10 säkerhetskrav att implementera enligt NIS2

Plantvision höll nyligen, tillsammans med WithSecure, ett webinar på temat ”Cybersäkerhet – hur berörs företag inom Life Science av NIS2 & vad gäller.” Syftet med webinaret var att gå djupare in på det nya direktivet och hjälpa deltagarna att tolka den 72 sidor långa direktivtexten för att på så sätt kunna ge en samlad bild av de viktigaste delarna, vilka de 10 säkerhetskraven var samt hur man som företag ska tänka – och agera – för att kunna ligga steget före konkurrenterna. Det nya direktivet NIS2 anger som sagt 10 säkerhetskrav som man behöver implementera i sin organisation.

Vad är detta för säkerhetskrav och vilka säkerhetsåtgärder kan man utföra för att leva upp till dessa ställda krav?

 

Följande säkerhetskrav återfinns i Artikel 21 (2) i direktivtexten:

1. Policy för riskanalyser och informationssystemens säkerhet

Ett riskbaserat och systematiskt arbetssätt för informationssäkerhet underlättar det långsiktiga arbetet och säkerställer att ni prioriterar reducering av säkerhetsrisker som kan ha störst sannolikhet och konsekvens att påverka er verksamhet.

  • Bedriver ni riskanalyser idag som tar hänsyn till informationssäkerhetsrisker?
  • Utser ni riskägare som ska mitigera dessa risker?
  • Är er ledningsgrupp drivande i beslutsfattandet kring vilka risker som behöver mitigeras och tilldelar adekvata resurser för säkerhetsarbetet?
  • Har ni policy och standard operating procedures som visar tydligt vad man behöver göra för att leva upp till säkerhetskrav ifrån intressenter?

 

2. Incidenthanteringsprocess och incidentrapportering inom 24h, 72h och 1 månad

Incidenthanteringsprocess har många rörliga delar och den behöver vara väldigt tydlig för att säkerställa att incidenter rapporteras till rätt kommunikationskanal, att rätt avdelning hanterar det, att eskalering och prioritering görs och att man agerar inom en rimlig tidsram för att minska konsekvenserna av incidenten. Andra saker som är bra att undersöka är hur pass god teknisk detektionsförmåga organisationen har; vilka loggkällor som finns, vilka verktyg finns på plats, vem granskar verktygens resultat osv.

  • Har ni en incidenthanteringsprocess som tar höjd för dessa incidentrapporteringskrav?
  • Vilka ansvarar för att ta beslut kring vilka incidenter som behöver rapporteras, vilka parter är inblandade, vem ska rapportera och skriva incidentrapport?

 

3. Krishantering, kontinuitetshantering, driftkontinuitet och säkerhetskopiering

En verksamhet behöver förbereda sig på worst-case scenarion. Dessa scenarion kan dokumenteras i en kontinuitetsplan. För att upprätthålla kontinuiteten, så behöver man identifiera vilka system som är affärskritiska för att upprätthålla verksamheten. I bägge delar behöver man genomföra övningar för att hitta glapp och öva upp ens förmåga att agera när driftstörningar uppstår, eller när en angripare har tagit sig in i ens system.

  • Har ni gjort en Business Impact Analysis?
  • Har ni en kontinuitetsplan på plats och genomför krisövningar på regelbunden basis?
  • Har ni upprättat återställningsplaner för era affärskritiska system, samt gjort tekniska återställningstester av era säkerhetskopior?

 

4. Säkerhet i leverantörskedjan

Era leverantörer blir era affärskritiska partners så fort de tillhandahåller IT-drift eller affärskritiska applikationer till er. Det innebär också att ni kommer att bli indirekt drabbade om er leverantör har undermålig säkerhet – det upptäcks dessvärre ofta när det är försent att göra något åt saken. Se därför till att ni identifierar vilka leverantörer som huserar era viktigaste tillgångar och verifiera att de tar säkerhet på allvar.

  • Vilka säkerhetskrav har ni ställt gentemot era leverantörer?
  • Har ni gjort uppföljning gentemot era leverantörer för att säkerställa att de lever upp till dessa säkerhetskrav?

 

5. Säker utveckling och sårbarhetshantering (egenutvecklade samt vid inköp)

Det är en känd skröna att all mjukvara innehåller buggar och potentiella sårbarheter; de behöver bara upptäckas av nyfikna individer. Det innebär att man behöver dels jobba förebyggande för att minska antalet sårbarheter från första början, dels att man har en etablerad process för att hantera sårbarheter när de väl identifieras och åtgärdas inom en rimlig tidsrymd.

  • Om ni utvecklar egen mjukvara, hur säkerställer er utvecklingsprocess att ni jobbar med säker utveckling?
  • När ni köper in applikationer (t.ex SaaS), ställer ni då krav på att de jobbar med säker utveckling?

 

6. Internrevisioner och penetrationstester

Det är väldigt lätt att vara hemmablind eller att överskatta sin säkerhetsnivå om man inte har bett någon att undersöka huruvida detta stämmer i verkligheten. Faktum är att det är först vid internrevisioner och penetrationstester som man upptäcker sina säkerhetsluckor – alternativet är att en angripare gör det istället.

