Ny lag och många nya krav – det är många bolag som känner att de inte riktigt har hunnit med när det gäller arbetet med informationssäkerhet. Detta trots att de nya reglerna kräver det av dem.
Hur gör man en säkerhetsskyddsanalys? Hur integrerar man IT- och OT system på ett säkert sätt? Kan man outsourca tjänster på ett säkert sätt? Varför behövs nätverkssegmentering? Frågorna är många och behovet av cybersäkerhetsexperter stort.
Säkerhetsskyddslagen – nya krav
Den nya säkerhetsskyddslagen som trädde i kraft i april 2019 innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, har förstärkts.
Säkerhetsskyddslagen gäller för verksamheter som drivs i såväl offentlig som privat regi och alla verksamheter med skyddsvärda data omfattas. Det kan till exempel handla om kritisk infrastruktur och deras system för styrning av känsliga processer (SCADA), i och med att dessa utgör en potentiell attack möjlighet.
Den nya lagen tydliggör skyldigheterna för säkerhetskänslig verksamhet och betonar vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Det är också obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare.
I säkerhetsskyddsförordningen, med regler som kompletterar den nya lagen, står det även att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll måste skyddas av en speciell kryptering som har godkänts av Försvarsmakten.
Allt som allt innebär detta många nya krav på alla verksamheter som är berörda och många bolag följer ännu inte alla dessa nya regler.
Omfattas bolaget av säkerhetsskyddslagen?
Här kommer 4 tips gällande informationssäkerhet
Advenica har lång erfarenhet av informationssäkerhetsarbete och tillhandahåller expertis och unika, tekniskt avancerade, hållbara och framtidssäkra cybersäkerhetlösningar med hög assurans.
Här ger vi 4 tips på områden inom informationssäkerhet som bolag som omfattas av de nya reglerna bör sätta sig in i.
1. Viktigt att börja med en säkerhetsskyddsanalys
När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Genom att ställa dig ett antal frågor får du fram det som krävs. Läs mer om detta i vår guide ”Hur gör man en säkerhetsskyddsanalys?”.
2. Nätverkssegmentering – fundamentalt för informationssäkerhet
Behovet av att strängt säkerställa integritet och konfidentialitet mellan nätverk är absolut nödvändigt för att leva upp till de externa och interna krav som finns både på informationssäkerhet och produktionssäkerhet. Nätverkssegmentering begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomeware sprider sig okontrollerat och snabbt. Läs mer om nätverkssegmentering och olika typer av separation i vårt White Paper ”Nätverkssegmentering – fundamentalt för informationssäkerhet”.
3. Skydda känslig information med en datadiod
En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket. Genom att använda en datadiod kan du säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet. Läs mer om datadioder och hur du använder dem i vår kunskapsbank – ”Vad är en datadiod?”.
4. Säker systemintegration mellan IT- och OT-system
I takt med samhällets digitalisering har behovet att koppla samman OT-system med IT-systemen ökat. Denna integration är en stor utmaning ur säkerhetssynpunkt då risken finns att någon olovandes påverkar eller ändrar i systemet. Med speciella lösningar kan man säkerställa säker systemintegration. Läs mer om detta i vår lösningsbeskrivning ”Säker IT/OT integration”.
Behöver du mer hjälp är du välkommen att kontakta oss på Advenica.