar för och prioritera högre. Den nya lagstiftningen på området möjliggör detta på ett tydligare sätt, bland annat eftersom den sätter skyddsvärdet i fokus oavsett om det finns hos en myndighet eller i en privat verksamhet, säger Anna Sjöberg.
Mer åtgärder för att höja nivån på informationssäkerheten behövs
Även MSB (Myndigheten för Samhällsskydd och Beredskap) har nyligen publicerat sin årsrapport för 2019. I den konstaterar de att fler myndigheter rapporterar allvarliga it-incidenter men antalet rapporter är fortsatt lågt. Deras slutsats är att ett systematiskt och riskbaserat informationssäkerhetsarbete med incidenthanteringsprocesser och kontinuitetsplanering skulle behövas för att höja lägstanivån.
Här deras rekommendationer:
- Det är angeläget att med kraftfulla åtgärder fortsätta höja grundnivån av informations- och cybersäkerhet i samhället.
- För att kunna säkerställa en tillräcklig nivå av informationssäkerhet i en organisation är det viktigt att informationssäkerhetsarbetet bedrivs systematiskt, riskbaserat och långsiktigt.
- Se till att hantera incidenter på ett proffsigt sätt genom funktionen CERT-SE som är Sveriges nationella funktion för hantering av it-relaterade incidenter inom samhällsviktig verksamhet i både privat och offentlig sektor.
Behöver du råd om hur du kommer igång med ett systematiskt informationssäkerhetsarbete?
Läs mer här.
Säkerhetsskyddsanalysen är grunden
För att verksamheten ska hitta en väl avvägd nivå för säkerhetsskyddet behöver en analys göras där man identifierar vad som behöver skyddas och var i verksamheten skyddsvärdena finns.
Säkerhetsskyddsanalysen utgör själva grunden för arbetet med säkerhetsskydd.
Genom att ställa dig följande frågor får du fram det som krävs för en sådan analys:
- Vad är målet med verksamheten?
- Vilka är verksamhetens skyddsvärden?
- Vilka konsekvenser kan uppstå?
- Vad är hotet?
- Vilka sårbarheter finns?
- Vilka skyddsåtgärder ska väljas?
Lär dig mer om hur du gör en säkerhetsskyddsanalys genom att ladda ned Advenicas säkerhetsskyddsanalysguide här.
Säkerhetskultur en viktig del – alla måste börja tänka säkerhet
För att säkerhetsskyddsfrågorna ska få genomslag i en verksamhet behöver de genomsyra hela organisationen och hanteras av den högsta ledningen, som har mandat att styra över tid och resurser.
Säkerhetsskyddets alla delar måste också finnas på plats. Det spelar ingen roll hur bra skydd som finns i form av exempelvis lås och larm eller olika säkerhetsskyddsåtgärder i it-system om goda säkerhetsskyddsrutiner saknas, eller om medarbetarna inte är lojala. En god säkerhetskultur är avgörande. Därför är det så viktigt att vi alla lär oss att tänka säkerhet.
Behöver du råd kring cybersäkerhet och systematiskt informationssäkerhetsarbete samt lösningar som skyddar det alla mest skyddsvärda är du välkommen att kontakta oss på Advenica.