När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Hur gör man då en säkerhetsskyddsanalys?
Teknikutvecklingen ger oss många nya fantastiska möjligheter. Problemet är att myndigheternas säkerhetsskydd inte har hängt med i denna utveckling, vilket får följden att fler brister och sårbarheter exponeras för potentiella attackerare. För att undvika gapet mellan hot och skydd fortsätter att växa behövs fler säkerhetsskyddsåtgärder. Grunden är en säkerhetsskyddsanalys.
Vad är säkerhetsskydd?
Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Den tekniska utvecklingen under de senaste åren gör att vi idag behöver vidga begreppet. Dessutom bör även offentliga och privata verksamheter rymmas inom ramen för säkerhetsskyddet.
Uttrycket Sveriges säkerhet avser både militär och civil verksamhet som kan vara av betydelse för Sveriges säkerhet. Vad som behöver skyddas för att förebygga hot mot Sveriges säkerhet kan i viss utsträckning förändras över tid, men de verksamheter som har betydelse för Sveriges säkerhet ryms idag alla inom en eller flera av följande kategorier:
- Verksamheter som har betydelse för Sveriges yttre säkerhet: Med detta menas Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
- Verksamheter som har betydelse för Sveriges inre säkerhet: Här menas Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmåga på nationell nivå.
- Nationellt samhällsviktiga verksamheter: Med detta menas leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
- Verksamheter som har betydelse för Sveriges ekonomi: Här avses den nationella betalningsförmågan.
- Skadegenererande verksamheter: Hit räknas en verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.
Nya säkerhetsskyddslagen ställer högre krav på säkerhetsskydd
Den 1 april 2019 infördes en ny säkerhetsskyddslag i Sverige. Den gäller för all verksamhet som är av betydelse för Sveriges säkerhet, till exempel olika former av kritisk infrastruktur. Eftersom dessa bolag idag inte alltid är statliga utan även kan vara privata aktörer kommer den nya lagen att påverka många verksamheter. Lagen innebär nya högre krav gällande säkerhetsskyddsarbete och införs för att kunna minska våra sårbarheter.
Hur gör man en säkerhetsskyddsanalys?
När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Man är skyldig att göra en säkerhetsskyddsanalys om man bedriver säkerhetskänslig verksamhet för att undersöka behovet av säkerhetsskydd. Men hur gör man då en säkerhetsskyddsanalys?
Genom att ställa dig följande frågor får du fram det som krävs:
1. Vad är målet med verksamheten?
Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns i verksamheten. Notera även ev. beroende av andra funktioner, både internt och externt.
2. Vilka är verksamhetens skyddsvärden?
Fundera över vad som är verksamhetens skyddsvärden, d.v.s. vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?
3. Vilka konsekvenser kan uppstå?
Gör en konsekvensanalys och bedöm var gränsen för acceptans går.
4. Vad är hotet?
Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?
5. Vilka sårbarheter finns?
Gör en sårbarhetsanalys som visar sårbarheter som är kopplade till verksamhetens skyddsvärden. Dessa kan användas av en potentiell angripare och därför är det viktigt att veta var de finns.
6. Vilka skyddsåtgärder ska väljas?
Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden: informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Säkerhetsskyddsplan
När du har genomfört din säkerhetsskyddsanalys ska en säkerhetsskyddsplan uppföras baserad på din analys, som behandlar informationssäkerhet, fysisk säkerhet och personalsäkerhet. Säkerhetsskyddsplanen ska tydliggöra vilka säkerhetsskyddsåtgärder som måste tas.
Hur du praktiskt arbetar med säkerhetskydd
Hur man ska arbeta med sitt säkerhetsskydd grundar sig alltid i Säkerhetsskyddslagen. Under Säkerhetsskyddslagen ligger Säkerhetsskyddsförordningen, vilken i sig följs av olika föreskrifter och vägledningar. Dessa föreskrifter och vägledningar gäller alltså för olika sektorer, vilket innebär specifika regler för olika organisationer.
I Säkerhetsskyddsförordningen står det att om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll så ska uppgifterna skyddas av kryptografiska funktioner som är godkända av Försvarsmakten. VPN-krypton är en sådan lösning.
VPN-krypton
Ibland är det nödvändigt att kommunicera över Internet, men informationens känslighet kan hindra dig från att öppet kunna skicka den till mottagaren. Lösningen är att använda ett VPN-krypto (Virtual Private Network). VPN-krypton kan användas för att skydda ditt nätverk, medan du är ansluten till Internet, genom att skapa säkra och privata tunnlar mellan en enhet och ett nätverk, eller mellan två nätverk. På så sätt kan du vara ansluten till Internet, men informationen du skickar till andra enheter inom det privata nätverket krypteras och skickas säkert genom tunnlarna, vilket resulterar i trafik som inte kan läsas av någon utanför ditt privata nätverk.
Hårdvarubaserade krypteringslösningar är dyrare och kan vara lite mer komplicerade att hantera, men om du har känslig information eller information som behöver ett starkare skydd – vilket gör säkerhet högsta prioritet – bör hårdvarulösningar vara ditt val.
Advenicas lösning är SecuriVPN. Läs mer om kryptering!
Envägskommunikation
I Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) står det att informationssystem som är separerade från andra informationssystem får överföra data för import eller export genom envägskommunikation. En produkt som då kan användas är en datadiod.
En datadiod är en cybersäkerhetslösning som säkerställer ett enkelriktat informationsutbyte. Denna hårdvaruprodukt, med sin höga assurans, bibehåller både nätverkets integritet genom att förhindra intrång samt nätverkets konfidentialitet genom att skydda den mest skyddsvärda informationen.
Datadioder är det felsäkra sättet att skydda känsliga system och konfidentiell data på. Datadioder är hårdvaruprodukter som placeras mellan två nätverk. En datadiod fungerar som en backventil vars funktion endast tillåter data att skickas framåt medan den blockerar all data i motsatt riktning. Eftersom det inte rör sig om mjukvara kan datadioden heller inte attackeras av skadlig kod, vilket också bidrar till hög assurans.
Läs mer om datadioder och hur de fungerar!
Säkerhetskultur
Cybersäkerhet är idag inte bara en teknisk utmaning utan även en mänsklig utmaning – det är en fråga om säkerhetskultur. Kriminella utnyttjar inte alltid enbart tekniska brister utan förlitar sig ofta på människor för att komma åt känsliga uppgifter och därför är den mänskliga faktorn den främsta orsaken till de mest allvarliga säkerhetsintrången. Att bygga och underhålla en stark säkerhetskultur är därför en oerhört viktig del i arbetet med cybersäkerhet.
Säkerhetskultur är gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden hos individer och grupper i en organisation inriktade på att skapa säkerhet i verksamheten. Säkerhetskultur handlar om hur medarbetares värderingar påverkar sättet att tänka och agera i förhållande till risk och säkerhet. Den har därför stor betydelse för hur man arbetar och påverkar de anställda dagligen.
För att bli bättre på säkerhetskultur behöver attityder och beteenden ändras. Organisationen behöver se cybersäkerhet och säkerhetskultur som en verksamhetskritisk aktivitet och inte som en isolerad IT-fråga – det är även viktigt att ledningen prioriterar frågan. Det som ska genomsyra arbetet med säkerhetskulturen är att tänka på säkerhet som något som möjliggör arbetet, inte hindrar det.
Läs mer om hur man förbättrar sin säkerhetskultur här!
Vill du läsa mer om vad den nya lagen innebär? Besök vår sida om den nya säkerhetsskyddslagen.
Behöver ni hjälp med ert säkerhetsskydd? Vi hjälper dig!