Försvar Offensivt Underrättelser

Säkerhetsåtgärder enligt ny lag (från NIS-direktivet)

Wednesday, June 20, 2018

FörsvarFöreskrifterSäkerhetskravMSB

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Vid en första anblick kan kanske NIS-direktivet känns något övermäktigt. Låt mig från dina axlar lätta denna börda och förklara läget.

Först och främst beror lagens räckvidd på om du är en organisation eller företag som utför en (1) samhällsviktig tjänst eller (2) leverantör av digitala tjänster. Kraven för (1) är högre än för (2), men som du snart kommer att se är kraven inte särskilt höga oavsett.

Säkerhetsåtgärder för leverantörer av samhällsviktiga tjänster

Detta avsnitt rör alltså endast dig som är leverantör av samhällsviktiga tjänster. Det finns totalt fem krav:

  1. Ledningssystem
  2. Årlig riskanalys med åtgärdsplan
  3. Lämpliga åtgärder i förhållande till risk
  4. Säkerställa kontinuitet (minimera konsekvenser av incidenter)
  5. Incidentrapportering

Du ska ha ett ledningssystem

Lagen säger (11 §) att du ska arbeta systematiskt och riskbaserat med informationssäkerhet, men endast för de nätverk och informationssystem som används för att tillhandahålla den samhällsviktiga tjänsten. Och definitionen av systematiskt och riskbaserat kan vi diskutera, men de menar högst troligen att du bör arbeta enligt ett erkänt och standardiserat ledningssystem för informationssäkerhet (LIS) och då alltså ISO27001.

Fundering: Hur visar man ett systematiskt säkerhetsarbete även om man inte använder ISO-27001?

Årlig riskanalys med åtgärdsplan

En riskanalys, med åtgärdsplan, ska ligga till grund för valet av tekniska och organisatoriska åtgärder. Dessa ska hantera de risker som hotar säkerheten i de nätverk och informationssystem som används för att tillhandahålla samhällsviktiga tjänster. Åtgärderna ska vara lämpliga i förhållande till den samlade risken.

Kommentar: Jag har aldrig riktigt kunnat greppa det här med årliga riskanalyser. Vilka risker platsar in i en årlig riskanalys?

Lämpliga åtgärder i förhållande till risk

Du ska helt enkelt vidta lämpliga tekniska och organisatoriska åtgärder som är proportionella i förhållande till den risk som föreligger.

Kommentar: Onekligen något som inte på något sätt är enkelt. De riskanalyser som förordas av exempelvis MSB innehåller en hel del konstigheter . De gör det inte särskilt enkelt att skapa jämförbara riskanalyser.

Säkerställa kontinuitet (minimera konsekvenser av incidenter)

Detta är en intressant säkerhetsåtgärd. Genom att säkerställa kontinuitet handlar det alltså om tillgänglighet. Lagen menar att du ska vidta sådana åtgärder som förebygger och minimerar konsekvenser av incidenter som kan påverka tillhandahållandet av tjänsten. Huruvida data eller information i tjänsterna ändras, är felaktiga eller kommer på villovägar ska du alltså inte prioritera.

Kommentar: Även om jag egentligen har svårt att tänka mig att det endast handlar om tillgänglighet är det faktiskt så lagen är skriven. Kanske kommer en framtida förordning eller föreskrifter förtydliga detta. Men, som lagen är skriven idag handlar det om kontinuitet, alltså tillgängligheten av tjänsten.

Incidentrapportering

Och så slutligen ska du även rapportera incidenter som har betydande inverkan på kontinuiteten i den samhällsviktiga tjänsten. En uppföljande fråga blir givetvis vad det innebär med betydande inverkan.

I propositionen kan vi läsa att närmare definition kommer behöva finnas i förordningar eller myndighetsföreskrifter. För att avgöra innebörden av betydande ska ett antal faktorer beaktas så som antal påverkade användare, ekonomisk skada som kan uppstå, antalet aktörer som beror av den samhällsviktiga tjänsten osv. Det finns helt enkelt ännu ingen definition för vad som ska anses vara en betydande inverkan, vi får snällt vänta tills förordning eller föreskrifter meddelas.

