Det är nu vi på riktigt utmanas

2020-03-26
Sveriges krisberedskap utmanas som aldrig förr. Oavsett vilka scenarios som har övats tidigare är det väldigt mycket som visar sig inte vara inövat och som nu prövas i skarpt läge.

 

Detta kommer att följas av tonvis med utredningar som visar hur vi borde ha förberett oss och hur vi borde ha agerat. Det är alltid lätt att vara expert i efterhand. Stanna upp för en stund och reflektera över er egen situation.

Det är verkligen inte för sent att göra riskanalyser på de nu uppkomna situationerna. Tvärtom! Riskanalyser ska såklart göras återkommande, men inte minst när vi står inför nya utmaningar. Att inte göra riskanalyser på den nu uppkomna situationen visar att det strukturerade informationssäkerhetsarbetet inte fungerar. Självklart ska riskanalysen inte göras i panik utan metodiskt och i linje med den metodik som organisationen är van att arbeta med.

I det systematiska informationssäkerhetsarbetet finns det några delar som i vanliga fall kanske passerar med lite mindre omsorg men som nu borde färga vardagen lite mer. Med referens till SS-ISO/IEC 27001 är det främst följande jag tänker på:
  • Mobila enheter (A.6.2.1)
  • Distansarbete (A.6.2.2)
  • Kontinuitet för informationssäkerhet (A.17.1)

De arbetssätt som sannolikt används nu, mer än något annat är just distansarbete med mobila enheter. I den vanliga vardagen har vi fler val än vad vi nu begränsas till. I vanliga fall väljer vi kanske att föra vissa samtal i fysiska möten, kanske med mobilerna avstängda och i vissa fall är de placerade i en bruslåda. Den dimensionen kan vara svår att ersätta med ett virtuellt möte, på en plattform som inte närmare analyserats och i en miljö som kanske inte alls är lämplig för ändamålet.

Reflektera en stund över miljön hemma. Hur mycket elektronisk utrustning är det som har potential att lyssna? Hemmalarm, smarta högtalare, smarta tv-apparater, smarta vitvaror… Listan kan göras väldigt lång. För det vanliga hushållet räcker det snart inte med ett vanligt C-nät (=256 IP-adresser) längre. Näten kantas inte bara av utrustning som fysiskt kan uppta ljud, utan merparten har betydligt bättre potential.

Fler funderingar att väcka är om de lösningar som nu används för exempelvis virtuella möten är dimensionerade utifrån informationens skyddsvärde? Eller omvänt, de lösningar vi faktiskt använder, vad lämpar de sig för? Var går gränsen ur ett informationssäkerhetsperspektiv och är det allmänt känt av organisationen? Vilka förmågor har de tekniska lösningar vi använder för åtkomst att begränsa omvärlden från åtkomst? Varje väg in till var och ens informationstillgångar är potentiellt en väg in för fler.

Detta behöver inte vara något problem, med regler och rutiner som är kända och inövade och med rätt tekniska förutsättningar så kan en hemmamiljö vara minst lika bra som en kontorsmiljö.

Om det är frånvaron av VPN-licenser som får mest uppmärksamhet just nu så kanske det säger något om hur det verkligen är. I det fall att det bara är tillgänglighetsperspektivet som är i fokus, kanske på bekostnad av informationstillgångens krav på konfidentialitet och riktighet, och det är ett medvetet val är allt i sin ordning. Men om det inte är ett medvetet val så förstärker det bilden av att flera agerar i panik vilket sällan är den bästa vägen fram.

Det strukturerade informationssäkerhetsarbetet ska fungera även när det är kris. Det är då det strukturerade och inövade arbetssättet behövs allra mest. Det skapar en stabilitet och en trygghet som inte nog kan underskattas. Det är nu det som bäst behövs!

Vill också ta tillfället att skicka ett fång med uppskattning till alla dem som försöker arbeta strukturerat när det samtidigt finns massor av desperation i ens närhet och i våra organisationer för att skyndsamt möta våra nya utmaningar. Det är verkligen en prövningens tid. Stå på er, men var också pragmatiska.

PS! Tveka inte att kontakta oss om ni känner att ni behöver hjälp och stöd i den uppkomna situationen.