Bli medlem

EU skärper IT-säkerhetskraven för samhällsviktiga tjänster

Författare:

Kave Noori

|

Datum:

|

Samtidigt som EU skärper de obligatoriska cybersäkerhetskraven för viktiga samhällstjänster vill regeringen att svenska företag, organisationer och privatpersoner skyddar sig bättre. Ett högdigitaliserat land som Sverige är mycket sårbart för cyberangrepp. Detta är del 1 av 2 i vår fördjupande artikel som belyser hur samhället förbereder sig för att möta den ökade risken för cyberangrepp från Ryssland.

Uppdaterade IT-säkerhetsregler för samhällsviktig infrastruktur genom NIS 2
Europaparlamentet och rådet nådde den 13 maj 2022 en preliminär överenskommelse om ett nytt NIS-direktiv. Enligt ett pressmeddelande från rådet syftar det nya EU-direktivet som man enats om till att stärka cybersäkerheten och motståndskraften i hela unionen. Det nya direktivet, som kallas NIS2, kommer att ersätta det nuvarande direktivet om nät- och informationssäkerhet (NIS).

Enligt Myndigheten för samhällsskydd och beredskap (MSB) är NIS en engelsk förkortning på directive on security of Network and Information Systems. Nuvarande NIS är ett juridiskt regelverk för offentliga och privata aktörer som levererar utpekade samhällsviktiga tjänster. Regelverket omfattar bland annat banker, energibolag och vården.

NIS2-direktivet är avsett att undanröja nationella olikheter genom att införa enhetliga krav på cybersäkerhet i medlemsstaterna för samhällsviktig infrastruktur. De uppdaterade reglerna ska också göra det lättare för myndigheter i medlemsstaterna att samarbeta med varandra. Direktivet uppdaterar också förteckningen över sektorer och verksamheter som omfattas av NIS-reglerna och innehåller bestämmelser om hur reglerna ska tillämpas.

Enligt det nuvarande NIS-direktivet ansvarar medlemsstaterna för att avgöra vilka aktörer som uppfyller kriterierna för att klassificeras som tillhandahållare av samhällsviktiga tjänster. Genom det nya NIS2-direktivet avgörs fler sådana detaljer på EU-nivå och det införs en storleksgräns, vilket innebär att alla medelstora och stora företag som driver eller tillhandahåller tjänster inom de sektorer som täcks av direktivet kommer att omfattas av dess tillämpningsområde.

Enligt pressmeddelandet kommer NIS2 inte att tillämpas på aktörer som bedriver verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet, brottsbekämpning och rättsväsende. NIS2 kommer att gälla för offentliga administrativa organ på central och regional nivå. Det kommer att vara upp till medlemsstaterna att besluta om NIS2-direktivet även ska gälla för lokala organ.

Det provisoriska avtal som ingicks den 13 maj 2022 måste nu godkännas av rådet och Europaparlamentet. När direktivet väl har godkänts och trätt i kraft har medlemsstaterna 21 månader på sig att införliva bestämmelserna i sin nationella lagstiftning.

Regeringen vill att svenska organisationer och privatpersoner stärker sin IT-säkerhet
Samtidigt som EU skärper de obligatoriska kraven på samhällsviktiga tjänster, riktar den svenska regeringen en uppmaning till landets företag och privatpersoner. Regeringen har gett MSB och Polisen i uppdrag att genomföra en bred informationskampanj riktad till allmänheten och näringslivet om informations- och cybersäkerhet. Regeringen har avsatt 40 miljoner kronor för detta.

  • ”Jag vill uppmana alla företag, alla myndigheter och privatpersoner att se över sin egen IT-säkerhet” sade inrikes- och justitieminister Morgan Johansson under en presskonferens den 2 mars 2022 där regeringsuppdraget om informationskampanjen lanserades.

Morgan Johansson höll presskonferensen tillsammans med Charlotte Petri Gornitzka, generaldirektör för Myndigheten för samhällsskydd och beredskap (MSB), och Charlotte von Essen, chef för SÄPO.

Morgan Johansson sade att svenska myndigheter är medvetna om de högre riskerna med cyberattacker, men att det nu är dags att även utbilda allmänheten för att göra dem medvetna om riskerna och öka deras beredskap.

