2019-03-22

Sverige bör bli bäst i världen på hållbar, innovativ och trygg digitalisering!

Sveriges regering har satt som mål att Sverige ska bli bäst i världen på att nyttja digitaliseringens möjligheter. Helt underbart tycker jag som har jobbat inom området i snart 19år, så länge det görs på ett tryggt och säkert sätt för alla berörda parter!

Jag ser allt för ofta idag att många enbart ser de fördelar som digitaliseringen ger och många gånger missar de baksidor (läs risker) som det kan medföra. Ingen har nog undgått de senaste medialt uppmärksammade incidenterna som exempelvis 1177 Vårdguiden, Transportstyrelsen, Facebook/Cambridge Analytica, Arbetsförmedlingen, Region Halland och Malmö Stad. Dessa är endast den berömda ”toppen av isberget” då det gäller digitaliseringar som inte har haft rätt nivå på trygghet och säkerhet i framtagande och förvaltning.

Jag tänkte börja med en liknelse för att sedan gå över till hur ni kan tänka då ni digitaliserar.

Vad avgör vilken nivå du har på försäkring och skydd (dörr, lås, larm med mera) som du har på ditt hem? Kan det vara vilket värde själva huset och innehållet har, hur rädd du är om det samt vilken nivå av risk du är villig/kan ta(riskacceptans)!?

Exakt samma gäller det för det system och information som berörs då du digitaliserar.

Skillnaden mellan innehållet i huset och systemen i en verksamhet är i de flesta fall att många andra än du själv som kan bli berörda om någon obehörig kommer åt informationen, om den är felaktig eller inte tillgänglig då den behövs.

För att komma fram till vilka skyddsåtgärder som behövs så kan man enkelt fundera över följande frågor:

  1. Vilka lagar berör den information som kommer att hanteras?
    Hur får informationen hanteras och hur ska den skyddas? Är hanteringen inte laglig så bör ni enligt mig skippa steg 2 och 3 och i stället undersöka hur ni kan göra för att följa aktuell lagstiftning.
  2. Vilka konsekvenser ser organisationen om informationen inte är tillgänglig då den behövs, inte är korrekt samt att någon obehörig kommer åt den?
  3. Vilka händelser kan inträffa som påverkar informationen negativt på något sätt?

När ni har kartlagt ovanstående 3 punkter så har ni en lista på behov och krav. Utifrån dessa måste ni sedan avgöra vilka skyddsåtgärder som ni behöver vidta.

Oj, kanske du tänker, vi har ju jättemycket information i vår verksamhet och det blir omöjligt hantera allt på en gång. Här gäller det att dela upp informationen utifrån bärare. Exempelvis det som finns i ett visst system, olika dokumenttyper (protokoll, beslutsunderlag, offert med flera), i en viss lagringsyta (server, molntjänst, dator, usb med flera) och sedan för respektive bärare utföra steg 1-3 ovan.

På tal om säkerhetsåtgärder; många tänker direkt på tekniska säkerhetsåtgärder som exempelvis kryptering, flerfaktorsautentisering, brandväggar och antivirus men missar att det även finns administrativa säkerhetsåtgärder som exempelvis utbildning, rutiner och processer som ger minst lika bra effekt.

En säkerhetsåtgärd kan även vara att låta bli att flytta en viss typ av känslig/kritisk information då det är den som ställer krav som driver upp kostnaden eller gör den i övrigt mindre känsliga/kritiska informationen onödigt svår att hantera.

Som med huset så måste ni väga variant och nivå på säkerhetsåtgärd utifrån funktion, kostnad och användarvänlighet samt viktigast av allt, att tänka helhet.
Exempelvis, hur många har en vallgrav runt huset för att hindra att någon kan ta sig in eller vilka har en bankvalvsdörr som ytterdörr men svängdörr som altandörr?
En vanlig effekt av att inte få med sig användarna är att de hittar sätt att kringgå den aktuella säkerhetsåtgärden vilket gör att man har investerat i något som inte ger den effekt som önskades.

När ni har en helhetsbild så måste ni bestämma er för vilken riskacceptans ni har.
Exempel kan vara att bryta mot en lag som i sin tur kan innebära en sanktionsavgift och/eller ett tappat förtroende, riskera att tappa produktion, tappa affärer, avslöja affärshemligheter eller sekretessärenden.

Tyvärr räcker det inte att göra kravställningen och besluta vilka säkerhetsåtgärder som behövs vid ett tillfälle utan detta måste göras systematiskt. Exempel på det är om information, en lag, systemet eller krav från en intressent har förändrats, en incident har inträffat eller att en sårbarhet i befintlig säkerhetsåtgärd har upptäckts.

Vi på Atea vill ta ansvar för att Sverige digitaliseras på ett hållbart, innovativt och tryggt sätt!

Tveka inte att kontakta mig eller någon av mina kollegor via sakerhet@atea.se om du har funderingar kring vad din verksamhet behöver göra för att jobba med trygg digitalisering.