Klar med GDPR, nu kommer nästa lag!

Nu i maj 2018 är vi alla klara med GDPR eller hur?
Lite i bakgrunden och utan lika stor massmedial uppmärksamhet har det beslutats om en ny säkerhetsskyddslag i riksdagen. Den nuvarande lagen är mer än 20 år gammal och tar inte riktigt höjd för den värld vi lever i idag.  Säkerhetsskyddslagen pekar ut förebyggande åtgärder för att skydda Sverige mot spioneri, terror och sabotage. Också informationssäkerheten får en höjd status, vilket jag och mina yrkeskollegor runt om i landet ser fram emot.
Särskilt välkommet kanske det är med riktlinjer för utkontraktering av IT-verksamhet.

Ur ett nationellt perspektiv är en moderniserad säkerhetsskyddslag viktigare än personuppgiftslagstiftning. Naturligtvis skall vi ha ett gott skydd för individen, men vi skall också ha det för riket. Den 1 april nästa år börjar lagen att gälla och det blir tydligare utpekat att den som bedriver säkerhetskänslig verksamhet eller hanterar känsliga uppgifter får ökat ansvar för egen verksamhet och skall bland annat genomföra säkerhetsskyddsanalyser. Också klassificering av öppen och hemlig information (/verksamhet) blir mer central. Detta är viktigt eftersom mer och mer av den känsliga verksamheten bedrivs av privata aktörer. Särskilt skyddsvärda områden innefattar bl.a. Transporter, Energiförsörjning, Kommunikation, Vatten och livsmedel och sjukvård. Det är akut viktigt att alla som har sådan verksamhet förstår hur viktig den är och att man faktiskt har ett adekvat skydd på plats. I framtida s.k. “SUA och Säkerhetsskyddsavtal” skall detta ansvar bli tydligare. Även i framtiden är dock lagen enligt min mening klar på att ansvaret för uppgiftens utförande ligger kvar på utövaren, inte leverantören. Så även i morgon är kontroll bättre än förtroende.

 

Säkerhet vid utkontraktering

Är det lagligt med utkontraktering?
Kärt barn har många namn, men det handlar i samtliga fall om någon form av tjänst eller produkt som en beställare köper av en leverantör.

Rätt skydd i alla miljöer är nödvändigt.

Vanligtvis mot någon form av betalning. För en beställare hägrar ofta möjligheten att få lägre pris på tjänster man behöver. Detta uppnår leverantören genom möjlighet till storskalig drift. Det går ju inte åt dubbelt så många tekniker att sköta tio servrar som 20.
En serverhall måste man ju också ha oavsett antalet servrar i den. Så det finns potentiella driftsfördelar att hämta hem vid storskalig drift, en hel del utrustning kan utnyttjas av fler företag.

Inte bara brandlarm, inbrottslarm och kyla. Det förekommer också att servrar, lagring och backup-tekniker utnyttjas gemensamt av flera oberoende organisationer. Det är givetvis också gynsamt för säkerheten att få tillgång till en stabil leverantörs kompetens. Men finns det risker? Och…

Är detta lagligt och säkert?

Denna fråga anser jag att det inte går att svara Ja eller Nej på “rakt av”, man måste genomföra en djupare analys av sin egna verksamhet. Till exempel genomföra en inventering av vilken information och vilka processer man har.
Som stöd för det kan man använda CIA-principerna som jag skrivit om tidigare i Teknikbloggen.

Generellt sett är det naturligtvis lagligt att använda en leverantör som sköter datatriften åt dig. Men man skall komma ihåg att det är just en mer eller mindre stor andel av driften man uppdragit åt sin leverantör att sköta. Ansvaret har du alltid kvar själv, det går inte ens att överföra på någon annan enligt lag i många fall. Jag har sett utkontrakteringsavtal som detaljspecificerats på 100 eller 1.000 -tals sidor, ändå har det efter övertagandet dykt upp problem med ansvarsförhållanden och viten har dömts ut. Vid utkontraktering tappar du alltid en del av kontrollen!

Vad kan jag då göra som kund i en utkontrakteringssituation, några tips som kan vara bra att ha med sig. (Mer stöd finner du i ISO/IEC 27036).

