Om du vill höja din cybersäkerhet finns Advenica alltid där för att hitta den bästa lösningen för dina behov. Men innan du hittar lösningen måste du ta reda på vad problemet är, vilka risker som finns och hur en potentiell lösning skulle passa in i din miljö. Det kan också finnas lagar eller förordningar som kräver att du använder specifika lösningar. Så innan du köper och implementerar cybersäkerhetslösningar finns det några steg du behöver ta!
Utför en riskanalys
För att kunna veta åt vilket håll man ska gå i sitt cybersäkerhetsarbete måste man utvärdera verksamheten så som den ser ut idag – genom att göra en analys av de risker som finns i nuläget i verksamhetens system. Utifrån de beräknade riskerna kan du skapa en arkitektur med zoner, och dataflöden mellan zonerna. Denna metod, där du använder riskanalys som bas för att skapa zoner, är baserad på standarden IEC 62443!
I en initial, enkel riskanalys identifierar man det värsta som kan hända idag utan att ha introducerat några riskreducerande åtgärder. Senare görs en detaljerad riskanalys för separata zoner och flöden. Detta steg tar man först när man gjort indelningarna av zoner och flöden som baserats på den initiala riskanalysen.
Målet med dessa riskanalyser är att i slutändan kunna applicera rätt riskreducerande åtgärder och skapa en säkrare verksamhet där krutet läggs på rätt ställen.
Hur gör man en riskanalys?
I den initiala, enkla riskanalysen tittar man på ett worst case-scenario, alltså det värsta som kan hända i verksamheten. Här räknar man med att man inte vidtagit några åtgärder för att reducera de risker som finns. Man behöver en del input i denna fas, så som:
- Övergripande systemarkitektur – man behöver veta vilka system som ingår för att systematiskt kunna gå igenom dem.
- Riskkriterier och riskmatris med tolererbar risk – vilka risker kan vi acceptera och vad måste vi åtgärda? Hur mäter vi risk?
- Befintliga riskanalyser – har vi gjort någon slags riskanalys tidigare och kan använda oss av delar därifrån?
- Information om hotbild – vad skulle kunna hända? Vilka hot finns gentemot organisationen?
Utifrån denna input kan man alltså räkna ut en worst case-risk som de olika delarna i systemet blir utsatta för utan säkerhetsfunktioner eller segmentering. Det man ska fråga sig är vilken påverkan en cyberattack som medför att systemen sätts ur spel får på verksamheten? Hur stor blir spridningseffekten? Hur stora geografiska områden påverkas och hur många människor påverkas? Om eldistributionen skulle stängas av kan många människor påverkas. Finns det kritisk verksamhet (t.ex. sjukhus) som är beroende av eltillförsel? I den initiala riskanalysen är man bara intresserad av konsekvensen och antar då att sannolikheten är ’ofta’.
Genom att definiera våra olika worst-case-scenarion och koppla dessa till de olika systemen kan vi göra en initial zonindelning där systemen placeras i zoner tillsammans med andra system med samma nivå av skyddsvärde.
Börja jobba med zonindelning
Zonindelning av ett IT-system görs både av säkerhetsmässiga och funktionella anledningar. Generellt sett är den bakomliggande drivkraften att minska risken för olika typer av störningar i systemet. Säkerhetsmässigt handlar zonindelning om att samla tillgångar med samma typ av skyddsbehov med avseende på sekretess, integritet, tillgänglighet och åtkomst. Ju högre krav som ställs på skydd av ett system desto mer kostar det att bygga och underhålla systemet och skyddsmekanismer vilket gör att man av ekonomisk hänsyn vill sträva efter att minimera storleken på system med höga krav på skydd.
Detta innebär att man genom zonindelning bör försöka samla tillgångar med högt skyddsbehov och separera dessa från tillgångar med lägre skyddsbehov. Med segmentering menas att man har separata zoner för sina tillgångar, men oftast tillåter man ändå viss kommunikation mellan dessa zoner. I vissa lite mer extrema fall kan isolering eller ”galvanisk separation” vara aktuellt och då tillåts ingen nätverksbaserad kommunikation mellan zonerna.
