4.6 Säkerhet i datorbaserade system

Den tekniska utvecklingen har möjliggjort en digital transformation. Digitala system installeras i snabb takt och systemen kopplas samman för att öka automatiseringen av VA-verksamheten. Tekniken medför ofta fördelar i form av kostnadsbesparingar och effektiviseringar, som exempelvis att kunna sköta driften med färre personer, göra snabbare felsökning eller helt enkelt skapa en bättre arbetsmiljö. 

Myntet har dock två sidor: förändringarna har medfört att VA-verksamheter, liksom samhället i stort, i allt högre grad blivit helt beroende av funktionen och tillgängligheten hos dessa datorbaserade system. Med ett ökat antal kommunicerande digitala system ökar anläggningarnas tekniska komplexitet, vilket i sig medför nya potentiella sårbarheter. 

Den snabba utvecklingen gör att det blir allt svårare att få överblick över och förstå egenskaperna hos anläggningens IT-infrastruktur. Här krävs en ökad kunskap om både IT-system och nätverkskommunikation för att kunna analysera och löpande underhålla den digitala transformationens avancerade konfigurationer och komplexa dataflöden. För att säkerställa en hög säkerhet och tillgänglighet hos verksamhetens IT-lösningar, ställs därför helt nya krav på kompetens kring realtidsövervakning, loggning, kontinuitetsplanering samt rutiner för löpande förvaltning av datorbaserade system och nätverk. 

Anpassa säkerhetsarbetet efter verksamhetens förutsättningar 

Tyvärr finns inga enkla universallösningar, i form av råd och checklistor, som kan klara alla typer av utmaningar som kan uppstå vid hanteringen av datorbaserade system. Däremot finns mängder av värdefulla insikter och erfarenheter, råd och riktlinjer i standarder och ramverk vilka verksamheter bör beakta vid uppbyggnaden av sitt säkerhetsarbete. Det är viktigt att anpassa åtgärderna utifrån verksamhetens förutsättningar eftersom dessa skiljer sig åt när det gäller exempelvis ålder, grad av underhåll, personal och samarbetspartners kompetens samt tillgängliga resurser. 

Generellt handlar ett gott säkerhetsarbete om förmågan att löpande kunna identifiera nuläget samt kritiskt analysera beroenden och potentiella sårbarheter. Det gäller att få till en robust hantering av och kontinuitet hos verksamhetens datorbaserade system. Detta kräver att verksamheten övervakar interna nätverk och samtidigt beaktar omvärldshändelser så att viktiga relevanta uppdateringar och skyddsåtgärder kan vidtas på kort tid. 

Det handlar också om att prioritera relevanta skyddsåtgärder. När det gäller säkerhetsarbetet i datorbaserade system, handlar det exempelvis om att kunna detektera avvikelser, skydda data och system mot otillbörlig åtkomst och spåra händelser (i realtid och historiskt). 

För att säkerställa att rätt säkerhetsåtgärder vidtas för datorbaserade system, är det viktigt att klassificera systemen och deras relaterade information. Detta hjälper till att avgöra vilken nivå av skyddsåtgärder som krävs för att säkerställa att systemet och dess information är säkra mot olika hot. 

För att välja lämpliga säkerhetsåtgärder, är det viktigt att ta hänsyn till systemets krav på tillgänglighet, datakvalitet, sekretess och spårbarhet. För att bedöma detta kan följande frågeställningar vara lämpliga:

Hur tillgängligt måste systemet vara?

• Vilken tid är acceptabelt för ett systemavbrott?
• Vilka konsekvenser kan uppstå om systemet inte är tillgängligt?
• Vilka åtgärder behöver vidtas för att minimera risken för systemavbrott?

Hur viktigt är det att data är rätt?

• Vilka konsekvenser kan uppstå om data inte är korrekt?
• Vilka säkerhetsåtgärder behöver vidtas för att skydda mot felaktig hantering av data
• Hur ska man hantera eventuella dataintegritetsproblem? 

Hur känsliga är data ur sekretessynpunkt?

• Vilken typ av data finns det i systemet?
• Vilken typ av personer är tillåtna att se data?
• Vilka åtgärder behöver vidtas för att skydda data mot obehörig åtkomst? 

Hur ser hoten ut? 

Ett hot är en potentiell handling, eller en serie av handlingar, riktade mot en verksamhet, system eller medarbetare och som kan resultera i negativa effekter på dessa. I lagstiftningen talas det ofta om en antagonist som kan vara en individ, grupp, nätverk, organisation eller stat som har förmåga och avsikt att realisera ett hot. 

