Hoppa till innehåll

Cybersäkerhet

Cybersäkerhet har blivit en alltmer påtaglig utmaning, drivet av både det globala säkerhetsläget och den ökade digitaliseringen samt beroendet av uppkopplade produkter och system. Trots de många fördelarna med att koppla upp system och produkter glöms ofta den ökande risken bort. För att möta dessa utmaningar och säkerställa en trygg digital framtid krävs en helhetssyn och åtgärder som omfattar både människors beteende, tekniskt skydd och fysisk säkerhet.

Det sker ofta en sammanblandning mellan It-säkerhet, cybersäkerhet och informationssäkerhet. Dessa begrepp är relaterade som fokuserar på att skydda data, information och system, men har olika inriktningar och omfattar olika aspekter av säkerhet.

Cybersäkerhet.png

Informationssäkerhet är det bredaste begreppet och omfattar skyddet av information i alla dess former, oavsett om den är digital, tryckt eller muntlig och syftar till att bevarandet av informationens konfidentialitet, riktighet och tillgänglighet.

Cybersäkerhet handlar om att skydda datorer, servrar, mobila enheter, elektroniska system, nätverk och dess data från obehörig digital åtkomst och skydda mot cyberhot.

IT-säkerhet, eller informationssäkerhetsteknik, är en delmängd av cybersäkerhet som fokuserar på att skydda organisationers värdefulla tillgångar/information som IT-system inklusive hårdvara, mjukvara och nätverksinfrastruktur.

Dessa är mycket närliggande men informationssäkerhet utgör det bredaste perspektivet och är väl definierat. i ISO 27001 ”Ledningssystem för Informationssäkerhet - Cybersäkerhet och integritetsskydd”. Då det är ett ledningssystem som påminner om andra ledningssystem går det även att certifiera sig enl ISO 27001. Cybersäkerhet och cyberhot finns också definierade av Enisa, om Europeiska unionens cybersäkerhetsbyrå, i förordning 2019/881:

  • Cybersäkerhet: all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.
  • Cyberhot: en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer.

Begreppet cybersäkerhet är väldig brett och innefatta alla aspekter av att skydda system, program och nätverk från digitala attacker och därigenom skydda en organisation och dess anställda mot cyberhot. Därför kan man grovt dela in åtgärderna i tre delar:

1. Beteende

Det mänskliga agerandet rörande hantering och lagring av data, lösenord, koder med mera. Detta är främst kopplat till de anställdas beteende. Företagets policy brukar vanligtvis beskriva vad man får ta med sig ut från arbetsplatsen, vilka enheter som får anslutas var, vilka program som får installeras samt vilka sidor som får besökas. Även hur komplexa lösenord måste vara samt hur ofta ska dessa bytas ut brukar regleras. Människan är ofta den svagaste länken i alla säkerhetsåtgärder.

2. IT-tekniskt skydd

Detta utgörs främst av IT-organisationens agerade för att skydda data så som brandväggar, krav på uppdateringar med mera. Här kommer ett stort beroende av att välja rätt produkter samt rätt konfigurationer, se till att hålla dessa uppdaterade och ha koll på olika angrepps vägar.

Det finns ett antal certifieringar som hjälper företag att säkerställa sin cybersäkerhet från grundläggande som Cybersäkerhet Bas från Stöldskyddsföreningen till mer avancerade som FMV (Försvarets Materialverk).

Enskilda produkter ska även skyddas enligt EU där Enisa utfärdar produkt- och tjänstecertifikat. Detta för att intyga att produkter uppfyller Cyber Resilience Act (CRA) och NIS direktivet. Standarden ISO/IEC 27001 beskriver Information security management systems om hur man kan skydda sin information och hur man planerar och övervakar den i sina IT-system.

3. Fysiskt skydd

Denna del handlar om att begränsa åtkomst till data genom att skydda bland annat servrar och kabelvägar och därmed hindra avlyssning eller manipulerade av data. Detta kan göras genom att planera installationen på så sätta att kabelvägar förläggs på larmad sida samt att skydda kabelvägar genom att begränsa åtkomst.

Hur detta kan utföras regleras bland annat i standard ISO/IEC 24383 ”Information technology - Physical network security for the accommodation of customer premises cabling infrastructure and information technology equipment”. Även standarden IEC 62443 beskriver en struktur för fysik cybersäkerhet för dina system. Den är främst riktad mot industriella applikationer men är även tillämpbar i fastigheter.

Mer info om cybersäkerhets relaterade regleringar:

  • Läs mer om NIS 2 här
  • Säkerhetsskyddslagen reglerar även en hel del verksamheter där våra installatörer kan påverkas. Läs vår nyhet om detta.
  • Inom standardiseringen jobbar vi aktivt med nya standarder främst inom Tekniskkommitté IoT, TK 79 säkerhetssystem samt TK 215 Kommunikationsnät där ett antal nya som reglerar fysiskt säkerhet för kommunikationsinfrastruktur standarder är på gång. Exempel på en sådan standard är ISO/IEC 24383 ”Information technology - Physical network security for the accommodation of customer premises cabling infrastructure and information technology equipment”.

.

Cybersäkerhetslagen

Den 15 januari -26 träde den nya Cybersäkerhetslagen i kraft som är Sveriges sätt att implementera EU NIS2 direktiv. De nya reglerna syftar till att skapa en hög gemensam cybersäkerhetsnivå i hela unionen. Den ställer krav på både offentliga och privata aktörer inom vissa samhällsviktiga sektorer. För att omfattas ska man:

  1. vara verksam inom någon av de 18 definierade sektorerna Exempelvis energi, dricksvatten, avloppsvatten och digital infrastruktur.
  2. ha en storlek över 50 anst eller omsätta över 10M Euro
  3. vara verksam eller tillhanda hålla sina tjänster i Sverige

I stort kräver lagen att de som omfattas identifierar risker genom en riskanalys och minimerar dessa samt har en rutin för hantering av incidenter och rapportering av dessa. Lagen har även krav på utbildning och ledningens ansvar för cybersäkerhet samt krav på att säkerställa hela leveranskedjan. Detta medför att även om ni som entreprenör inte direkt omfattas kommer flera av er kunder att omfattas och indirekt ställa kraven på er.

Installatörsföretagen berättade nyligen om den då föreslagna lagen och dess innebörd för medlemsföretagen i ett webbinarium kring informations- och cybersäkerhet.

Se inspelningen här:

×

Låst innehåll

Välkommen att logga in för att ta del av innehåll som antingen ingår i ditt medlemskap eller som användare av våra tjänster.

Här skapar du användarkonto

Du som är medlem, kund eller vill bli kund hos Installatörsföretagen skapar enkelt din egen inloggning.

Skapa användarkonto