Det lagstyrda arbetet med att öka informationssäkerheten hos vattenproducenterna har så sakta kommit igång efter att lagen började gälla för drygt ett år sedan. Några få har hittills lyckats börja arbeta systematiskt, många arbetar på att införa ett system, men lika många har en bra bit kvar, enligt en enkät från Livsmedelsverket.
Det var 1 augusti 2018 som Lag om informationssäkerhet för samhällsviktiga tjänster, grundad på EU:s NIS-direktiv från 2016, började gälla (se faktaruta). Dricksvattenproduktion är en av sju identifierade samhällsviktiga sektorer och de som levererar vatten till mer än 20 000 personer eller har ett akutsjukhus omfattas av följande regler:
- Rapportplikt av IT-incidenter som haft betydande risk för påverkan på möjligheten att leverera tjänsten (från 1 mars).
- Skyldighet att kontinuerligt göra risk- och sårbarhetsanalys angående informationssäkerheten.
- Förebygga avbrott vid incidenter genom att införa förutseende åtgärder tekniskt och organisatoriskt som säkerställer kontinuiteten.
Bakgrunden till skärpningarna är bland annat det förändrade världsläget, där det inte främst är terrorism som dominerar hotbilden. Istället är det stora statliga aktörer utomlands som skaffat sig förmågor att digitalt komma över information eller ta sig in och styra i digitala system, enligt de bedömningar som bland annat Säpo har gjort. Ryssland och Kina pekas ut som mest aktiva på området.
– Sverige har varit väldigt naivt i vår öppenhet, när vi försökt vara så transparenta som möjligt, säger Kjell Mo, senior kurssamordnare på Försvarshögsskolan som har öppna kurser i informationssäkerhet att ta del av.
– Främmande stat tittar allt mer på lokal och regional nivå där den största mängden känsliga uppgifter finns. När det kommer utländska delegationer eller studiebesök hos kommunerna behöver de tänka på vad de gör eller säger, fortsätter han.
Ett typiskt scenario, som rapporteras ha hänt på flera ställen, är att någon i delegationen ska visa en presentation, men den egna datorn krånglar, så de ber att få sticka in en USB-sticka med presentationen i en dator på plats. Därefter kan skadlig kod vara installerad i systemet.
Livsmedelsverket är tillsynsmyndighet på vattensidan, medan MSB, Myndigheten för samhällsskydd och beredskap, är den myndighet som tar emot och hanterar incidentrapporterna, samt utfärdar föreskrifter.
Hittills har drygt 80 leverantörer identifierat sig som anmälningsskyldiga, vilket är första steget i processen. Det kommer emellanåt in nya anmälningar. Livsmedelsverket har med start i våras en pågående självskattningsenkät till dem som anmält sig. Syftet är att få en ögonblickbild av mognadsgraden, men också att vara ett stöd för hur kommande tillsyner ska utföras.
– Många är i etableringsfasen och det är rimligt eftersom lagen är ny. Det finns ett stort engagemang just nu och mognadsgraden har hög tillväxttakt, säger Torbjörn Lofterud.
Enkäten innehåller specifika frågor om styrsystemens utformning och kapacitet hos vattenproducenterna, hur åtkomsten kontrolleras, vilka säkerhetsåtgärder som är vidtagna, relationen till underleverantörer, vilka analyser som har gjorts och vilka risker som identifierats, samt en bedömning av den egna förmågan att höja säkerheten. Svaren i varje enskilt fall omfattas ofta av sekretess, så resultatet av enkäten kan bara till vissa delar redovisas i statistikform. Enkäten gjordes dessutom i pappersform som fick skickas in rekommenderat.
– Det är ännu ett stort problem när vi i kommunerna ska ha kontakt med statliga myndigheter att det saknas säker digital kommunikation. Vi kollade dessutom hur det skulle hanteras innan vi skickade in det, så att det inte blev offentligt, säger Johan Holmberg, säkerhetschef hos VA Syd.
Några resultat har Livsmedelsverket hittills presenterat, bland annat hur många som har ett LIS, Ledningssystem för informationssäkerhet, anpassat för vattenproduktion. Strax under två procent hade lyckats ordna detta. Av resterande svarar den ena halvan nej, och den andra halvan att de jobbar på det.
85 procent anger att de har egen förmåga att höja informationssäkerhet, medan 15 procent säger sig sakna det.
– När de saknar egen förmåga hamnar ansvaret hos oss att göra ett stödprogram och hjälpa dem, säger Torbjörn Lofterud.
NIS-lagstiftningen sätter fokus på en viktig del som varit eftersatt, nämligen relationen till underleverantörer och deras förmåga att »hålla tätt«. Det kan vara i nya projekt där information behöver lämnas ut för upphandling, men också i gamla pågående processer där underleverantörer har tillgång till processdata.