Charlotte von Essen sade att kriget i Ukraina har orsakat en förändring av freds- och säkerhetssituationen i Europa och har ökat det långsiktiga hotet om cyberattacker. SÄPO är medveten om att utländska statliga aktörer genomför cyberattacker både i fredstid och under pågående konflikter. Hon sade att det är viktigt att ha ett fullständigt skydd mot dessa hot, som kan komma i form av DDoS-attacker, bedrägliga webbplatser, phishing och spridning av skadlig kod.

SÄPO och MSB uppmanar enligt Charlotte von Essen säkerhetsansvariga och säkerhetsexperter att vara mer vaksamma i ljuset av den senaste tidens händelser. Det är viktigt att myndigheter och företag har en tydlig förståelse för vad som behöver skyddas och att prioritera därefter. Samhället som helhet måste vara bättre informerat för att öka sin motståndskraft mot säkerhetshot.

Charlotte Petri Gornitzka förklarade att MSB arbetar via CERT-SE (Computer Emergency Response Team) för att hantera hot mot cybersäkerheten. Hon fortsatte med att säga att samhället bör vara extra vaksamt, välkända tidigare IT-incidenter kan användas som exempel för att beskriva de tänkbara konsekvenserna av otillräcklig cybersäkerhet. Just nu har cyberattackerna inte ökat, men tidpunkten och världssituationen är speciell menade hon.

Vidare talade Charlotte Petri Gornitzka om vikten av att organisationer använder Infosäkkollen för att öka sin motståndskraft mot attacker och vara bättre förberedda på incidenter. Hon rådde också organisationer att vara mycket uppmärksamma på eventuella avvikelser i IT-miljön och att rapportera misstänkta brott till polisen.

Slutligen så framhöll Charlotte Petri Gornitzka att alla, även privatpersoner kan hjälpa till med att höja samhällets beredskap. Hon sa att man som privatperson kan bidra genom att alltid uppdatera sin mobil, dator, iPad, säkerhetsprogram, lösenord och skydda sin E-legitimation. De som behöver hjälp med tekniken kan i första hand kontakta sin internetleverantör. Hon uppmanade också allmänheten att vara källkritisk och att inte sprida felaktig information om den rådande situationen. Vidare sade hon att alla kan drabbas av utpressningstrojaner (ransomeware), såväl kommuner som privata organisationer.

Följ MSB:s rekommendationer, skyll inte på användarna och rapportera överträdelser
CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) ser ett behov av att påminna organisationer om vad de kan göra för att säkerställa sin cyberhygien, det gäller både offentliga och privata organisationer, stora som små. Dessa rekommendationer bör man regelbundet göra en översyn utifrån för att se till att kritiska IT-system inte drabbas av cyberattacker.

En forskare uppmanar organisationer att noga tänka igenom hur de utformar instruktionerna till de som ska använda ett IT-system. Det påstås ofta att det är användaren som gör fel och som är den svaga länken. Joakim Kävrestad vid Högskolan i Skövde som forskar och undervisar i cybersäkerhet med fokus på användarbeteende, håller inte med. Enligt honom är problemet att experternas råd är för komplexa och lägger ett orimligt stort ansvar på den enskilda användaren, som förväntas göra precis som experterna säger. Kävrestad påstår att det är säkerhetsexperterna som blir den svaga länken när vi flyttar ansvaret till användare i stället för att ta det själva.

Om vi ska kunna skydda oss mot framtida cyberhot måste säkerhetsbranschen enligt Kävrestad göra användaransvaret till en rimlig börda och erkänna att inte bara användare är naiva. Naivitet finns på individ-, organisations- och nationsnivå. Han menar att säkerhetsbranschen måste sluta lägga skulden på användarna för att de inte uppfyller våra höga krav och i stället hjälpa dem genom att göra våra krav mer användarvänliga. Vi bör inte tvinga på användarna komplexa lösenord och regelbundna lösenordsbyten. Vi måste möjliggöra flerfaktorsautentisering och utbilda användarna med skräddarsydd utbildning om risksituationer som förekommer i deras normala arbetssituation säger han.

