Medskick från SFIS vårkonferens på temat informationssäkerhet

SFIS tackar alla medverkande och deltagande för ännu en givande vårkonferens. Temat denna gång var lite extra angeläget i dessa tider, kanske inte alltid så upplyftande men ack så insiktsfullt och nyttigt att ta med oss in i våra organisationer. Här följer några punkter för den som missade att ta del av detta viktiga ämne.

Marcus Örven från Nimblr talade om byggandet av en säkerhetskultur och hur människors säkerhetsmedvetande kan stärkas inom en organisation. Människor behöver stöd på samma sätt som det finns tekniskt skydd för system. Därför kan det vara bra med ett holistiskt tänkesätt där IT och teknik kombineras med utbildning, inte minst med tanke på att användaren är den mänskliga brandväggen, som Örven uttryckte det.

I vår digitaliserade samtid skickas ca 94% av all skadlig kod via epost. Det är emellertid svårare att hitta sårbarheter i system än hos människor. Det finns olika metoder för att förändra beteenden i linje med en organisations säkerhetspolicy, Kunskap och medvetande är en sak, men beteenden en annan. Att vi vet om något är ingen garanti för att vi inte ska begå misstag. Viktigt att tänka på är att fel och misstag inte kan straff- eller skuldbeläggas, då vi inte begår fel med mening utan på grund av exempelvis god vilja, stress, nyfikenhet eller andra omständigheter. För att lyckas bygga en god och säker kultur måste alla i organisationen engageras och uppmuntras till att ta till sig information och prioritera efterlevnad. Det måste finnas en inkluderande atmosfär som främjar lärande snarare än att sätta dit den som gör fel. Leif Nixon från Combitech nämnde också myten om den korkade användaren. Det är ett faktum att vi begår misstag trots användarutbildning, och att vi därför skulle behöva ännu säkrare system, helst enligt lökmodellen som bygger på lager-på-lager-principen och får angriparen att börja gråta (!).  

Mafijul Islam från China Euro Vehicle Technology AB talade ända från Shanghai om den svåra bedömningen av risknivåer i cybersäkerhet inom bilindustrin. Bilar kan sägas ingå i ett större ekosystem där de ofta är uppkopplade mot omvärlden som en del av the internet of things, menar Islam. Det finns många ingångar till systemet i och med långa kedjor av leverantörer och underleverantörer. Islam talar om både riskanalys och riskhantering, där risk är produkten av sannolikhet och konsekvenser. Då risk tillskrivs ett värde krävs utförlig argumentation och dokumentation av riskernas olika dimensioner.  

Anders Bessier från Kungliga biblioteket (KB) talade om många olika aspekter av informationssäkerhet ur nationalbibliotekssynvinkel. I ljuset av cyberhot och klimatförändringar som ställer krav på beredskap, gäller det att minimera riskerna och hålla koll på vad som sker i omvärlden. Exempelvis lagar och förordningar är viktiga att känna till, och man behöver följa med i trender i informationssäkerhetsarbete samt lära sig av olika incidenter. Viktigt är att inventera sina informationstillgångar för att veta vad man har och hur man kan skydda dem på bästa sätt.

KB har en gemensam policy för hela myndigheten, samt en tvärfunktionell grupp som arbetar på bredden med frågor som rör exempelvis hantering av dataskydd. Det är viktigt att arbetet med informationssäkerhet är decentraliserat för att nå ut till alla delar av organisationen. Dock finns ett stort behov av fortsatt kunskap på området, och även Ludvig Stendahl från Riksrevisionen påpekade den varierande kompetensnivån och behovet av ett organisatoriskt enhetligt arbetssätt som inte är personberoende. Johanna Nilsson från MSB påpekade också att informationssäkerhet inte bara är en IT-fråga, utan att det handlar om att känna till hela organisationens rutiner och att arbeta med kontinuitet och beredskap i vidare mening. Bristen på kompetens kan även hänga samman med att man aldrig blir färdig med informationssäkerhetsarbetet. Ett ändamålsenligt, anpassat och kontinuerligt skydd kräver löpande insatser och ständigt lärande.

Ludvig Stendahl från Riksrevisionen tog upp så kallad effektivitetsrevision av en viss del av informationssäkerhetsarbetet på universitet och högskolor, nämligen skydd av forskningsdata. En tematisk granskning har genomförts av lärosätenas hushållning med och utnyttjande av resurser samt den faktiska måluppfyllelsen på området systematiskt informationssäkerhetsarbete. Mot bakgrund av kravet på föreskrifter och i ljuset av hot mot forskning såsom industriellt spionage och andra cyberattacker, ställdes en övergripande frågeställning om huruvida ett effektivt och ändamålsenligt arbete bedrivs på högskolor och universitet för att identifiera skyddsvärda data och utforma en praxis för att skydda dessa. Eftersom det är en prioriterad fråga att med god förmåga skydda forskning är det själva skyddsförmågan kring forskningsdata som fokuserades. Resultaten visade på att ett sådant arbete i nuläget inte bedrivs på ett systematiskt sätt och att forskningsdata sällan eller aldrig inkluderas i riskbedömningen. Dessutom rapporteras få incidenter och det är oklart hur ansvarsfördelningen kring detta ser ut. Styrningen brister och det finns en högst varierande kompetens kring frågorna, samtidigt som det finns ett behov av att förbättra stödet till lärosäten för att skapa en säker hantering av forskningsdata. Tydliga roller behövs inom organisationen så att varje medarbetare känner till sitt ansvar och det finns ett ledarskap med mandat att ställa tydliga krav.

Johanna Nilsson från Myndigheten för Samhällsskydd och Beredskap (MSB) påpekade att information är en verksamhetskritisk resurs, själva basen för en organisation som påverkar dess möjligheter att uppnå syfte och mål. Det finns en variation i fokus för skyddet av sådana tillgångar beroende på om det är viktigast att den endast ska vara tillgänglig för behöriga (konfidentialitet), om det är informationens korrekthet som är viktigast (riktighet) eller om prio är att informationen alltid ska gå att nå (tillgänglighet). Dessa faktorer bildar tillsammans akronymen KRT.

Till sist talade Leif Nixon från Combitech AB om bland annat IT-brottslighet, vars förutsättningar och främsta drivande faktor kan sägas vara så kallad ransomware, och därtill en korrupt miljö som gynnar sådan verksamhet. Exemplet Ryssland visar också att det är mycket svårt att arrestera personer som ägnar sig åt IT-brottslighet, eftersom IT-brottslighet i princip sanktioneras av staten i syfte att underminera västvärlden. IT-brottslighet har således vuxit till en professionaliserad affärsmodell, menar Nixon, och tillägger att den främst angriper organisationer och inte så mycket privatpersoner. Genom att använda olika IT-metoder utnyttjas sårbarheterna i de organisationer som angrips.

Nixon nämner att behörighetshantering, där en enda person aldrig ska ha tillgång till hela organisationens data, och konstanta säkerhetsuppdateringar av samtliga system är viktiga delar för att skydda organisationer från IT-attacker. Det vi också behöver lära oss är att bygga tillräckligt säkra system. I dagsläget är detta mer av ett konsthantverk än en ingenjörskonst. Att det hela delvis bygger på magkänsla skapar både osäkra system och system som blir alltför överdimensionerade och dyrbara.

/Cia Gustrén