Det tuffa säkerhetsläget och sårbarheten, när vi använder molnbaserade IT-system, gör fastighetsförvaltningen utsatt. Svefas expert Peter Hiti beskriver utmaningarna och hur vi kan hantera dem.
Säkerhetsläget i världen och i Sverige har försämrats de senaste åren och hotbilden för säkerhetskänslig verksamhet ökar kontinuerligt. Dessutom har komplexiteten och sårbarheten i samhällskritiska verksamheter ökat i takt med att vi bli mer beroende av molnbaserade IT-system. Vi fick en pratstund med en av Svefas experter, Peter Hiti, om utmaningarna med informationssäkerhet och fastighetsförvaltning och hur man ska hantera dessa.
Peter, säkerhet och fastigheter är kanske något som man främst förknippar med skalskydd, stämmer det fortfarande?
– Nja, både ja och nej. Självklart är skalskydd och begränsning av fysisk åtkomst alltid aktuellt. Men det har blivit helt uppenbart att information kring fastigheter är minst lika känsligt, ur ett säkerhetsperspektiv. Om någon illvillig aktör vill skada eller angripa en känslig fastighet så är just information om driftkritiska installationer högintressant. Med rätt information tillhands så räcker det med en begränsad insats för att sätta kritiska system ur spel. Och även om fastigheten i sig inte är så känslig så har många verksamheter information om hyresgäster eller boende som inte ska komma på villovägar. Vill man utsätta en hel verksamhet för störningar så är den snabbaste metoden att manipulera informationen i centrala verksamhetssystem, då stannar det mesta. Så jag vill nog säga att synen på information som säkerhetsrisk har skärpts ordentligt de senaste åren.
Ok, så informationssäkerhet är din grej i sammanhanget. Är den frågan lika kritisk för alla fastighetsägare?
– Ja, i någon mening. Alla skadas ju som sagt om det händer något med informationen. Men det är klart att om det exempelvis bedrivs säkerhetskänslig verksamhet i fastigheterna då hamnar frågan på en annan nivå.
Vad är det som gjort att fler fastigheter betraktas som säkerhetskänsliga?
– Det grundar sig helt enkelt i synen att det i många fastigheter bedrivs verksamheter som vårt samhälle är beroende av och som därför måste fungera även under hotbilder av olika slag. Från och med april 2019 har vi som bekant en ny lagstiftning som är tydligare med vilka verksamheter som klassas som säkerhetskänslig. Dessutom är den nya Säkerhetsskyddslagen mer omfattande än tidigare. I lagen redovisas till exempel vad som är att anse som säkerhetskänslig verksamhet, vilka krav som ställs på att inventera och klassificera IT-system och information och vilka krav som ställs på hur man ska skydda uppgifter som rör Sveriges säkerhet och samhällsviktiga informationssystem.
Vad innebär den nya Säkerhetsskyddslagen för fastighetsägare?
– Den innebär att man behöver ha kunskap om och kunna göra bedömningar huruvida hyresgäster och nyttjares verksamheter behöver hanteras enligt Säkerhetsskyddslagen. I det fall verksamheterna omfattas av lagen behövs särskild kunskap och hantering inom fastighetsförvaltningen, både vad avser systemfrågor, informationssäkerhet, men också vid upphandling av exempelvis driftleverantörer som kommer att hantera känslig information, etc. Det luriga med det här är att det inte finns en enkel regel utan det krävs bedömningar och åtgärder från fall till fall.
Gäller lagstiftningen oavsett om man är privat eller en offentlig aktör?
– Ja, syftet med lagen är ju att skapa ett bra helhetsskydd för Sverige, så lagstiftningen gäller alla oavsett om fastighetsägaren är offentlig eller privat aktör. Det som avgör om man berörs eller inte är vilken typ av verksamhet som bedrivs.
Du sade att man måste göra bedömningar från fall till fall, hur vet man då att man har gjort rätt?
– Det är en bra fråga, och den gäller oavsett om man lyder under säkerhetsskyddslagen eller inte. I stora drag grundar sig ett bra säkerhetsarbete på att man löpande identifierar hot, vidtar åtgärder, följer upp, identifierar nya hot, och så vidare. Ständig förbättring helt enkelt! Man kan alltså aldrig få en OK-stämpel en gång för alla utan man måste hela tiden anpassa sig till nya förutsättningar. Gör man det här på ett strukturerat och dokumenterat sätt, så skulle jag säga att man har gjort det man kan.
På temat ”informationssäkerhet”, finns det något som underlättar arbetet med det?
– Ja det gör det absolut. Två saker vill jag peka på: För det första är det en enorm skillnad att ha koll på informationssäkerhet i en välordnad miljö jämfört med om ingen tycks veta var all information ligger och hur ansvaret är fördelat. Har man en tydlig informationsmodell som beskriver system, information, masterdata, ansvar m.m, så är det så mycket lättare att överblicka både hot och säkerhetsåtgärder. Och motsatt, om liknande information ligger utspridd i flera system med oklart ansvar över systemen så är det nästan hopplöst att sätta säkerhetsgränser. Ordning och reda helt enkelt.
– För det andra så är det bra om verksamheten redan bedriver ett fungerande kvalitetsarbete. Då är man vad vid det vi nämnde nyss – ständig förbättring. Säkerhetsarbetet blir då en naturlig del i kvalitetsledningen, i stället för att bedrivas som en sidoaktivitet. Verksamheten är då också van vid att det kommer justeringar lite då och då avseende arbetsmetoder, val av systemlösningar, krav på kontroller och liknande. Det blir ingen stor grej.
Till sist, kan du säga något om nyttan med att aktivt arbeta med informationssäkerhet?
– Så gärna. Jag är av uppfattningen att säkerhet är lönsamt, inte en belastning. Hur då? Jo om man börjar i rätt ände genom att skapa ordning och reda och förändringsförmåga så vinner verksamheten otroligt mycket på det. Tar vi hand om och skyddar vår information så förbättras alla aspekter i verksamheten – mindre osäkerhet om vilka uppgifter som är korrekta, bättre analysförmåga, bättre beslutsunderlag. Och där det råder tydlighet och god överblick tycker de flesta att det inte är så svårt att också förändra en sak i taget, när verksamheten, marknadsläget, världsläget, hotbilden eller något annat kräver det.
Vilka är dina bästa tips för ett aktivt informationssäkerhetsarbete?
- Skapa en informationsmodell, som är en dokumentation över informationen. Då ser man direkt vad man har koll på och vad man behöver utreda.
- Se till att informationssäkerhet är en ledningsfråga, eftersom den så tydligt kopplar till roller, ansvar och processer – alltså verksamheten.
- Bättre med många små steg än ett jättekliv, så länge alla steg går mot samma mål.
- Systematisera säkerhetsarbetet på samma sätt som för kvalitetsarbetet. Det är i grunden samma metodik – ständig förbättring.
- Bra säkerhet kräver ordning och reda på många plan, på köpet får man en mer effektiv verksamhet.
