Cybersäkerhet
Cybersäkerhet har blivit en allt mer påtaglig utmaning, drivet av både det globala säkerhetsläget och den ökade uppkopplingen av produkter och system. Trots de många fördelarna med att koppla upp system och produkter glöms ofta den ökande risken bort. För att möta dessa utmaningar och säkerställa en trygg digital framtid krävs en helhetssyn och åtgärder som omfattar både människors beteende, tekniskt skydd och fysisk säkerhet.
Det sker ofta en sammanblandning mellan cybersäkerhet och informationssäkerhet. Dessa är två relaterade begrepp som båda fokuserar på att skydda data och system, men de har olika inriktningar och omfattar olika aspekter av säkerhet. Cybersäkerhet är en bredare disciplin som inkluderar åtgärder för att skydda både information och de tekniska system som hanterar den, medan informationssäkerhet har en mer snäv inriktning och handlar främst om att skydda själva informationen, oavsett dess form. Båda är viktiga för att säkerställa en trygg och säker hantering av data och resurser.
Dessa är mycket närliggande men informationssäkerhet utgör endast en del av cybersäkerhet. Informationssäkerhet är väl definierat. I ISO 27000 finns en allmänt accepterad definition:
- Informationssäkerhet: bevarandet av informationens konfidentialitet, riktighet och tillgänglighet.
Cybersäkerhet och cyberhot finns också definierade av Enisa, om Europeiska unionens cybersäkerhetsbyrå, i förordning 2019/881:
- Cybersäkerhet: all verksamhet som är nödvändig för att skydda nätverks- och informationssystem, användare av dessa system och andra berörda personer mot cyberhot.
- Cyberhot: en potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer.
Begreppet cybersäkerhet är väldig brett och innefatta alla aspekter av att skydda system, program och nätverk från digitala attacker och därigenom skydda en organisation och dess anställda mot cyberhot. Därför kan man grovt dela in åtgärderna i tre delar:
1. Beteende
Det mänskliga agerandet rörande hantering och lagring av data, lösenord, koder med mera. Detta är främst kopplat till de anställdas beteende. Företagets policy brukar vanligtvis beskriva vad man får ta med sig ut från arbetsplatsen, vilka enheter som får anslutas var, vilka program som får installeras samt vilka sidor som får besökas. Även hur komplexa lösenord måste vara samt hur ofta ska dessa bytas ut brukar regleras. Människan är ofta den svagaste länken i alla säkerhetsåtgärder.
2. IT-tekniskt skydd
Detta utgörs främst av IT-organisationens agerade för att skydda data så som brandväggar, krav på uppdateringar med mera. Här kommer ett stort beroende av att välja rätt produkter samt rätt konfigurationer, se till att hålla dessa uppdaterade och ha koll på olika angrepps vägar.
Det finns ett antal certifieringar som hjälper företag att säkerställa sin cybersäkerhet från grundläggande som Cybersäkerhet Bas från Stöldskyddsföreningen till mer avancerade som FMV (Försvarets Materialverk).
Enskilda produkter ska även skyddas enligt EU där Enisa utfärdar produkt- och tjänstecertifikat. Detta för att intyga att produkter uppfyller Cyber Resilience Act (CRA) och NIS direktivet. Standarden ISO/IEC 27001 beskriver Information security management systems om hur man kan skydda sin information och hur man planerar och övervakar den i sina IT-system.
3. Fysiskt skydd
Denna del handlar om att begränsa åtkomst till data genom att skydda bland annat servrar och kabelvägar och därmed hindra avlyssning eller manipulerade av data. Detta kan göras genom att planera installationen på så sätta att kabelvägar förläggs på larmad sida samt att skydda kabelvägar genom att begränsa åtkomst.
Hur detta kan utföras regleras bland annat i standard ISO/IEC 24383 ”Information technology - Physical network security for the accommodation of customer premises cabling infrastructure and information technology equipment”. Även standarden IEC 62443 beskriver en struktur för fysik cybersäkerhet för dina system. Den är främst riktad mot industriella applikationer men är även tillämpbar i fastigheter.
Mer info om cybersäkerhets relaterade regleringar:
- Läs mer om NIS 2 här
- Säkerhetsskyddslagen reglerar även en hel del verksamheter där våra installatörer kan påverkas. Läs vår nyhet om detta.
- Inom standardiseringen jobbar vi aktivt med nya standarder främst inom Tekniskkommitté IoT, TK 79 säkerhetssystem samt TK 215 Kommunikationsnät där ett antal nya som reglerar fysiskt säkerhet för kommunikationsinfrastruktur standarder är på gång. Exempel på en sådan standard är ISO/IEC 24383 ”Information technology - Physical network security for the accommodation of customer premises cabling infrastructure and information technology equipment”.
.
Dessutom har vi på Installatörsföretagen tagit fram certifieringen Behörig installatör fastighetsnät som bidrar till att installera korrekt och säker infrastruktur. Det är kanske vår viktigaste åtgärd vid installation. Därför är det viktigt att våra medlemmar certifierar sig som behörig installatör fastighetsnät.