Säkerhet och IT

Säkerhetsriskerna kopplade till IT ökar för varje år i takt med att allt fler processer digitaliseras. Det kan handla om bärbara och/eller fjärruppkopplade datorer som lätt kan bli infekterade med skadlig kod via e-post alternativt via uppkopplingar mot osäkra datanätverk eller webbsidor med elakartad kod.

Datorer som infekterats kan sedan sprida ”smittan” vidare in till kritiska datanätverk som annars anses helt säkra. Traditionellt brukar IT-system delas in i applikationer/tillämpningar och datorsystem. Applikationerna är de program som utför de nyttiga funktionerna i ett datorsystem och för verksamheten. Den övriga utrustningen är till för att applikationerna ska kunna fungera.

Grunderna för säkerhetsarbetet måste utgå från frågan: Hur viktigt är det här datorsystemet? Med viktigt menas i det här sammanhanget bland annat hur många dagar eller timmar ni kan ha systemet ur drift innan vattenförsörjningen eller avloppshanteringen blir lidande. Verksamheten ska med andra ord göra en konsekvensanalys av vilka effekterna för verksamheten och samhället blir vid ett avbrott eller en störning av systemets funktion.

Säkerhetskrav på IT-system

Här är några exempel på generella aspekter på säkerhet i datorsystem. En professionell IT-specialist kan sedan, med ledning av dessa beskrivningar, utforma passande rutiner och stödsystem som gör att systemet fungerar på ett bra sätt.

  • Hur tillgängligt behöver systemet vara? (Det behövs ofta reservdelar och reservkraft om systemet alltid måste fungera, jourtelefonnummer till tekniker, med mera.)
  • Hur känsligt är systemet för störningar? (Om det ska styra vattenbehandlingsprocesser i realtid är det olämpligt att det är anslutet till ett nätverk som har kontakt med internet.)
  • Hanteras känsliga data, exempelvis personuppgifter eller andra sekretessbelagda uppgifter (se kapitlet ”Informationssäkerhet”) över publika nätverk? Om ja, måste de krypteras.
  • Ska man kunna koppla upp sig från det publika telenätet? Om ja, måste relevant skydd finnas så att inte någon annan kommer in denna väg, eller informationen måste krypteras så att den inte går att avlyssna.
  • Lagras stora mängder statistiska data? Om ja, finns det behov av särskilt stora datadiskar. Regler ska finnas för när dessa kan rensas (systemet kan komma att sluta fungera om datadiskarna är fulla).

Outsourcing

När ansvaret för informationsbehandling har lagts ut på en utomstående organisation är det viktigt att behålla säkerheten. Säkerhetskraven för en organisation som lägger ut hantering och styrning av hela eller delar av sina informationssystem, nätverk och/eller andra datormiljöer behöver behandlas i ett avtal mellan parterna. Avtalet bör beakta risker, rutiner och åtgärder i fråga om säkerhet.

Exempel på viktiga punkter att inkludera i ett avtal:

  • Hur de rättsliga kraven ska uppfyllas, till exempel när det gäller lagstiftning om personuppgifter.
  • Vilka åtgärder som ska vidtas för att säkerställa att alla berörda parter, inklusive underleverantörer, är medvetna om sitt säkerhetsansvar.
  • Hur riktighet och sekretess rörande organisationens verksamhetstillgångar kan upprätthållas och testas.
  • Vilka fysiska och logiska åtgärder som kommer att vidtas för att begränsa åtkomsten till organisationens känsliga information till enbart behöriga användare.
  • Hur verksamheten kommer att kunna hållas igång vid en eventuell katastrofhändelse.
  • Vilken fysisk säkerhetsnivå som ska gälla för utrustning som läggs ut.
  • Hur revision kan genomföras för att granska hur kvalitets- och utvecklingsprocessen hos leverantör/entreprenör följs.
  • Kännbara viten (bötesbelopp) om inte överenskomna krav och löften upprätthålls.