Nationell strategi för samhällets informations- och cybersäkerhet

Play

Vi pratar med Torbjörn Andersson om regeringens informations- och cybersäkerhetsstrategi

Varför har regeringen tagit fram en informations- och cybersäkerhetsstrategi? 

Jag skulle vilja säga att det har funnits en efterfråga om ett nationellt synsätt kring cybersäkerhet senaste åren. De här frågorna har ju fått ett helt annat fokus på sista tiden. Jag tror början på det var det som hände i samband med amerikanska presidentvalet 2015. Plötsligt fick it- och cybersäkerhet en annan dimension. Och en mer politiskt sådan.

Vad är egentligen cybersäkerhet? Vi har ofta pratat IT-säkerhet och informationssäkerhet i effekten. Vad är skillnaden?

Bra fråga! Det råder en förvirring i branschen kring de här termerna tycker jag. Internationellt sett är det inget konstigt att prata om ”cybersecurity”, vars definition då är säkerhet relaterat till digitala tillgångar som är uppkopplade till ”cyberspace”. I Sverige har begreppet inte varit lika vanligt trots att vi ofta menar samma sak. IT-säkerhet eller informationssäkerhet fungerar lika bra. I Sverige används cybersäkerhet ofta i en internationell kontext. Då man tex tänker sig ett lands försvar och motståndskraft mot IT-relaterade hot. FRA och Försvarsmakten har oftare använt cybersäkerhet i sitt språk. Sedan har det smittat av sig, och många använder ”cybersecurity” även på svenska. Det låter kanske häftigare. Men det blir lätt svengelska av det hela.

Okej, man borde inte använda det menar du?

Det är helt okej för mig, finns nog inget rätt eller fel faktiskt. Men vi i branschen har ju noterat att man inte är konsekvent och det blir lite roligt ibland.

Tillbaka till strategin, vad innehåller den? Har du läst den?

Ja, jag har läst den och tycker faktiskt den är förvånansvärt lättläst. Ett dokument på 33 sidor som beskriver regeringens prioriteringar inom området. Nu är ju jag lite arbetsskadad men jag tror att den är ganska lättbegriplig.

Okej, vi får se! Kan du då enkelt förklara för mig vad den handlar om? Summera den kortfattat tack!

Visst, men innan jag går in på innehållet så tycket jag det är viktigt att man först och främst ser den som signal om att regeringen tar dessa frågor på allvar. Oavsett vad man tycker om strategin så visar det att man försöker ta sig ann dessa frågor. Det är ju trots allt ett komplicerat område.

Om jag skulle sammanfatta den så skulle jag säga att röda tråden i alla avsnitt handlar om samordning, informationsutbyte, och hur regeringen ska underlätta för att stärka Sveriges motståndskraft mot cyber-attacker.

Samordning inom vad? Kan du ge några konkreta exempel?

Arbetet med informationssäkerhet till exempel. Många myndigheter har redan föreskrifter från MSB att rätta sig efter. MSB ställer krav. Men man kan bli bättre på att utbilda och skapa förutsättningar för att resultatet verkligen blir bra. I strategin pratat man om att hitta metoder och modeller så att informationssäkerhetsarbetet kan bedrivas på att mer standardiserat sätt. Då blir det också enklare att mäta mognadsgrad och enklare att utföra tillsyn. En enhetlig modell helt enkelt.

Okej, gör det Sverige säkrare menar du?

På lång sikt gör det det. Kom ihåg att ett strategi-dokument innehåller övergripande mål och långsiktiga fokusområden.

Mer konkreta saker tack!

Det finns ett avsnitt om hur Sverige ska öka säkerheten i nätverk, produkter och system. Och då är tyngdpunkt på de samhällsviktig funktionerna. Vi måste kunna lita på funktionalitet och motståndskraft i de allra känsligaste systemen som vi är beroende av. Det innefattar också datakommunikation och att kryptering används på rätt sätt. PTS är tillsynsmyndighet inom området för elektronisk kommunikation. Myndigheten verkar bl.a. för att samhället ska stärka sin förmåga att hantera allvarliga driftsstörningar, exempelvis genom att bistå med stöd vid inköp av extern elektronisk kommunikation. Om vi pratar myndigheter och offentlig förvaltning handlar det ju mycket om att kunna göra upphandlingar på rätt sätt.

