Den nya säkerhetsskyddslagen innehåller krav på åtgärder som syftar till att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd.
4 tips till bolag som omfattas av säkerhetsskyddslagen
Informationssäkerhet
Det är många bolag som känner att de inte riktigt har hunnit med när det gäller arbetet med informationssäkerhet enligt den nya säkerhetsskyddslagen som trädde i kraft i april 2019. Detta trots att de nya reglerna kräver det av dem. Här ger konsultföretaget Advencia 5 tips gällande informationssäkerhet.
Någonting är fel
Läs vidare – starta din prenumeration
- Strategiska artiklar med tips och analyser.
- 6 fullmatade magasin årligen.
- Tillgång till premiumnyheter på vdtidningen.se.
- 100 procents fokus på vd-rollen.
Även skyddet av annan säkerhetskänslig verksamhet, till exempel samhällsviktiga informationssystem, har förstärkts.
Säkerhetsskyddslagen gäller för verksamheter som drivs i såväl offentlig som privat regi och alla verksamheter med skyddsvärda data omfattas. Det kan till exempel handla om kritisk infrastruktur och deras system för styrning av känsliga processer (SCADA), i och med att dessa utgör en potentiell attackmöjlighet.
Den nya lagen tydliggör skyldigheterna för säkerhetskänslig verksamhet och betonar vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter. Det är också obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare.
I säkerhetsskyddsförordningen, med regler som kompletterar den nya lagen, står det även att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll måste skyddas av en speciell kryptering som har godkänts av Försvarsmakten.
Allt som allt innebär detta många nya krav på alla verksamheter som är berörda och många bolag följer ännu inte alla dessa nya regler.
4 tips från Advencia till bolag som omfattas av säkerhetsskyddslagen
1. Viktigt att börja med en säkerhetsskyddsanalys
När man ska börja arbeta med säkerhetsskydd är första steget att genomföra en säkerhetsskyddsanalys. En sådan analys är grunden till allt säkerhetsskyddsarbete. Genom att ställa dig ett antal frågor får du fram det som krävs.
2. Nätverkssegmentering – fundamentalt för informationssäkerhet
Behovet av att strängt säkerställa integritet och konfidentialitet mellan nätverk är absolut nödvändigt för att leva upp till de externa och interna krav som finns både på informationssäkerhet och produktionssäkerhet. Nätverkssegmentering begränsar skadan vid en cyberattack. Utan segmentering finns det risk att känslig information kan läckas eller manipuleras samt att malware och ransomeware sprider sig okontrollerat och snabbt.
3. Skydda känslig information med en datadiod
En lösning som ofta används för att skydda känslig eller säkerhetsklassad information från läckage eller manipulation är att frånkoppla den från andra nätverk helt och hållet. Det finns dock situationer när data behöver överföras till eller från det skyddade nätverket. Genom att använda en datadiod kan du säkerställa att överföringen genomförs på ett säkert sätt, utan att riskera nätverkets integritet eller konfidentialitet.
4. Säker systemintegration mellan IT- och OT-system
I takt med samhällets digitalisering har behovet att koppla samman OT-system med IT-systemen ökat. Denna integration är en stor utmaning ur säkerhetssynpunkt då risken finns att någon olovandes påverkar eller ändrar i systemet. Med speciella lösningar kan man säkerställa säker systemintegration.