1. Behåll kompetens

Det är mycket viktigt att man som beställare behåller en s.k. “Beställar kompetens” i den egna organisationen. Utöver säkerhet, så kan det även gälla kompetens på tekniska krav och prestanda. Har man inte kvar denna grundkompetens är det lätt hänt att man inte får det man önskar, eller ens kan förklara vad man önskar. Leverantören kan ju inte din organisation i detalj (oftast).
Leverantören skall eller bör inte ha direkt insyn i din information. Således kan man inte heller ställa krav i efterhand på att leverantören borde förstått att informationen inte lagligt kunde säkerhetskopieras till en backupserver i ett land utanför Sverige. Om man jobbar med samhällsviktig verksamhet kan det kanske eller förmodligen finnas krav på hur tele/data -förbindelserna är beskaffade. All sådan kunskap besitter man ju som kund bäst själv och skall samarbeta med leverantören om.

2. Förtroende är bra, kontroll är bättre

Se till att alla utkontrakteringsavtal innehåller klausuler om hur beställaren skall kunna kontrollera leverantörens verksamhet. Kan ske genom att leverantören genomför egna periodiska kontroller avseende prestanda, leveranssäkerhet. Men inte minst eftersom det är jag som skriver så skall även säkerhetsincidenter rapporteras . Snart om inte redan så har din verksamhet legala krav på sig att rapportera incidenter relativt snabbt, se till att din leverantör stödjer dig i det arbetet.
Sist men inte minst, se till att du har rättighet att med egna revisorer genomföra granskning av säkerheten. Vad som kan upptäckas vid sådana kontroller, kan t.ex. vara att data säkerhetskopieras till servrar utom Sverige eller EU. Vilket kan vara olagligt. Det kan t.o.m. vara olagligt att dra dataförbindelserna via ett s.k. tredje land. Endast mycket få krypteringstekniker är godkända för detta (Beroende på uppdrag) Kostnader och eventuell förvarningstid för dessa kontroller bör vara reglerat i förväg.

3. Återtagande

Allting har en ände. Så även ett utkontrakteringsavtal. Det kan bero på att man själv vill återta driften, eller utkontraktera den till någon annan.
Därför bör man redan i grundavtalet noggrant ha reglerat hur en sådan avslutsprocess skall gå till. Viktiga parametrar att få med är hur data skall överlämnas (Glömt inte krypterade säkerhetskopior med tillhörande nycklar). Det kan också vara rimligt att få hela eller delar av den tekniska lösningsdesignen levererad. Men all sådan dokumentation skall man inte förvänta sig att få då det ofta kan röra sig om affärshemligheter från leverantörens sida. Men du bör ställa krav på att få tillräckligt med information för att återuppbygga datamiljön på annan plats. Eventuellt kan man avtala om att en utomstående betrodd part behåller designritningarna och släpper dessa till beställaren om leverantören kommer på obestånd.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP

Klarar din verksamhet kraven i kommande säkerhetskyddslagstiftning

Lite i skymundan för ersättaren till Personuppgiftslagen (1998:240), d.v.s. GDPR (EU harmoniserade regler för personuppgiftsskydd) så arbetas det också med en ny säkerhetskyddslag. Särskilt intressant är den för dig som arbetar med s.k. samhällsviktig verksamhet. Det kan röra sig om Sjukvård, Livsmedelsförsörjning, Lag och ordning men även branscher som energiförsörjning m.fl. kommer att stöta på förändrade krav och ökat eget ansvar.

Om ett år har vi förmodligen en ny säkerhetsskyddslagstiftning.
Att regeringen föreslår att den börjar gälla 1 april är inget dåligt skämt.
En mycket välkommen förändring som kommer att vägleda oss mot min vision om ett säkrare samhälle. Den tidigare lagen är över 20 år gammal och jag håller med regeringen om att det är dags att ersätta den.

Uppkopplad värld
Idag förekommer allt för ofta att viktiga anläggningar är uppkopplade på ett sådant sätt att risken för störningar är mycket stor. Visst är det bekvämt att kunna sköta verksamheten på distans, men är det lämpligt eller ens lagligt?
Flera anläggningsägare borde ställa sig den frågan och genomföra t.ex. Risk och sårbarhetsanalyser, antingen internt eller med externa experter som moderatorer. Då får man ett bra underlag för att klassificera sin verksamhet korrekt.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP

Följer du CIA ?

Skydda din information, det viktigaste du har.

