I oktober firas både sympatiska kanelbullens dag och det mer skrämmande halloween – men glöm för all del inte att också uppmärksamma Europeiska cybersäkerhetsmånaden.
Oktober är EU:s informationssäkerhetsmånad som arrangeras av EU:s byrå för nät- och informationssäkerhet (Enisa). I Sverige anordnar MSB och polisen kampanjen “Tänk säkert” för att öka medvetenheten om informations- och cybersäkerhetsfrågor.
På MSB:s kampanjsida finns bland annat information om hur du kan skydda dig mot nätfiske och skadlig kod, samt om hur du säkrar dina lösenord.
I samband med att cybersäkerhetsmånaden inleddes skrev också polisen på sin webbplats om kampanjen “Tänk säkert” och om vikten av medvetenhet om cybersäkerhet för att minska risken för att drabbas av cyberbrott.
Därifrån länkar de vidare till information om hur du skyddar dig mot bland annat bedrägerier, id-kapning och nätfiskeattacker.
Och till sist ett tips inför halloween där cybersäkerhet och skräck blandas med universitetsvärlden i en skön mix:
År 2019 drabbades universitetet i Maastricht av en utpressningsattack. I samband med ett webbinarium med European University Association (EUA) redogjorde de för vad de lärt sig av attacken.
Kryp upp i favoritfåtöljen, se presentationen och fundera över vilka utmaningar som finns kring informationssäkerheten i din egen organisation. Ta gärna en kanelbulle till.
Vem är det som säger att vi måste lägga en massa tid och pengar på informationssäkerhet? Den som svänger sig med kanslisvenska skulle svara “fisken”. Här följer en kort genomgång för alla oss andra.
“Fisken” är byråkratslang för förordning (2007:603) om intern styrning och kontroll och det är där resan genom regeltexterna tar sin början: från denna förordning beslutad av regeringen via MSB:s mer detaljerade föreskrifter fram till egna regler, riktlinjer och principer som universitetet sedan formulerar anpassade till sin verksamhet.
“Fisken” är en kort förordning på bara sju paragrafer, men den kräver bland annat att alla förvaltningsmyndigheter ska göra riskanalyser och därefter vidta åtgärder “som är nödvändiga för att myndigheten med rimlig säkerhet ska kunna fullgöra sina uppgifter”.
I en revisionsrapport från 2012 konstaterar sedan Riksrevisionen att “intern styrning och kontroll förutsätter god informationssäkerhet”. De slår också fast att intern styrning och kontroll å ena sidan, och informationssäkerhet å den andra, står i ett ömsesidigt beroende till varandra.
Det är de breda penseldragen. Hur det här ska ske är därefter beskrivet på detaljnivå i ett paket av föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB):
Föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6)
Föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7)
Föreskrifter om rapportering av IT-incidenter för statliga myndigheter (MSBFS 2020:8)
I den förstnämnda slås exempelvis fast att myndighetens informationssäkerhetsarbete ska vara “systematiskt och riskbaserat” och att det ska följa vissa ISO-standarder. Det är också därifrån kraven om informationsklassning kommer, det vill säga att vår information ska sorteras “avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få”. Där står det också att det krävs en informationssäkerhetspolicy och att informationssäkerhetsarbetet måste tilldelas nödvändiga resurser. Detta arbetssätt är gängse och etablerat i andra sektorer i samhället även utan lagkrav från MSB.
Föreskrifter om säkerhetsåtgärder i informationssystem innehåller mycket konkreta krav och riktlinjer från MSB, för hur vi ska hantera IT-miljöer. Här finns skrivningar om exempelvis kryptering, säkerhetskopiering och hur nätverkstrafiken ska filtreras.
Av föreskrifterna om rapportering av IT-incidenter framgår bland annat att myndigheten senast sex timmar från det att man upptäckt en IT-incident, som omfattas av rapporteringsskyldighet, måste höra av sig till MSB och kort beskriva vad som hänt. Där finns förstås också kriterier för vilka incidenter som omfattas.
MSB:s föreskrifter och ISO-standarderna talar om vilket arbete som måste göras och hur det ska göras, men det finns också andra lagar som ställer direkta eller indirekta krav på att universitetet har ett fungerande arbetssätt för informationssäkerhetsområdet och ett sätta att bedöma och hantera risker kopplade till information och data, till exempel dataskyddsförordningen, säkerhetsskyddslagen, offentlighets- och sekretesslagen samt arkivlagen.
Då ett ledningssystem i informationssäkerhet införs i en organisation är den högsta ledningens uttalade stöd centralt. Därför har nu rektors ledningsgrupp vid Lunds universitet, liksom sektions- och fakultetsledningar, nyligen utbildats i informationssäkerhet.
Information finns i alla delar av organisationen, och det krävs att den är tillgänglig och korrekt, samt att hemlig information inte röjs. Det gäller att veta vilken information som finns, så att rätt skydd kan införas för att bevara önskad nivå av konfidentialitet, riktighet och tillgänglighet.
Under september månad genomfördes en särskild och grundläggande utbildning, ledd av universitetets CISO (förkortning för Chief Information Security Officer) Ingegerd Wirehed.
“Hela vår verksamhet berörs av informationssäkerhet i och med att vi idag lever i ett helt digitalt sammankopplat och uppkopplat samhälle. För att ledningen ska kunna fatta rätt beslut och staka ut den bästa vägen framåt för vår verksamhet behöver vi ha god kännedom om vad informationssäkerhet är och vilka förutsättningar som finns på LU för att ta sig an frågan på bästa sätt”, uttrycker rektors ledningsgrupp i ett samlat uttalande efter utbildningen.
