Vanligt förekommande brister i cybersäkerhetsprocessen ledde till Transportstyrelsens incident

28 Feb 2018 21:11

När vi är ute och hjälper våra kunder med informationssäkerhet är det ofta två områden i cybersäkerhetsprocessen som återkommer som problem. Det gäller dels identifieringsprocessen, det vill säga den inledande fasen för att identifiera vad som ska skyddas och vilka risker som finns, dels är det förmågan att upptäcka en incident eller ett intrång.

I förra veckan gavs ett tydligt exempel på en organisation med bristande identifieringsprocess då den slutliga rapporten av regeringens utredning angående bristerna kopplade till outsourcing på Transportstyrelsen presenterades [1]. I sin sammanfattande bedömning säger rapporten:

”Vår granskning leder till slutsatsen att den helt grundläggande orsaken till varför Transportstyrelsens upphandling kom att röja uppgifter gällande rikets säkerhet och hantera känsliga personuppgifter bristfälligt var att man i allt för hög grad saknade relevant kunskap om vilken information myndigheten hade, kännedom om hur denna information hanterades och vilka krav som ställdes på informationshanteringen.”

Incidenten på Transportstyrelsen är på intet sätt unik och utmaningarna är desamma för de allra flesta organisationer. 

”Förmågan att identifiera vad som ska skyddas och definiera tillgångarnas värde för verksamheten är avgörande för kostnadseffektiv informationssäkerhet. Utan att göra detta är det svårt att få koll på risknivå och lämpliga säkerhetskontroller. Rapporten påtalar detta på ett tydligt vis.”, säger Jan Karlsson, senior IT-revisor på Secure State Cyber.

[1] https://goo.gl/ouK5fS