CIA -principerna
Nej, jag pratar inte om någon utländsk underrättelsetjänst. Bokstäverna “C,I och A” har en helt annan association för oss som arbetar med informationssäkerhet.

Om du ständigt har dessa så kallade principer i bakhuvudet när du hanterar information så vet du att  informationen hanteras på ett korrekt sätt.
Precis som ett lås handlar det kort sagt om att information (eller huset) skall vara tillgänglig på ett korrekt sätt, för rätt person och vid rätt tillfälle. I detta inlägg tänker jag mig att informationen är liktydigt med ett stycke kunskap lagrat elektroniskt på en dator, server eller i det berömda molnet. Men principerna kan mycket väl appliceras på information i pärmar eller i huvudet på din organisations medlemmar.

CIA är Engelska och skall utläsas Confidentiality, Integrity och Availability. Sen finns det de som hänger på massor med extra “A:n” som t.ex. “Accountability”.
Jag har funderat på varför alla (nästan) säkerhetsord börjar med “A”.
Men här koncentrerar vi oss på de tre första bokstäverna. Informationssäkerhetsbranschen blir lätt Svengelsk så jag skall ge dig de svenska orden också.

  • Confidentiality. Konfidentialitet : Sekretess
  • Integrity. Riktighet
  • Availability. Tillgänglighet
    (Källa: Standardiseringen i Sverige /SIS)

Tar man alltid hänsyn till dessa tre begrepp när man ens tänker på informationssäkerhet så kommer man ganska långt på vägen mot den perfekta säkerheten. Nu är i och för sig den perfekta säkerheten ett ouppnåeligt mål, men det skriver jag inte här. Vi går istället in och tittar lite på de tre begreppen:

Konfidentialitet
Handlar om skydd så att information inte kan förändras varken av misstag eller på grund av någon form av störning. Sekretess är ett ord som också används synonymt med konfidentialitet. Sekretess är ett vanligt använt juridiskt begrepp, så driver du en verksamhet som omfattas av krav på sekretess så gäller det att ha god kontroll på detta. Många jag mött har sagt att de inte har några skyddsvärda (sekretess) uppgifter. Tyvärr har detta ofta visat sig vara felaktigt. Nästan alla organisationer har något som skall skyddas.

 Riktighet
Här brukar jag tänka kring ordet “Pålitlig”. Det är av yttersta vikt att dina medarbetare och kunder kan lita på informationen de ser. Vi litar alla idag på riksbankens sedlar, de är äkta och försedda med en stor mängd “finesser” som gör att var och en kan avgöra om den är äkta eller falsk. Det vill säga vi vet att sedeln är riktig och pålitlig.
Med elektronisk information är det tyvärr ofta fallet att den är förfalskad. Många är de som lurats av “Fake news” (Påhittade nyheter), eller fått brev från advokater till avlidna släktingar på en annan kontinent. Mindre pålitligt, men kanske inte alltid så lätt att avslöja. Det är alltså av yttersta vikt att du designar dina informationssystem så att innehållet i dem är pålitligt. I en domstol skulle det nog kallas för oavvisligt, på samma sätt som när du sätter din namnteckning på ett kontrakt.

 Tillgänglighet
-“Häll betong i servern!”. Så har jag börjat många av mina föredrag eller möten med kunder. Jag får förklara för en åhörare med en något förbryllad min att. -Ja, då är informationen säker! Där och då brukar ofta debatten om prestanda tas upp från kundens sida. Jag får då medge att prestandan och tillgängligheten av lagrad information med sagda betonglösning blir låg. Men det blir alltid en bra startpunkt för att ta reda på hur tillgänglig informationen skall vara och för vem? Spontant tycker man kanske att svårtillgänglig information är säker. Men tyvärr gäller ofta motsatsen. Dina medarbetare vill ju göra ett gott arbete, därför kanske (!?) de rundar säkerhetsmekanismerna för att de är feldesignade eller för långsamma. Då har man förlorat hela poängen med sin säkerhetslösning.