“Att verksamheten och hela samhället är mycket sårbart när system och tjänster är uppkopplade och sammankopplade är kanske ingen överraskning men det är viktigt att påminnas om det med jämna mellanrum”, kommenterar ledningen utbildningen.
Det finns ingen “quick fix” för informationssäkerheten – ingen magisk apparat man kan koppla in i en serverhall och som skyddar mot alla hot. I stället måste arbetet vara strukturerat och systematiskt för att bli effektivt. Nästan varje vecka dyker nyheter upp som visar vilka hot som finns mot informationssäkerheten.
“Vi tror att alla verksamheter delar samma rädsla: att verksamhetskritisk information kan gå förlorad, vilket i värsta fall för LU:s del kan innebära att flera års arbete inom forskning är förgäves eller att vi förlorar information som studieprestationer till exempel. Vi är också i en förtroendebransch vilket innebär att allmänheten ska kunna lita på att forskning utförs korrekt. I detta ingår att uppgifter och underlag förvaras och delas säkert”, skriver ledningen.
Utöver forskning och utbildning finns ytterligare aspekter.
“Likaså ställer korrekt myndighetsutövning stora krav på att personuppgifter inte hamnar i orätta händer. LU består till stor del av sin information och alla angrepp där informationen riskeras skulle innebära en stor skada för oss. Ytterligare en risk är att universitetet utsätts för utpressning, vilket hände Coop, eller deras underleverantör för att vara exakt, under sommaren”, fortsätter ledningen.
Metodstödet som används för att bedriva arbetet systematiskt bygger på följande delar:
Identifiera och analysera
Utforma
Använda
Följa upp och förbättra
Meningen är att informationssäkerhetsarbetet ska bli integrerat i det vanliga arbetet. Om informationssäkerhetsarbetet blir en del av den löpande verksamheten istället för något utanför den, får vi ett effektivt arbete och därmed skydd.
“Universitetet är stort och decentraliserat och det är en utmaning att nå ut till alla och det är verkligen alla som behöver ha kunskap om informationssäkerhet. Vi behöver också se till att ledningssystemet följer det delegerade verksamhetsansvaret som består i arbetsordning och delegationsordning. Det är också viktigt att ledningssystemet kopplar in mot andra ledningssystem och arbeten (exempelvis riskarbetet, säkerhetsskyddsarbetet m.m.) så att det blir en helhet för verksamheten”, skriver ledningen.
Myndigheten för samhällsskydd och beredskap betonar vikten av att ledningen tar ansvar för arbetet med informationssäkerhet genom att regelbundet göra uppföljningar. Ledningen behöver därför tillräckliga kunskaper och löpande rapporter för att kunna fatta kloka beslut.
“Ledningens ansvar är att ge rätt förutsättningar för arbetet med informationssäkerhet och att i dialog med CISO se vilka arbetssätt som fungerar vid LU. Vi behöver också vara ambassadörer för detta arbete och det kan vi vara genom att lyfta betydelsen av informationssäkerhet i olika sammanhang”, skriver ledningen.
I samband med ökat distansarbete under pandemin och ökad digitalisering av universitetets verksamheter, har riskerna för cyberangrepp ökat. Företag och organisationer plågas till exempel av utpressningsvirus, Coop i somras, men också flera utländska lärosäten har drabbats.
Därför känns det betryggande att rektor för Lunds universitet i våras fattade beslut om att införa ett ledningssystem för informationssäkerhet, vilket görs i projektform och i linjen. Du som medarbetare kan genom den här bloggen följa hur arbetet går under hela projekttiden.
Som statlig myndighet ska Lunds universitet ta höjd för och följa MSB:s ”Föreskrifter om informationssäkerhet för statliga myndigheter” och ”Säkerhetsåtgärder i informationssystem för statliga myndigheter”. Ytterligare ett tjugotal lagar, förordningar och föreskrifter tangerar och ställer krav på genomarbetad hanteringen av informationssäkerhet. Till detta får även läggas forskningsfinansiärers och externa samarbetspartners krav på systematiskt arbete inom området.
I maj 2021 beslutade rektor om en handlingsplan för hantering och införande av ett ledningssystem för informationssäkerhet vid Lunds universitet. Handlingsplanen sträcker sig över drygt två och ett halvt år och innefattar sex olika fokusområden:
Utbildning och förankring hos ledning och chefer.
Ramverk, del 1.
Nuläge av informationssäkerhet – verksamhets- och riskanalyser.
Ramverk, del 2.
Webbsidor och kommunikationskanaler
Ledningssystem för informationssäkerhet etablerat
Under hösten genomförs utbildningar av högsta ledningen i strategisk informationssäkerhet, och ett styrdokument som övergripande beskriver hur ledningssystemet ska fungera och hur arbetet vid universitetet ska gå till, håller på att tas fram. Andra delen i ramverksarbetet handlar om att ta fram övriga styrdokument, arbetssätt och stöd.
När beslut fattats om första delen av ramverket, ska arbete inledas med att inventera hur informationssäkerheten vid universitetet ser ut i dag, genom verksamhets- och riskanalyser. Syftet är att ge ett underlag till beslut och prioriteringar av riskhantering. Det kommer också att göras pilotaktiviteter av nya arbetssätt och metodik hos utvalda verksamheter.
För att nå ut i hela organisationen med vad det nya regelverket innebär, samt ledningens målsättningar och intentioner, jobbar projektet också aktivt med kommunikation, bland annat via webben och andra kommunikationskanaler – som den här bloggen.
Kommentarer