De värsta incidenterna orsakas av illasinnade angripare (antagonister). Tyvärr går det inte heller att utesluta risken för att det är någon som sköter datorsystemet som är angripare. Dessa interna angripare (insiders) kan vara farligare än externa, eftersom de inte bara har behörighet till lokalerna utan också vet vilka funktioner i systemet som är kritiska och var svagheterna finns. En förvaltning med fokus på säkerhet minskar risken för att angrepp ska lyckas – oavsett varifrån de kommer. 

De vanligaste driftstörningarna orsakas dock av misstag. En vanligt förekommande felorsak är att personalen inte känner till vikten av det datorsystem de arbetar med. De kanske tar datorn ur drift för normalt underhåll eller gör förändringar utan att ha en aning om vad de råkar ställa till med. En annan orsak kan vara att de förändrar viktiga inställningar i datorn utan att inse konsekvenserna av detta. 

Ökade krav på spårbarhet och backuper 

Vid cyberangrepp har angriparen ofta varit inne i system hos verksamheten i flera månader innan angreppet uppmärksammas. Det allt längre tidsperspektivet vid angrepp gör att det blir viktigare att ställa krav på ökad spårbarhet av händelser för att kunna identifiera när, var och hur data/system förändras. 

För att uppnå detta, är det viktigt att ha en detaljerad loggning av händelser och order, samt att synkronisera tidsstämpling av data för att underlätta forensisk analys. Det är också viktigt att skydda dessa spår mot manipulation och radering. Dessutom är det avgörande att ha heltäckande backuper och möjligheter att kunna återskapa dessa vid behov. 

Det är också viktigt att minimera antalet personer som har tillgång till den dator som systemet körs på, både fysiskt och genom att begränsa nätverksåtkomst via inloggning, samt att spåra aktiviteter. Om ni vet vilka personer som har befogenhet att handha datorsystemet, och har en utförlig loggning av alla händelser och order som operatörer gett till systemet, blir det enklare att utföra felsökning. Det går då snabbare få reda på vilka förändringar som har utförts omedelbart före en inträffad driftstörning. 

Dokumenterade rutiner och processer för ökad säkerhet 

Det är viktigt att ha tydliga och uppdaterade rutiner och processer för att säkerställa en löpande och effektiv förvaltning av datorbaserade system inom verksamheten.

Dessa rutiner bör innehålla:

• Beskrivningar av vem som är ansvarig för att uppdatera och hålla register över behöriga användare, både i systemet och i administrativa styrdokument.
• En tydlig förklaring av vilka kriterier som används för att tilldela och ta bort behörigheter och hur verksamheten säkerställer att dessa riktlinjer följs och uppdateras regelbundet.
• En identifierad systemägare som ansvarar för den löpande förvaltningen av systemet.
• Planer och processer för att hantera förändringar och installera säkerhetsuppdateringar, samt regelbundna tester för att säkerställa systemets integritet.
• Utvalda drifttekniker med djup kompetens inom det aktuella systemet och en god förståelse för verksamhetens behov och krav. Dessa kan vara verksamhetens egna anställda eller inhyrda experter. 

Säkerhet genom utbildning och övning 

För att säkerställa en hög nivå av säkerhet i verksamheten är det avgörande att personalen har tillräcklig kunskap och förståelse för hur systemet fungerar och vilka konsekvenser deras handlingar kan få. Detta kan uppnås genom regelbunden utbildning och övningar, där personalen får förståelse för hur de ska hantera misstag och incidenter. 

Övningar är också en viktig del i att identifiera och åtgärda brister i rutiner och processer. Detta hjälper till att förbättra säkerheten och minska risken för driftstopp orsakade av mänskliga fel. Det är viktigt att komma ihåg att även om incidenter kan vara orsakade av misstag, så kan de fortfarande leda till allvarliga konsekvenser för verksamheten och därför måste man alltid sträva efter att säkerställa normal drift.

För att säkerställa systemets kontinuerliga prestanda och säkerhet är det viktigt att regel- bundet genomföra vidareutveckling och uppdateringar av systemet. Detta innebär att det krävs en genomtänkt planering och organisation för att genomföra tester, driftstopp och utbildning för att kunna implementera nya versioner av systemet. 