1. Skapa en zonmodell
För att få struktur på segmenteringsprojektet bör man skapa en zonmodell som definierar vilka typer av zoner man har och vilka säkerhets- och assuranskrav man har på säkerhetsfunktionerna som separerar zonerna.
2. Definiera vad som ska segmenteras
Definiera vilket eller vilka system som ska segmenteras och som därmed ingår i segmenteringsprojektet. Det är ytterst viktigt att omfattningen för projektet är tydligt definierad och väl kommunicerad till alla inblandade. Rita en högnivå-bild över systemen som ska segmenteras där gränser till andra system finns inritade. Beskriv även vilka dataflöden som kommer finnas in och ut ur systemen.
3. Gör en säkerhetsanalys av ingående system
De system som ingår i segmenteringsprojektet behöver klassificeras med avseende på deras skyddsvärde. Klassificeringen bör ske löpande av verksamheten men en säkerhetsanalys kan identifiera system och information som inte blivit klassificerad. Hur denna typ av analyser går till finns beskrivet i lite olika källor och på lite olika sätt, ett exempel är ”Vägledning Säkerhetsskyddsanalys”, Säkerhetspolisen, juni 2019.
4. Partitionera systemen enligt zonmodellen
Placera systemen enligt zonmodellen. Placering baseras på krav på säkerhet, tillgänglighet, funktion och driftansvar. Förståelse för hur de olika systemen kommunicerar med varandra på nätverksnivå är central. Minimera kommunikationen mellan zoner, dvs över zongränserna. Kontrollera informationsflöden mellan zonerna.
När du väl har gjort en gruppering av dina zoner och dataflöden behöver du oftast göra en detaljerad riskanalys. Enligt IEC 62443 utförs en detaljerad riskanalys om den initiala risken överstiger den acceptabla risken. I den detaljerade riskanalysen görs en riskanalys per zon och flöde och baseras på samma riskmatris som för den initiala riskanalysen. Den detaljerade riskanalysen baseras på ett antal steg:
- Identifiera hot och hotaktörer mot zoner och flöden
- Identifiera sårbarheter som kan utnyttjas
- Bedöm oförändrad konsekvens, sannolikhet och risk
- Inför riskreducerande åtgärder
- Bedöm minskad konsekvens, sannolikhet och risk
- Är den minskade risken OK? Om inte, inför fler åtgärder
När den minskade risken är mindre än den acceptabla risken har du nått dina mål med dina riskreducerande åtgärder. Läs mer om hur du gör riskbaserad zonindelning!
Undersök vilka lagar och direktiv ni måste följa
Det finns viktiga lagar och förordningar du bör känna till, till exempel NIS-direktivet. NIS-direktivet (The Directive on security of network and information systems) är ett direktiv. Det innebär att det anpassas till nationell lagstiftning i varje medlemsstat vilket gör att det finns skillnader i tillämpningen i respektive land.
NIS-direktivet syftar till att påskynda åtgärder och höja EU-medlemsstaternas skyddsnivå när det gäller samhällskritisk infrastruktur. Kort sagt ska informationssäkerheten för samhällsviktiga tjänster öka. Lär dig mer om NIS-direktivet!
En annan lag som kan vara viktig för din organisation är säkerhetsskyddslagen. Den nya säkerhetsskyddslagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Säkerhetsskyddslagen (2018:585) innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, förstärks. Läs mer om säkerhetsskyddslagen!
Kontakta Advenica när ni gjort alla steg
När du har tagit dessa steg är det dags att kontakta en cybersäkerhetsexpert som kan hjälpa dig att välja rätt cybersäkerhetsprodukter för dina behov. Advenicas produkter kan ofta användas som de är, eller med mindre anpassningar. Om du behöver mer skräddarsydda lösningar efter dina specifika behov startar vi ett cybersäkerhetsprojekt tillsammans!
Har du några frågor? Tveka inte att kontakta oss! Såklart även om du inte gjort alla steg – vi finns här för att hjälpa!