I enkäten säger merparten att det saknas avtal om åtagande vad gäller it-säkerhet. Drygt en fjärdedel har dock sådana avtal, men bara en mindre del, tio procent, följer upp att dessa avtal verkligen är verkningsfulla. I MSB:s föreskrift framgår klart och tydligt att detta ska regleras med avtal.
– Här har vi ett stort arbete att göra. Det är väldigt tydligt hur avtalen ska regleras, så det är viktigt att vi nu lyfter den frågan och ser till att det skrivs in i alla nya avtal. Det är en av de saker vi kommer att granska vid en tillsyn, förklarar Torbjörn Lofterud.
Livsmedelsverket har i sin broschyr »NIS – att komma igång«, identifierat fyra områden att i början fokusera på vad gäller informationssäkerhet:
- Separation av nätverk för vattenproduktion från övrig verksamhet.
- Kontroll och reglering av fjärråtkomst över internet.
- Starkt styrning av åtkomsträttigheter.
- Genomgång av säkerhet för alla uppkopplade komponenter.
Just att separera nätverken så att inte kontorsnätet hänger samman med styrsystemen är en fråga som varit aktuell i många år i branschen, eftersom just den sammankopplade konstellationen ibland sålts in från leverantörerna.
– Här ska man inte stirra sig blind på ryssar, kineser eller hackerattacker. Har man byggt ihop det kommer man att drabbas av störningar bara just därför, anser Torbjörn Lofterud och han får starkt medhåll av Johan Holmberg:
– Lagstiftningen är tydlig och vi ska inte ha processer för drift som fladdrar i molnet eller som går över kommersiella linor, säger VA Syds säkerhetschef.
Johan Holmberg är starkt engagerad och har en regelbunden dialog med Livsmedelsverket och andra inblandade myndigheter.
– Jag tycker att de gör det bra. Istället för en kontrollerande är det en lärandeprocess både för dem och oss. De hade kunnat komma ut och pekat med hela handen. Så har det inte varit och det ska de ha beröm för.
Att de nya lagarna dras med lite barnsjukdomar tycker Johan inte är något konstigt. Exempelvis tycker han att att gränsdragningen mellan NIS och den nya säkerhetsskyddslagen skulle vara lite tydligare. Men han hoppas att det kommer.
Hos VA Syd försöker de titta på bredden och alla olika bitar som ska fungera ihop och inte stirra sig blinda på varje enskild del. De har infört ett ledningssystem enligt ISO 27000 med standarder, samt klassning av information.
– Vi tog ett omtag och genomlyste vår informationssäkerhet. Sen har vi delat upp det i tre nivåer, strategisk, taktisk och operativ. Men det får inte sluta där. Vår omvärld förändras, så arbetet måste ske kontinuerligt, säger Johan Holmberg.
Han ser positivt på kravet att it-incidenter ska rapporteras och att den försiktiga inställningen att inte vilja avslöja vad man inte lyckats hindra, börjar försvinna.
– Men det viktiga är ett få en återkoppling när man rapporterar, att få veta om andra drabbats hur de i så fall löst det, hur de upptäckte det och hur de gick vidare.
En viktig fråga är resurserna.
– Vi har bra resurser och en bra säkerhetskultur sedan tidigare. Vi är 5-6 personer som på olika sätt jobbar med det här. Tyvärr finns det inte lika mycket resurser hos många VA-organsationer ute i landet, så därför är det viktigt att vi som jobbar med det kontinuerligt delar med oss av erfarenheten.
Arbetet kring införande av NIS-reglerna medfinansieras av EU med upp till 75 procent, ansökningstiden för detta gick ut i slutet av förra året.
En kommunal krigsorganisation med krigsplaceringar av personal ska också vara klar i kommunerna 2021, ytterligare en sak som jackar in i säkerhetsarbetet.
– Det gäller att se till att produktionen kan upprätthållas även under framtida störda samhällsförhållanden, säger Kjell Mo.
–––
NIS-direktivet (Network and Information Security) kom på EU-nivå 2016. Svensk lag 1 augusti 2018: Lag om informationssäkerhet för samhällsviktiga och digitala tjänster.
Gäller sju viktiga tjänsteområden: energi, transport, bank, finans, hälso- & sjukvård, dricksvatten, digital infrastruktur.
I Sverige finns från och med 1 mars i år en skyldighet att rapportera IT-incidenter. Den 1 april började en ny säkerhetsskyddslag, SSK, gälla. De som faller under säkerhetsskyddslagen där rikets säkerhet är i fokus ska rapportera till Säpo, medan övriga ska rapportera till MSB. Gränsdragningen är inte jätteskarp. Generellt kan sägas att NIS gäller lokal nivå och SSK nationell nivå.