En viktig del av vidareutvecklingen är loggningen av händelser inom datornätverk och datorsystem. Detta ska skötas av IT-specialister, men det är viktigt att komma ihåg att det är den ansvarige för VA-verksamheten som bestämmer i vilken utsträckning loggarna används. Loggarna kan ge viktig information om obehörig åtkomst och misslyckade inloggningsförsök, och kan hjälpa till att identifiera potentiella angrepp och säkerhetsbrister. Det är också viktigt att ha rutiner på plats för att hantera och utreda eventuella obehöriga åtkomster eller misslyckade inloggningsförsök. 

Motsvarande loggböcker kan också finnas som en delfunktion inom applikationssystemen och kan innehålla information om till exempel användaråtgärder, fel och systemstörningar. För att få ut mesta möjliga information konsultera systemleverantörens handböcker för att förstå hur loggarna ska tolkas. Det är säkerhetsansvarige för verksamheten som är ansvarig för att granska loggarna och det krävs specifika fackkunskaper för att kunna tolka innehållet. Det är viktigt att granska loggarna regelbundet för att identifiera eventuella problem och förebygga framtida incidenter. 

Outsourcing av datordrift innebär att man lägger ut hanteringen av informationssystem, nätverk och andra datormiljöer till en annan organisation. När en organisation väljer att lägga ut hela eller delar av sin datordrift är det viktigt att säkerhetskraven behandlas i ett formellt avtal mellan parterna. Avtalet bör ta hänsyn till risker, rutiner och åtgärder relaterade till säkerhet, med syftet att bibehålla kontrollen över säkerheten. 

Exempel på några viktiga punkter att inkludera i avtalet:

• Rättsliga krav: Avtalet måste ta hänsyn relevanta krav från Säkerhetsskyddslagen, NIS och eventuellt GDPR och beskriva hur dessa ska uppfyllas för att säkerställa att verksamheten följer alla relevanta lagar och regler.
• Ansvar och skyldigheter: Det måste finnas tydliga ansvarsområden för varje part för att säkerställa att alla är medvetna om vad som förväntas av dem.
• Kommunikation och samarbete: För att åtgärder ska kunna vidtas snabbt och effektivt bör det finnas tydliga rutiner för kommunikation och samarbete mellan parterna. Detta kan inkludera regelbunden rapportering, genomförande av säkerhetstester och övervakning av systemet.
• Riktighet och sekretess: Avtalet behöver säkerställa att det finns rutiner för att upprätthålla och testa riktigheten och sekretessen för verksamhetens tillgångar.
• Begränsad åtkomst: Det bör finnas åtgärder för att begränsa åtkomsten till verksamhetens känsliga information och system.
• Katastrofplaner: Det bör finnas planer för vad som ska göras av vem om det händer en katastrof – allt för att i det längsta hålla verksamheten igång.
• Fysisk säkerhet: Avtalet bör beskriva den fysiska säkerheten för utrustningen som läggs ut.
• Revision: Det bör finnas bestämmelser för revision och löpande uppföljning av avtalet för att säkerställa att det följs.
• Överträdelser: Överträdelser av avtalet (om inte överenskomna krav och löften upprätthålls) bör hanteras med bestämmelser om kännbara böter eller annan form av ersättning då de kan leda till allvarlig skada för samhällsviktiga tjänster. 

Detta är några viktiga punkter att tänka på när man skapar ett avtal för outsourcing av datordrift. Dessa hjälper till att säkerställa att verksamhetens säkerhet inte påverkas och att alla parter är medvetna om sina ansvar och skyldigheter. Avtalet bör regelbundet granskas och uppdateras för att säkerställa att det fortfarande är relevant i förhållande till hotbild och kända sårbarheter samt säkerställa överensstämmelse med gällande lagstiftning och branschstandarder. 

Det är av högsta vikt att vidta åtgärder för att stärka skyddet mot cyberangrepp. Cyberhot och störningar riktade mot VA-verksamheter har inga landsgränser; de kan antingen ske medvetet genom riktade angrepp för att slå mot Sveriges säkerhet eller oavsiktlig indirekt genom att skadlig kod snabbt sprids globalt via internet och påverkar sårbara system. 

Alla VA-verksamheter rekommenderas att prioritera insatser när det gäller att förbättra sin säkerhetskultur, cybersäkerhet och att skydda sina kritiska tillgångar. 

Trots det tycker organisationer att det är svårt med begränsade resurser identifiera vad som behöver göras och vilka säkerhetsförbättringar som är viktigast. 