  • Bedriver ni internrevisioner med fokus på informationssäkerhet/IT-säkerhet?
  • Anlitar ni en extern part som genomför penetrationstester på era viktigaste applikationer och produkter, eller gör ni det själva?

 

7. Utbildning i cybersäkerhet och cyberhygien

Anställda behöver veta vart de ska rapportera säkerhetsincidenter, varför lösenordshanterare är bra,

vilka risker som finns om man delar företagsinformation på sociala medier samt hur man hanterar företagsinformation (lagrar, skickar osv). Viktigt är också att genomföra grundläggande säkerhetsåtgärder först, innan man går på de mer komplexa.

  • Utbildar ni era anställda i hur de skapar bra lösenord samt hur de kan använda lösenordshanterare?
  • Hur jobbar ni med att bygga en säkerhetskultur i organisationen?
  • Hur fungerar patchhanteringsprocessen i dagsläget och vilken mjukvara och hårdvara omfattas?

 

8. Kryptering och policy för krypteringsalgoritmer

Krypteringsalgoritmer och hashfunktioner, som inte har några kända sårbarheter, bör användas och man behöver göra det tydligt vad som gäller.

  • Har ni definierat vilka krypteringsalgoritmer som ska användas i mjukvara (som man antingen utvecklar eller köper in)?
  • Har ni även gjort det tydligt vilka krypteringsalgoritmer som är förbjudna att användas eller som behöver avvecklas?

 

9. Personalsäkerhet, åtkomstkontroll och tillgångsförvaltning

Beroende på hur känslig arbetsrollen är, så kan det vara viktigt att genomföra bakgrundskontroller på personal innan anställning. Exempel på detta kan vara utdrag ur belastningsregistret (kriminellt förflutet), kreditprövning (ekonomiska problem) eller referenstagning och verifiera akademiska meriter (vissa yrkesroller får inte ens utövas om man saknar detta). Åtkomstkontroll handlar om att reglera hur anställda får tillgång till diverse system genom dokumenterat godkännande och endast i relation till sin yrkesroll, samt att man även tar bort behörigheter när personen slutar. Tillgångsförvaltning handlar om att man behöver ha koll på vart organisationens kronjuveler befinner sig och vilka system som berörs (eftersom det är dessa system som man behöver skydda främst).

  • Vilka bakgrundskontroller sker när man rekryterar personal?
  • Sker tilldelning av behörighet till användarkonton via en formell process där behörighet måste godkännas?
  • Vilka är era viktigaste tillgångar och vart har ni dokumenterat detta?

 

10. Multifaktorsautentisering, krypterad videokonferanssystem och krypterade nödkommunikationssystem

Multifaktorsautentisering bör vara påslaget, där det är praktiskt möjligt att ha detta, eftersom det är en grundläggande säkerhetsåtgärd att ha på plats. Att använda sig av krypterad kommunikation, rent generellt, är bra eftersom det inte finns någon anledning att skicka företagsinformation över en okrypterad kanal.

  • Vilka mekanismer använder ni idag för multifaktorsautentisering?
  • Vilka är era primära kommunikationskanaler idag när medarbetare ska jobba tillsammans?
  • Har ni redundans för att fortsätta kommunicera om dessa kommunikationskanaler ligger nere?

Som dessa tio säkerhetskrav, och direktivet i stort, visar på så krävs det insatser för att ett företag ska kunna bedriva sin verksamhet i enlighet med NIS2. Att börja med inventering, riskhanteringsprocess, incidentrapporteringsprocess, att definiera ledningens ansvar och dess roller samt tillsyn och sanktioner, är en bra början.

Plantvision och WithSecure kan självklart hjälpa er att implementera eller förbättra alla dessa punkter och naturligtvis allt som berör NIS2.

 

Kristina Eneling
Senior Expert Consultant QM Plantvision
Tel: +46 8 56859539
Mail: kristina.eneling@plantvision.se

Albert Koubov Gonzalez    
Security & Risk Management Consultant
WithSecure™
Mail: plantvision@withsecure.com

 

I denna artikel

Relaterat innehåll

Quality & Compliance
Meeting data integration challenges with ALCOA+
Läs mer
Medical Device Software
Medicinteknisk mjukvaras centrala roll inom Life Science: Från banbrytande forskning till strikt reglerad användning
Läs mer
Quality & Compliance
#13 GAMP 5 som stöd till kvalitetssäkring av datoriserade system inom Life Science
Läs mer
Quality & Compliance
Meeting data integration challenges with ALCOA+
Läs mer
Medical Device Software
Medicinteknisk mjukvaras centrala roll inom Life Science: Från banbrytande forskning till strikt reglerad användning
Läs mer
Quality & Compliance
#13 GAMP 5 som stöd till kvalitetssäkring av datoriserade system inom Life Science
Läs mer
Håll dig uppdaterad

PRENUMERERA PÅ SENASTE NYTT