Handlar det bara om statliga organisationer i strategin? Du nämner myndigheter, men idag finns det väl även privata aktörer som sitter på samhällsviktiga funktioner?

Absolut. Och en sak som tas upp är hur vi säkerställer säkerheten i industriella informations- och styrsystem. El- och vattenförsörjning är tex sådant som man ofta nämner som måltavlor i sådana här sammanhang.

Och hur ska regeringen hjälpa dom?

Man identifierar dem som en prioriterad målgrupp som ska får extra stöd i sitt arbete med informations- och IT-säkerhet.

Vad menar du med stöd, pengar eller?

Nej, det tror jag inte. Man är ju inte så detaljerad i strategin, men jag tror man syftar på att ge dem rätt förutsättningar. Och det kan också säkert handla om informationsutbyte och utbildning från svenska myndigheter med kunskap på området, som FRA, försvarsmakten, säkerhetspolisen.

Du verkar gilla det! Är strategin bra?

Den får tummen upp, främst för att det är en signal om att man inser allvaret med cybersäkerhet. Sedan, om man ska vara krass så är det ju enkelt att skriva en strategi. Det svåra är att leva upp till det som står i den. Det vet alla som har skrivit policy och strategi-dokument. Det svåraste ligger efteråt, att få strategin att bli verklighet. Men nu har vi en utgångspunkt i alla fall!

Play

Länk till rapporten:
Rapporten Nationell strategi för samhällets informations- och cybersäkerhet

Torbjörn Andersson

TEMA: Säkerhet (avsnitt 38)

Play

Samlingsavsnitt. Informationssäkerhet, dataskydd, ransomware och GDPR är exempel på ord och begrepp som nu ligger högt upp på agendan i organisationer. Säkerhetsexperten Torbjörn Andersson tar oss igenom tre delar och berättar hur du ska tänka gällande säkerhet.

GDPR – Allt du behöver veta + senaste nytt
Vi närmar oss 25 maj 2018, dagen då vi får en gemensam lag inom EU för hur vi tillåts behandla personuppgifter. GDPR. Med sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av omsättningen har detta blivit en angelägen fråga för såväl företag, myndigheter och verksamheter i offentlig sektor. Men hur börjar man?

IT-säkerhet – varför ska jag bry mig?
IT-säkerhetskonsult berättar om aktuella risker:
* Ransomware – nätfiske – social engineering
* Dataläckage – informationsspridning
* Den mobila användaren – kliver utanför kontorets gamla murar
Bromsa inte utvecklingen, men ta med säkerhet från början och öka säkerhetsmedvetenheten bland medarbetare och vänner.

Framtidens säkerhet och personliga integritet
EN identitet, privat och i arbetslivet vore optimalt menar Torbjörn, säkerhetsexpert, men då krävs autentiseringsmetoder som biometri, med tumavtryck och irisscanning. Fast vad händer då med den personliga integriteten? Kopplar vi ihop identiteten med internet of things kommer upplevelsen, till exempel rummet, att individualiseras efter dig som användare. Ett steg längre är att vi låter någon externt monitorera din hälsa, då krockar identitet och integritet

Play

Torbjörn Andersson, Jonas Jaani (66:46)

Torbjörn Andersson
Torbjörn Andersson.

Mer material / länkar:

Torbjörn Andersson på LinkedIn

Alla tidigare avsnitt av Effekten

Spellistor:
Lyckas med digitalisering
Använd rätt verktyg inom digitaliseringen
Säkerhet, GDPR, integritet, dataskydd

PRENUMERERA – podcast Effekten
iPhoneAndroide-post

GDPR – Allt du behöver veta + senaste nytt (avsnitt 35)

Play
Vi närmar oss 25 maj 2018, dagen då vi får en gemensam lag inom EU för hur vi tillåts behandla personuppgifter. GDPR. Med sanktionsavgifter på upp till 20 miljoner euro eller 4 procent av omsättningen har detta blivit en angelägen fråga för såväl företag, myndigheter och verksamheter i offentlig sektor. Men hur börjar man?

”Börja med Datainspektionens webb, de har mycket bra material kring GDPR!” säger Torbjörn Andersson, informationssäkerhetskonsult, som just nu jobbar för högtryck för att stötta sina kunder som startat sina GDPR-projekt. ”Om man tar sig an att läsa hela förordningen så glöm inte beaktande teserna som tillhör varje artikel. Dessa är en motivering från lagstiftaren som kan ge bättre förståelse för lagen i sitt sammanhang” tipsar han.

