Nyligen skickade Myndigheten för samhällsskydd och beredskap, MSB, ett brev till kommunerna med en uppmaning om att vara redo om kriget kommer. Vår kritiska infrastruktur utgör uppenbara måltavlor i händelse av krig.

Viktiga samhällstjänster utsätts för onödig risk inom den offentliga sektorn, som är omogen i sin hantering av it-säkerhet. Snart kommer EU:s nya dataskyddsförordning GDPR att träda i kraft. Säker digitalisering är en överlevnadsfråga i alla branscher. Den som inte lyckas digitalisera sin värdekedja löper stor risk att bli omsprungen av någon som är snabbare eller uthålligare.

Både offentlig sektor och privata bolag har många stora förändringar de måste förhålla sig till på cybersäkerhetsområdet. Men, det är alltid enkelt att måla upp hot och pekpinnar. Här är istället mina råd om hur både organisationer och bolag kan göra för att hålla sina verksamheter säkra.

1. Inventera tillgångarna

De flesta verksamheter är beroende av informationstillgångar på ett eller annat sätt. Antingen utgör informationen som sådan själva produkten, eller så är det en mer indirekt koppling till verksamheten, exempelvis via väl fungerande datornät. Ofta har organisationer stora indirekta informationsberoenden, via tekniska system, utan att flödet av information är genomlyst ordentligt. I många fall finns även kortsiktiga ekonomiska drivkrafter som gör att funktion riskerar att felaktigt prioriteras på bekostnad av säkerhet. En förutsättning för att kunna skydda informationen är att man vet vad som är skyddsvärt.

2. Lär dig hantera målkonflikter

Ett vanligt sätt att analysera informationssäkerhet är att mappa informationen mot CIA-trippletten: Confidentiality, Integrity, Availablity. På svenska: konfidentialitet, integritet och tillgänglighet. Dessa mål är motstridiga, vilket gör det omöjligt att samtidigt maximera alla egenskaperna. För att uppnå en ändamålsenlig informationssäkerhet måste man veta hur dessa egenskaper ska prioriteras mot varandra. I samband med EU:s nya dataskyddsförordning, GDPR, tillkommer även målet privacy, bland annat genom rätten att bli glömd.

Det är viktigt att veta vilket mål man har med sitt informationssäkerhetsarbete för att på rätt sätt kunna skydda en viss tillgång. Ett exempel: Ibland kan det vara rätt att förstöra (radera) tillgången för att skydda dess konfidentialitet – något som förstås direkt går ut över tillgängligheten, som går ner till noll vid en radering. Om man inte har kunskap om vad som är rätt målprioritering kan man inte fatta väl underbyggda beslut.

Det här är en artikel från Expert Network


3. Arbeta faktabaserat

Det är mycket vanligt att den information som flödar genom ett it-system avviker från det som var den initiala avsikten. Det leder till ett försvårat informationssäkerhetsarbete och i värsta fall till rena fel. Det vill säga att den analys man gör saknar relevans i verkligheten. Därför är det viktigt att arbeta med metoder som visar verkliga förhållanden. Man kan till exempel mäta vad som faktiskt skickas genom en trafikanalys eller arbeta med vitlistning. Det viktiga är att man utgår från faktiska förhållanden och inte gissar sig fram.

Läs också: Uppmaningen: Sverige måste sluta mörka it-incidenter

4. Sluta vara agil

Fördelen med agila metoder – att snabbt anpassa sig till förändring – är samtidigt en uppenbar risk att glömma helheten. Metodiken att titta på ett problem i taget över tid leder lätt till en situation där ingen har överblick. Det innebär att riskerna ökar och bidrar till resursslöseri. Agila metoder är olämpliga för säkerhetsarbetet som sådant. Om man har god kontroll över informationssäkerhetsarbetet kan man tillämpa agila metoder på funktionstillväxten inom dess ramar utan att äventyra säkerheten. Genom ett strukturerat arbete är det ofta möjligt att indela och sektionera nät och informationstillgångar. Därmed skapas möjligheten att använda rätt skydd på rätt plats och undvika att bara ”lägga till ytterligare en lapp till lapptäcket”.

5. Se livscykeln – bortom databaser och register

När man går igenom vilka informationstillgångar som finns i en verksamhet är olika former av register och databaser en självklar startpunkt. En gemensam egenskap hos dessa är att själva informationen ofta är statiskt samlad på en plats. Minst lika viktigt för en väl utförd analys är dynamisk information och information under förflyttning mellan olika tekniska system. Ofta är det just under förflyttning som informationen är som mest utsatt för risk för läckage, förvanskning eller förlust. Endast genom att följa informationen under hela dess livscykel kan man uppnå en ändamålsenlig nivå på skyddet av densamma.

Läs också: 10 sätt att upptäcka avancerade cyberattacker

6. Hitta balansen

Det är inte särskilt svårt att skapa en god funktion om man struntar i säkerheten och vice versa. Utmaningen ligger i att hitta den rätta balansen mellan funktion och säkerhet. När man har identifierat sina skyddsvärda tillgångar, vet vilka skyddsmål som gäller för respektive tillgång och vet hur systemet ser ut i verkligheten är man väl rustad att skapa den optimala balansen. Genom att utgå från faktiska förhållanden och arbeta strukturerat kan man undvika att gissa sig fram i sitt förändrings- och förbättringsarbete.

Fakta

Befattning: CTO
Företag: Advenica
E-post: jonas_cto@advenica.com
Hemsida: www.advenica.com
Expertområden: Cybersäkerhet, informationssäkerhet, privacy, kritisk infrastruktur.
Bakgrund: Civilingenjör i teknisk fysik, 20 års erfarenhet av systemutveckling, varav 12 år inom högsäkerhetssegmentet för myndigheter, försvar och kritisk infrastruktur.