Energiföretagen ger tre tips om säkerhetsskyddsarbetet

Säkerhetsskyddslagen (2018:585) gäller för all verksamhet som är av betydelse för Sveriges säkerhet, som kritisk infrastruktur i offentlig och privat regi och alla verksamheter med skyddsvärda data. Lagen innebär krav på säkerhetsskyddsarbete för att kunna minska våra sårbarheter. Det kan till exempel handla om kritisk infrastruktur och deras system för styrning av känsliga processer (exempelvis SCADA), i och med att dessa system kan utgöra en potentiell attackyta.

– Säkerhetsskyddslagen tydliggör skyldigheterna för säkerhetskänslig verksamhet och betonar vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser. Det är också obligatoriskt med spårbarhetslogg och säkerhetsskyddschef för alla verksamhetsutövare.

Det säger Emma Johansson som är ansvarig för säkerhetsfrågor hos Energiföretagen Sverige och ger tre tips på områden inom säkerhetsskyddsarbetet för bolag som omfattas av de nya reglerna:

Tips 1: Säkerhetsskyddsanalys med säkerhetsskyddsplan

Första steget i arbetet med säkerhetsskydd är att genomföra en säkerhetsskyddsanalys. Verksamheten ska hitta en väl avvägd nivå för säkerhetsskyddet som identifierar vad som behöver skyddas och var i verksamheten skyddsvärdena finns. En sådan analys är grunden till säkerhetsskyddsarbetet. Genom att ställa följande frågor framgår vad som krävs:

1)      Vad är målet med verksamheten?

Gör en verksamhetsbeskrivning där det tydligt framgår vilka ansvar och processer som finns. Notera även eventuella beroende av andra funktioner, både internt och externt.

2)      Vilka är verksamhetens skyddsvärden?

Fundera över vad som är verksamhetens skyddsvärden. Vilka är de mest känsliga delarna, de delar som kan påverka Sveriges säkerhet om någon kommer över dem?

3)      Vilka konsekvenser kan uppstå?

Gör en konsekvensanalys och bedöm var gränsen för acceptans går.

4)      Vad är hotet?

Gör en tydlig beskrivning av hoten och motståndaren. Hur ser hotbilden ut? Vilken typ av angripare kan tänkas utgöra ett hot? Finns det några kända potentiella angripare och vad finns det för hotbild kopplad till dessa?

5)      Vilka sårbarheter finns?

Gör en sårbarhetsanalys som visar sårbarheter kopplade till verksamhetens skyddsvärden. De kan användas av en potentiell angripare och är därför viktiga att veta var de finns.

6)      Vilka skyddsåtgärden ska väljas?

Identifierade sårbarheter ska slutligen knytas till lämpliga skyddsåtgärder. Åtgärderna finns inom tre olika områden; Informationssäkerhet, fysisk säkerhet och personalsäkerhet. Med åtgärder inom alla dessa delar skaffar sig verksamheten en generell säkerhetsskyddsanalys.

En mer detaljerad information om hur en säkerhetskyddsanalys görs med tillhörande säkerhetsskyddsplan finns hos Säkerhetspolisen

Tips 2: Befattningsanalys

Energibranschen är den sektor som har lämnat in allra flest registerförfrågningar sedan nya Säkerhetsskyddslagen (2018:585) infördes. Det är viktigt innan en befattning placeras i säkerhetsklass, att verksamhetsutövaren analyserar om behovet av säkerhetsskydd i stället kan tillgodoses genom andra åtgärder än placering i säkerhetsklass.

Det är också viktigt att välja rätt nivå på säkerhetsklassificeringen, att inte ta i för mycket. För den enskilde medarbetaren är placering i säkerhetsklass också en fråga om ett ingrepp i den personliga integriteten, vilket förstås ska vara skäligt.

Befattningsanalysen ska som minst innehålla en motivering enligt följande:

• Vilka av de säkerhetsskyddsklassificerade uppgifter (identifierade i verksamhetsutövarens säkerhetsskyddsanalys) som respektive befattning behöver få tillgång till för att kunna utföra sitt arbete.
• Vilken av de säkerhetskänsliga verksamheterna i övrigt (anläggningar, objekt, system etcetera), som har identifierats i verksamhetsutövarens säkerhetsanalys, som befattningen deltar i.
• De skadekonsekvenser som deltagandet enligt punkten ovan skulle kunna medföra och således vilken säkerhetsklass som befattningen föreslås placeras i (se 3 kap. 5–8 §§ säkerhetsskyddslagen).
• Varför behovet av säkerhetsskydd inte kan tillgodoses på annat sätt än genom placering i säkerhetsklass. Exempel på andra åtgärder är att minska tillgången till uppgifter och informationssystem eller begränsa tillträdet till byggnader, anläggningar, områden och andra objekt.

Information om säkerhetsprövning finns hos Svenska kraftnät 

Läs även SÄPO:s Vägledning om personalsäkerhet

Tips 3: Identifiera skyddsvärden

Teknikutvecklingen ger oss många nya fantastiska möjligheter men även fler brister och sårbarheter som kan exponeras för potentiella attackerare. För att undvika gapet mellan hot och skydd fortsätter behovet växa av säkerhetsskyddsåtgärder.

En säkerhetskänslig verksamhet innehåller ett eller flera skyddsvärden. Med utgångspunkt i verksamhetsbeskrivningen identifieras och bedöms specifika skyddsvärden. De ska bedömas från vilket eller vilka perspektiv den säkerhetskänsliga verksamheten är skyddsvärd.

Ett vanligt förekommande fall är att en verksamhet hanterar information som säkerhetsskyddsklassificerats av en annan verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Det kan exempelvis vara ett energiföretag som av Försvarsmakten blir delgiven uppgifter om totalförsvaret.

– I takt med samhällets digitalisering har behovet att koppla samman OT-system med IT-systemen ökat. Denna integration är en stor utmaning ur säkerhetssynpunkt då risken finns att någon otillåtet påverkar eller ändrar i systemet. Exempelvis behövs identifiering av säker systemintegration mellan IT- och OT-system, avslutar Emma Johansson.

I det fall flera uppgifter hanteras i ett system ska en bedömning göras om den totala mängden uppgifter som hanteras i systemet medför ett högre skyddsvärde. Här är det främst de två aspekterna aggregerade uppgifter och ackumulerade uppgifter som bör beaktas.

SÄPO:s Vägledning om Informationssäkerhet ger ytterligare stöd med att säkerhetsskyddsklassificera uppgifter och bedöma aggregerade eller ackumulerade uppgifter.