Genom att arbeta med följande generella rekommendationerna, kan dock alla organisationer göra framsteg på kort sikt för att förbättra sin cybersäkerhet och öka sin motståndskraft mot cyberangrepp: 

Minska sannolikheten att drabbas av ett skadligt cyberintrång.

• Säkerställ att all fjärråtkomst till organisationens datornätverk och administrativ åtkomst till datorbaserade system kräver multifaktorautentisering (MFA).
• Säkerställ att all programvara (inklusive firmware) hålls uppdaterad och prioritera de uppdateringar som åtgärdar kända sårbarheter som exempelvis publiceras av leverantör eller CERT.se. Kunskapen om vad som finns i verksamheten kräver att kartläggningen av nuläget löpande uppdateras. Vidare bör det ställas krav på alla leverantörer att lämna en innehållsförteckning som listar vilka programvarumoduler som ingår i deras produkt.
• Säkerställ att organisationen har minskat sin exponering genom att inaktivera alla portar och protokoll som inte är nödvändiga för att bedriva verksamheten.
• Säkerställ att organisationens nätverk segmenteras, det vill säga delas in i flera mindre segment/zoner vilka kan hanteras som egna nätverk med ökad säkerhet och kontroll. Det blir då lättare att upptäcka och isolera skadlig nätverkstrafik.
• Om molntjänster används, säkerställ då att dessa har säkerhetsgranskats och att de implementerat starka kontroller för autentisering. Dessutom behöver organisationen säkerställa att kritiska delar av verksamheten kan fortsätta bedrivas utan tillgång till molntjänsterna (Internet).
• Genomför sårbarhetsskanningar för att identifiera kända sårbarheter och se till att minska exponeringen av potentiella brister.
• Utbilda och öva personalen i cybersäkerhet. Säkerställ att de förstår hur antagonister kan använda sig av riktade e-postmeddelanden eller hemsidor på internet för att angripa personalen för att erhålla tillgång till datanätverk. Utveckla er säkerhetskultur så att personal anmäler incidenter och avvikelser, exempelvis om datorn eller mobilen beter sig på ett ovanligt sätt (plötsliga krascher eller fungerar väldigt långsamt). 

Vidta åtgärder för att snabbt kunna upptäcka ett potentiellt intrång. 

• Säkerställ att IT-personal har kompetens, planer och förutsättningar för att identifiera och snabbt utvärdera oväntade eller ovanliga beteende på nätverket. Aktivera loggning för att bättre kunna undersöka problem eller händelser.
• Säkerställ att organisationens nätverk har möjlighet att upptäcka och begränsa effekterna av skadlig kod och att signaturerna i de verktyg som används löpande hålls uppdaterade.
• Om ni arbetar med externa organisationer eller leverantörer, var då extra noga med att övervaka, inspektera och isolera datatrafiken från dessa organisationer. Granska åtkomstkontrollerna för den trafiken noggrant. 

Se till att organisationen är beredd att agera när ett intrång inträffar. 

• Se till att ett krisberedskapsteam finns etablerat som utgör huvudkontaktpunkten vid en misstänkt cybersäkerhetsincident med uttalade roller/ansvar inom organisationen, vilka inkluderar ansvariga för teknik, kommunikation, juridik och verksamhetens kontinuitet.
• Säkerställ tillgängligheten hos nyckelpersoner; identifiera sätt att tillhandahålla det extra stöd och de resurser som behövs för att agera på en incident. Minimera beroendet av enskilda nyckelpersoner.
• Genomför övningar av incidenter och testa er krishanteringsplan för att identifiera sårbarheter och säkerställa att alla deltagare förstår sin roll under en cyberincident.
• Säkerställ att utförlig loggning av händelser sker samt att dessa lagras under en tillräckligt lång tid (minst sex månader, gärna betydligt längre) och att de är skyddade, dvs utom räckhåll för en angripare. 

Utöka organisationens motståndskraft mot destruktiva cyberincidenter.

• För att minimera påverkan av en destruktiv cyberattack, exempelvis från ransomware, är det viktigt att löpande se över och testa procedurer för säkerhetskopiering och snabb återställning av kritiska data och system.
• Säkerställ att fullständiga säkerhetskopior är inlåsta (utom räckhåll från hotaktörer), isolerade från nätverk (det vill säga off-line) samt finns distribuerade geografiskt (för att skydda mot brand eller annan fysisk påverkan).
• Utför årligen test av manuella driftsrutiner för att säkerställa att kritiska funktioner fungerar även om organisationens nätverk eller Internet blir otillgängligt eller opålitligt.