Prova gratis Begär offert Kontakta mig
02november
Sårbarhetsanalyser för att möta ny lagstiftning
Vi på Holm Security har tagit del av Regerings betänkande rörande den nya lagstiftning som baseras på det EU-homogena NIS-direktivet. Betänkandet är på 355 sidor och innehåller många omfattande och viktiga förändringar för organisationer som har samhällsviktig verksamhet. En mycket intressant fråga är om dessa organisationer kommer kunna följa lagen utan att göra IT-säkerhetsrelaterade sårbarhetsanalyser av sin IT-miljö. Vi anser att det blir svårt.
Av: Stefan Thelberg Ämnen: Incidentrapportering, NIS, Sårbarhetsanalyser, MSB

Vem berörs?

10 maj 2018 kommer en ny lag. Inför denna lag kom Regeringen tidigare i år ut med ett betänkande. Med all säkerhet kommer det som framgår i betänkandet tillämpas i mer eller mindre sin helhet. Men låt oss börja från början med att klargöra vilka som berörs av denna lag. Det är leverantörer av samhällsviktiga tjänster inom sju sektorer:

  • Energi, med delsektorerna elektricitet, olja och gas
  • Transporter, med delsektorerna lufttransport, järnvägstransport, sjöfart och vägtransport
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvårdssektorn, med delsektor hälso- och sjukvårdsmiljöer (inklusive sjukhus och privata kliniker)
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

Med andra ord är det ett mycket stort antal organisationer såsom alla elbolag, kommuner och landsting.

Vad säger den nya lagen?

Med det konstaterat kollar vi vidare på de krav som kommer. I huvudsak är syftet med lagstiftningen att skapa ett mer systematiskt och riskbaserat informationssäkerhetsarbete. Det kommer även ett krav på incidentrapportering. Här är det värt att notera att sårbarheter, även om de inte utnyttjats, skall rapporteras till MSB och att det är organisationens ansvar att kunna påvisa att de följer lagstiftningen - något som kommer kräva en rejäl insats.

Vad händer om man inte efterlever lagen? 

Enligt betänkandet föreslås i första hand administrativa sanktioner såsom sanktionsavgift och återkallelse av tillstånd som bestraffning. Det kan i praktiken innebära att t.ex. en bank förlorar sitt banktillstånd. Olika typer av straff bör komma i sista hand enligt förslag i betänkandet.

Vem ser till att lagen efterlevs? 

Betänkandet föreslår att det för varje sektor skall finnas en tillsynsmyndighet som ser till att lagen erferlevs. T.ex. blir det Statens energimyndighet att se till att elbolag efterlever lagen. 

Följande är alla sektorer och tillsynsmyndigheter:

  • Energi: Statens energimyndighet
  • Transporter: Transportstyrelsen
  • Bankverksamhet: Finansinspektionen
  • Finansmarknadsinfrastruktur: Finansinspektionen
  • Hälso- och sjukvård: Inspektionen för vård och omsorg
  • Leverans och distribution av dricksvatten: Livsmedelsverket
  • Digital infrastruktur:  Post- och telestyrelsen
  • Digitala tjänster: Post- och telestyrelsen

Behövs sårbarhetsanalyser för att följa lagen?

Börjar vi fördjupa oss i betänkandet så ser vi snabbt att mycket handlar om ett systematiskt och analytiskt arbete. Att identifiera sårbarheter blir ett centralt moment i det vardagliga arbetet med IT-säkerhet. Så på frågan om sårbarhetsanalyser blir en nödvändighet anser vi svaret vara ett mycket tydligt ja. Kanske blir det ännu tydligare om vi vänder på frågan. Hur skall lagen efterlevas utan sårbarhetsanalyser? Vi kan helt enkelt inte se hur berörda organisationer på ett rimligt sätt skall följa lagen utan att göra sårbarhetsanalyser. För att dessutom efterleva kravet på systematiskt arbete med befintliga (ofta knappa resurser) så bör man fokuserade på sårbarhetsanalyser som är automatiserade så långt som möjligt. 

Genom att göra sårbarhetsanalyser så uppfyller man också det tydliga kravet att kunna påvisa att man efterlever den nya lagen.

Läsvärt

Vi skulle kunna citera en mängd stycken från betänkandet som stärker vår syn på att sårbarhetsanalyser blir en nödvändighet, men här följer ett par.

Sida 119:




Det blir därför viktigt att leverantörer som tillhandahåller samhällsviktiga tjänster analyserar hot, risker och befintliga men även potentiella sårbarheter i nätverk och informationssystem som tillhandahåller samhällsviktiga tjänster för att kunna vidta adekvata säkerhetsåtgärder. Leverantörerna bör även identifiera vilka skadekonsekvenser ett driftavbrott medför.

Sida 128:




Leverantörer av samhällsviktiga tjänster ska bedriva ett systematisk och riskbaserat informationssäkerhetsarbete.

Sida 131:




Analysen ska också beskriva och bedöma hur effektiva befintliga säkerhetsåtgärder är i förhållande till kända sårbarheter. Vidare bör leverantören identifiera potentiella sårbarheter. Det bör framgå av analysen vilka negativa konsekvenser en incident skulle kunna medföra. Denna riskanalys har därför ett annat syfte än risk- och sårbarhetsanalyser som görs med anledning av krisberedskap och höjd beredskap, se avsnitt 6.2.1.

Läs hela betänkandet här:

http://www.regeringen.se/498cec/contentassets/9330610dab214a40a23730d2ef75d274/informationssakerhet-for-samhallsviktiga-och-digitala-tjanster-sou-201736

About the author
Stefan has worked with IT security for his entire career. He founded Stay Secure - the success company within email and web security.

Stefan Thelberg
+46 (0)739-99 33 12
stefan.thelberg@holmsecurity.com