Kommentar: Det finns bestämmelser om vad som ska inkluderas i incidentrapporteringen. Detta är givetvis en superviktig punkt för att möjliggöra jämförelser och samlade mängder av incidentdata. Något jag dock gärna hade sett mer av är förmågan att UPPTÄCKA inträffade händelser. Intrång kan exempelvis pågå i flera månader innan de upptäcks, och då ofta av tredje part. Så även om incidentrapporteringen i sig är viktig, är förmågan att upptäcka dem också av största vikt.

Säkerhetsåtgärder för leverantörer av digitala tjänster

Och så har vi då det andra tillämpningsområdet i lagen, leverantörer av digitala tjänster. De som omfattas av lagen måste kategoriseras under någon av följande kategorier:

  • Internetbaserad marknadsplats
  • Internetbaserad sökmotor
  • Molntjänst

Kraven på leverantörer av digitala tjänster är lägre än för samhällsviktiga tjänster och lämnar mer bedömningsutrymme till leverantören själv. Tre krav ställs mot dessa leverantörer:

  1. Lämpliga (som de själva avgör) åtgärder i förhållande till risk
  2. Minimera konsekvenser och säkerställ kontinuitet
  3. Incidentrapportering (avsevärd inverkan)

Lämpliga säkerhetsåtgärder i förhållande till risk

Detta är nästan samma som för samhällsviktiga tjänster, med en väsentlig skillnad. De får själva avgöra vad som är lämpliga åtgärder. Till skillnad från samhällsviktiga tjänster som måste vidta åtgärder i enlighet med den årliga riskanalysen med tillhörande åtgärdsplan.

Kommentar: Jag tolkar den här skillnaden som att leverantörer av samhällsviktiga tjänster kan bli skyldiga gentemot tillsynsmyndigheten att redogöra för sina åtgärder och kan åläggas införa extra säkerhetsåtgärder och slutligen sanktionsavgifter. Leverantörer av digitala tjänster genom sina egna bedömningar kring lämpliga åtgärder lämnar dem fria från det här… kanske?

Minimera konsekvenser och säkerställa kontinuitet

Precis som för samhällsviktiga tjänster ska leverantörer av digitala tjänster säkerställa kontinuitet och allt vad det innebär. En ytterligare begränsning är att de endast behöver säkerställa kontinuitet inom EU. Vidare gäller säkerställandet av kontinuitet endast för de nätverk och informationssystem de använder för att tillhandahålla de digitala tjänsterna.

Kommentar: Exakt hur den här avgränsningen om för vilka nätverk och informationssystem kravet gäller egentligen spelar någon roll ska bli intressant att se. För att leverantörerna ska kunna hävda en avgränsning måste de kunna uppvisa hur nätverk och informationssystem är avskilda från de digitala tjänsterna… något jag tror kommer innebära vissa svårigheter.

Incidentrapportering (avsevärd inverkan)

Leverantörer av digitala tjänster ska även de rapportera incidenter, men endast om dessa har en avsevärd inverkan. Samma sak här, inget närmare förtydligande finns kring vad som ska inkluderas inom ramen avsevärd inverkan. Förordning och föreskrifter kanske kommer ge svar på det här?

Sammanfattning

I det här inlägget avsåg jag försöka bryta ner den kommande lagen som införlivar i svensk lagstiftning EUs NIS-direktiv. Tanken var att helt enkelt konkret visa vilka säkerhetsåtgärder som införandet av direktivet kommer innebära för de vilka lagen gäller.

Eventuellt tänkte jag gräva lite närmre i några av dessa om intresse finns. Med tanke på hur centralt det “riskbaserade” arbetssättet är för direktivet skulle det kunna vara intressant att gräva lite i vad detta egentligen innebär.

FörsvarFöreskrifterSäkerhetskravMSB

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

MSB ställer samma krav på Myndigheten för Kulturanalys som för leverantörer av samhällsviktiga tjänster

Riskekvationen - Intervaller och osäkerhet (del 2)