Digitala lås, styrsystem och sensorer gör fastigheten effektivare. Men när leverantören får problem kan även verksamheten få problem. Bygg beredskap redan i upphandlingen, låt leverantören bli en del av er beredskap. Det uppmanar cybersäkerhetsrådgivaren oss.
När passersystem, värmestyrning, larm, hissar, tvättbokning och felanmälan blir uppkopplade, då blir leverantören av systemen inte bara en teknisk partner. Leverantören blir en del av er förmåga att hålla fastigheten och verksamheten användbar vid en störning.
Det märks ofta först när något händer, att system slutar fungera. Se därför inte beredskap som en enskild pärm vid sidan av verksamheten. Den ska finnas med i avtalen, i driftorganisationen och i vardagens system.
Ett ödesdigert scenario
En leverantör drabbas av en cyberattack eller driftstörning och plötsligt står ni med tjänster som inte går att nå, boende som behöver information och en driftorganisation som måste hitta manuella vägar framåt.
Leverantören kan behöva vidta åtgärder för att begränsa skadan, till exempel stänga ner ett angripet system. Men för er kan konsekvensen bli att en viktig funktion i fastigheten eller verksamheten försvinner. Då är frågan inte bara om leverantören har bra säkerhet utan frågan är också om ni har en gemensam plan för avbrottet.
Kritiska frågor att ställa
Börja i den egna fastigheten och ställ er själva ett antal frågor:
Vilka digitala tjänster är kritiska?
Vilka system måste fungera för att människor ska komma in, få värme, kunna felanmäla, ta emot information eller vistas tryggt i byggnaden?
Vilka system är beroende av el, internet eller leverantörens molntjänst?
Och vilka tjänster klarar ni er utan en tid?
När ni vet det blir upphandlingen med både befintliga och nya leverantörer tydligare. Då handlar den inte bara om pris, funktioner och användarvänlighet, utan också om ansvar, återställning och alternativ.
Be leverantören beskriva hur de arbetar med informationssäkerhet, incidenthantering, säkerhetskopiering och kontinuitet.
Fråga hur snabbt tjänsten kan återställas om något händer, hur ni får information vid en incident och vad som händer om leverantören själv blir utsatt.
Systemet slås ut
En viktig fråga är också: vad gör vi om systemet inte går att använda?
Det räcker inte enbart med att leverantören säger att tjänsten är säker. Ni behöver förstå vilken reservrutin ni själva har.
Går det att öppna dörrar manuellt?
Finns kontaktvägar till boende om den digitala kanalen ligger nere?
Kan driftinformation nås på annat sätt?
Vet personalen vem som fattar beslut, vem som informerar och vilka åtgärder som ska prioriteras?
Gör avtalet tydligt
Avtalet bör tydliggöra ansvar, kontaktvägar, krav på incidentrapportering, tillgång till data, rätt till loggar, säkerhetskopior och hur ett byte eller avslut ska gå till.
Exitförmågan är också en del av beredskapen. Det betyder att om ni inte kan lämna en leverantör, få ut er data eller driva verksamheten vidare vid ett längre avbrott har ni byggt in en sårbarhet.
Se på era befintliga system och leverantörer
Titta också bakåt, inte bara framåt. Många kritiska system finns redan på plats och styrs av avtal som skrevs innan beredskap och cyberrisker fick samma tyngd som i dag.
Därför behöver befintliga leverantörer följas upp regelbundet:
fungerar säkerhetskraven fortfarande, är ansvar och kontaktvägar tydliga och vet båda parter vad som gäller vid en incident eller längre störning?
Expertens bästa råd
Mitt råd är att ställa tre frågor inför varje ny digital tjänst:
- Vad händer om tjänsten ligger nere?
- Vad händer om leverantören inte kan leverera?
- Vad gör vi rent praktiskt första timmen och första dygnet?
Kan ni svara på det har ni kommit långt. Då blir beredskap inte en separat pärm, utan en naturlig del av hur ni upphandlar och följer upp leverantörer, samt hur ni driver och utvecklar era fastigheter.
Maria Svärd
Rådgivare information- och cybersäkerhet