Flera vägledningar och tolkningar har också kommit från EU:s arbetsgrupp i dataskyddsfrågor som kallar sig “Artikel 29-gruppen”. De har senaste månaderna givit ut stödjande dokument kring hur man ska tolka olika områden i GDPR, t ex dataskyddsombudets roll. Fler dokument är att vänta fram till maj 2018.

Vad förväntas man då göra? ”Du måste gå från ord till handling om din organisation tar dataskyddsfrågor på allvarTwitter ” säger Torbjörn. ”Våga anta utmaningen, ett GDPR-projekt visar sig ofta föra med sig många positiva mervärden. Informationsflöden synliggörs, verksamhetens behov av informations- och it-säkerhet blir tydligare och mer definierat.”
Många kunder Torbjörn träffar ställer ofta tekniska frågor och missar ibland att GDPR även handlar om verksamhet och processer.

Torbjörns åtgärdslista visar att detta inte är ännu ett it-projekt, utan involverar hela organisationen:

  1. Inventera och säkra skydd för de personuppgifter du registrerat
  2. Säkerställ att du är tillräckligt transparent mot de registrerade
  3. Se över att dina samtycken är förenliga med GDPR
  4. Sätt upp process för hur du rapporterar dataskyddsincidenter till Datainspektionen inom 72 timmar
  5. Utbilda medarbetarna i hur man hanterar personuppgifter

Dokumentera arbetet!

Play
Torbjörn Andersson, Jonas Jaani (19:50)

Torbjörn Andersson, GDPR
Torbjörn Andersson

Mer material / länkar

Torbjörn Andersson på LinkedIn

Enkla grunder i dataskydd (pdf från Datainspektionen)

Dataskyddreformen – Datainspektionen

EU förordningen

”Artikel 29 gruppen”

GDPR – förklarat enkelt (poddavsnitt)

PRENUMERERA – podcast Effekten
iPhoneAndroide-post

GDPR – förklarat enkelt (avsnitt 16)

[lyssna även på det uppdaterade avsnittet ”GDPR – Allt du behöver veta + senaste nytt” från 2017-06-27 – klicka här]

Play
En ny bokstavsförkortning att ta hänsyn till… Lagen GDPR – den allmänna dataskyddsförordningen – EUs nya lag träder i kraft 25 maj 2018!

Hur relaterar den till PUL? GDPR skärper individens integritet ytterligare. Datainspektionen kommer att kunna utdöma viten om 20 miljoner euro eller 4% av din globala omsättning, så lyssna noga på Torbjörn. Vad är egentligen personuppgifter? Hur får man hantera dem? Vilka nya kravs ställs på din organisation? Vilka rättigheter har jag som privatperson?

Torbjörns åtgärdslista visar att detta inte är ännu ett it-projekt, utan involverar hela organisationen – se listan.

Play
Torbjörn Andersson, Jonas Jaani (18:28)

PRENUMERERA – podcast Effekten
iPhoneAndroide-post

Torbjörn Andersson om GDPR -
Torbjörn Andersson.

Mer material / länkar:

GDPR – Allt du behöver veta + senaste nytt (poddavsnitt)

Dataskyddreformen – Datainspektionen

EU förordningen

Direktlänk till detta avsnitt: https://www.effekten.se/gdpr/

IT-säkerhet – varför ska jag bry mig? (avsnitt 11)

Play
Säkerhet. IT-säkerhetskonsult berättar om aktuella risker:

  • Ransomware – nätfiske – social engineering
  • Dataläckage – informationsspridning
  • Den mobila användaren – kliver utanför kontorets gamla murar

Bromsa inte utvecklingen, men ta med säkerhet från början och öka säkerhetsmedvetenheten bland medarbetare och vänner.
Vad ska jag skydda egentligen? Informationsklassa! Konsolidera!
Idag pratar vi inte Big Brother utan Another Brother.
Ger Microsofts operativsystem, moln och program en trygghet?

Checklistan för mitt företag:

  • Säkerhetsanalys
  • Informationsvärdet, klassning
  • Skapa bra rutiner
Play
Torbjörn Andersson, Jonas Jaani (19:03)

Torbjörn Andersson Säkerhet
Torbjörn Andersson.

PRENUMERERA på Effekten och få leverans direkt: iPhone, Android eller e-post