Vad gör jag nu?
För att kunna genomföra och leva efter dessa principer så måste du ha klassificerat värdet på din information på ett eller annat sätt. Det finns många modeller för hur man kan klassificera informationen med avseende på nyss nämnda principer. Jag har sett modeller med två eller tre nivåer ända upp till 16. Det går inte att säga vad som passar varje enskild organisation bäst. Lämpligt kan vara att internt eller med hjälp av en expert genomföra en Risk och Sårbarhetsanalys, rapporten efter en sådan bör ge dig god vägledning. Denna är också en av grundstenarna i en populär standardserie rörande säkerhet (ISO/IEC 27001 som jag är certifierad i och lovat att tillbedja). Men oavsett om man följer ISO eller ej, detta är ett arbete man måste genomföras. Resultatet av detta arbete kan uttryckas i en Policy eller direktiv (Vilket underställs den förra). Sen tenderar ju information att vandra i sekretessgrad över tid, ett annat problem som måste lösas. T.ex. kan ju årsrapporten för ett börsbolag vara hemlig på måndagen, men skall vara allmänt känd på tisdagen. Råkar du tillhöra en myndighet så finns det andra lagar än aktiebolagslag (2005:551) som ställer andra krav på dig och hur du behandlar och delar med dig av information.

Tony Martinsson
Informationssäkerhetsexpert
ISMP, CISSP

 

Varför jobba med Information och IT-säkerhet?

När strategiska beslut om informationssäkerhet tas, måste detta vägas mot andra värden. Ur företagsekonomisk syn kan en god informationssäkerhet bli en konkurrensfördel. Vid upphandlings-och utvecklingsarbete ställs höga krav på säkerhetsmedvetande hos beställaren för att uppnå tillräcklig säkerhetsnivå.

IT-strukturen i dagens företag och industrier är ofta komplex och funktioner är ofta utspridda både fysiskt och organisatoriskt. Detta innebär att riskerna blir mer svårbedömda och korsberoenden svåröverskådliga. Data kan komma att passera många tekniska system och ibland även flyttas utanför landets gränser. Det är då viktigt att förstå att det finns en lagstiftningsproblematik i detta.

Den nya Dataskyddslagen kommer att ställa högre krav på personuppgiftshantering än tidigare vilket ställer ytterligare krav på beställarkompetensen likväl som hanteringen internt.

Att ha kontroll över sin egen information blir allt viktigare både ur privat och företagshänseende. Den allt större möjligheten att dela data kan ge en osäkerhet om vem som verkligen äger data.

Cyberspionage och cybersabotage är en del av ”den säkerhetspolitiska verktygslådan” i allt fler länder. Det är svårt att förhindra attacker, men fullt möjligt att vara förberedd. Det vill säga att ha en plan för vad man skall göra när problem uppstår. Lika viktigt är det att öva in scenarios med verksamheten samt att berörd personal är tillräckligt utbildad för att snabbt kunna agera vid uppkomna situationer.

Det kommer hela tiden nya hot mot IT-miljön samtidigt som försvaret uppdateras. Trots de tekniska sårbarheterna är människan i systemet ofta den svagaste länken. En kontinuerlig dialog med medarbetare är det bästa sättet att förbättra implementationen av säkerhetsarbetet. Ett direktiv eller policy är inte värt något förrän det används i organisationen.

I dagens samhälle blir konsekvenserna av driftavbrott i informationssystem allt större. Riskhantering och kontinuitetsplanering blir därför viktigt för att uppnå robusta informationssystem.

Kostnaderna för IT-säkerhet kan ofta ses som höga, men ställer man dem i proportion till verkliga IT-incidenter kan de ofta vara en väl värd investering. Just de ekonomiska incitamenten är en viktig del i samarbetet med Rejlers Informationssäkerhetsteam.

Ta stöd i ditt säkerhetsarbete!

Vi på Rejlers hjälper dig att implementera rätt säkerhetsnivå.
Den skall uppfylla dina interna behov samt externa myndighetskrav.
Rätt nivå innebär ett kostnadseffektivt och konkurrenskraftigt skydd.

Genom vår metodik för arbete med informationssäkerhet lägger vi en gemensam grund för den fortsatta styrningen av din information och
IT-säkerhet. Vilka informationstillgångar är viktigast att skydda, och varför.
För att uppnå en hög effekt behövs förståelse för säkerhetsarbetet.

Engagerade och säkerhetsmedvetna medarbetare är det mest kostnadseffektiva sättet att uppnå en stabil grund att stå på. Vi täcker ditt hela behov av utbildningsinsatser för att uppnå rätt säkerhetskompetens inom organisationen. Vi jobbar enligt ISO 27000 standarden och finns som ditt fulla stöd från implementation till revision och eventuell certifiering.

/Ulf Andersson,
Rejlers Technology