En annan viktig del i att möta cyberhoten är att rapportera incidenter till myndigheter. Under en paneldiskussion som anordnades av CNBC vid World Economic Forum i Davos måndagen den 23 maj uppmanade Jurgen Stock, Interpols generalsekreterare, företagsledare att öka samarbetet med regeringar och brottsbekämpande myndigheter för att säkerställa en effektivare kamp mot cyberbrottslighet. Han sade att ett ”enormt antal” cyberattacker inte rapporteras och att de brottsbekämpande myndigheterna behöver hjälp av den privata sektorn för att fylla denna informationslucka. Han tillade att Interpol är ”blinda” utan rapporter från den privata sektorn.

Stock sade dessutom att han är orolig för att statligt utvecklade cybervapen för militärt bruk om ”några år” kommer att finnas tillgängliga på darknet. Stock sade att detta är ett stort bekymmer eftersom dessa vapen skulle kunna hamna i händerna på den organiserade brottsligheten.

Vad är darknet?
Darknet är ett nätverk av datorer som inte är anslutna på samma sätt som andra nätverk. De arbetar tillsammans utan en central server. Darknet är inte en enda plats utan snarare en samling webbplatser och andra resurser som inte indexeras av traditionella sökmotorer. För att få tillgång till darknet måste användarna installera särskild programvara, t.ex. webbläsaren Tor. När användarna väl är inne på darknet kan de surfa på webbplatser, chatta med andra och till och med köpa olagliga varor och tjänster. Darknet kan användas för kriminell verksamhet, men det används också för helt legitima saker av journalister, visselblåsare och andra som behöver kommunicera anonymt. Exempelvis uppmanar CIA ryska medborgare som vill lämna underrättelser att kommunicera med dem över Tor. Tor används också av privatpersoner som inte vill att kommersiella företag ska kunna spåra varenda grej de gör på internet.

Sammanfattning
Sammanfattningsvis kommer NIS2-direktivet införa nya krav som säkerställer att kritisk infrastruktur skyddas bättre mot cyberhot. Alla kan drabbas av utpressningstrojaner (ransomware), så det är viktigt att ha en plan för när det händer. Säkerhetsbranschen bör sluta skylla på användarna för att de inte uppfyller höga krav och i stället hjälpa dem genom att göra kraven mer användarvänliga. Regeringen vill att även företag och privatpersoner stärker sin IT-säkerhet. Interpols generalsekreterare varnar också att cybervapen utvecklade för militären kan hamna i händerna på den organiserade brottsligheten inom några år, vilket är ett stort bekymmer.

Nästa vecka tar vi en närmare titt på den senaste utvecklingen inom utpressningstrojaner. Blir ransomware-grupper mer aggressiva? Har de blivit ett hot mot demokratin? Hur kan vi slå tillbaka mot dem? Ett säkerhetsföretag har upptäckt att ett ryskt botnät har förmågan att manipulera sociala medier i stor skala. Det verkliga syftet med botnätet verkar vara att sprida desinformation och propaganda snabbt och automatiskt. Vad kan du som privatperson göra för att skydda dig själv och andra mot detta växande problem? Håll ögonen öppna för vår kommande artikel för att få reda på det!

Läs mer här:

MSBs informationssida om NIS1:

Rådets pressrelease den 13 maj 2022

Regeringens presskonferens den 2 mars 2022 om informationskampanjen till allmänheten för ökad IT-säkerhet

CERT-SEs uppmaning till organisationer att höja sin cyberhygien

Högskolan i Skövdes nyhet den 6 april 2022 där forskaren Joakim Kävrestad uttalar sig användaransvar

Nyhet den 23 maj 2022: Interpols generalsekreterare säger att militära cybervapen om några år kan hamna i händerna på kriminella

Kakor
Vi bjuder på kakor! Om du tycker det är ok, klickar du bara på "Acceptera alla". Du kan såklart välja vilken typ av kakor du vill ha genom att klicka på "Inställningar". Läs vår cookie policy
Inställningar Neka alla Acceptera alla
Kakor
Välj vilken typ av kakor du vill acceptera. Ditt val kommer att sparas i ett år. Läs vår cookie policy
Spara Neka alla Acceptera alla