MSB:s nya NIS-föreskrifter om incidentrapportering trädde i kraft första mars i år. Det innebär att samtliga aktörer som bedriver samhällsviktig verksamhet är skyldiga att rapportera in händelser som “har betydande inverkan på kontinuiteten”.
Det här skriver Fredrik Svantes, Head of Security Operations, Basefarm och Pelle Nilsson, IT-chef, Sollentuna Energi och Miljö.
Utifrån kan det verka som att föreskrifterna utgör ytterligare en tidskrävande byråkratisk utmaning. I själva verket är det tvärtom.
Som IT-ansvarig har utmaningen tidigare ofta varit att få både gehör och resurser till de förändringar som måste till för att anpassa de säkerhetslösningar som dagens och framtidens säkerhetsarbete kräver, inklusive logghanteringssystem. Med NIS-direktivet i ryggen har IT-chefer äntligen ett naturligt mandat att genomföra nödvändiga åtgärder då det blivit en konkret fråga om att verksamheten ska följa lagen.
Hos alla seriösa IT- eller driftansvariga har IT-säkerhet och riskhantering varit på agendan en längre tid, det borde åtminstone ha varit det. Faktum är att lagen om informationssäkerhet i samhällsviktiga och digitala tjänster trädde i kraft redan 1 augusti. Men många branscher som omfattas, exempelvis energibranschen, har inte hängt med i den utsträckning som de borde. Pelle Nilsson, IT-chef på Sollentuna Energi och Miljö, kund till Basefarm beskriver energibranschen som relativt traditionell och med en tydlig industriell prägel, vilket har bidragit till att IT-säkerhetsfrågor hamnat lite i skymundan.
Hos Sollentuna Energi och Miljö har det t.ex. funnits många nischade system på plats, något som har fungerat bra inom olika delområden. Däremot har de saknat möjlighet att effektivt skapa en helhetsbild utifrån loggarna i respektive system. Det har inneburit att det varit svårt att analysera incidenter på ett övergripande plan. Dessutom har den uteblivna koordineringen mellan systemen medfört att de saknat möjlighet att rapportera incidenter enligt de nya föreskrifterna.
Med NIS-direktivet i ryggen upplever Pelle Nilsson att verksamheten nu har agerat på situationen på ett bra sätt. Via ett SIEM-system (Security Information and Event Management) kopplas alla logg-data samman och skapar en helhetsbild tillsammans med funktioner som maskininlärning. Detta är avgörande både för att snabbare kunna upptäcka och hantera incidenter samt för att effektivt kunna rapportera incidenter till aktuell tillsynsmyndighet, i detta fall till Energimyndigheten.
Några punkter att tänka på:
Som enskilt energibolag är det viktigt att vara noggrann med upphandlingen av sin SIEM-systempartner. Några tips är att lägga extra energi på att tänka på följande faktorer:
Se till att SIEM-systemet kan logga, korrelera och analysera data från alla relevanta servrar och system. Först då har du ett relevant motvapen som kan hantera IT-relaterade incidenter.
Se till att lösningen är skalbar och att nya system och datakällor kan läggas till i takt med att verksamheten utvecklas.
Se till att systemet kopplar samman alla loggar på en central plats så att det blir så smidigt som möjligt att rapportera in mer eller mindre allvarliga incidenter, som alla tyvärr drabbas av förr eller senare.
Systemet behöver även kunna hantera spårbarhet av händelser bakåt i tiden. Detta enligt NIS-föreskrifterna.
Se till att systemet är sökbart och automatiserat i högsta möjliga grad.
Identifiera vad verksamheten behöver övervaka och logga. Det blir extra viktigt i samband med att datamängden konstant ökar.
Se till att alla systemleverantörer lägger in spårbarhet i sina lösningar. Många är inte vana vid detta, men det är ett krav för att kunna uppfylla NIS-föreskrifterna.
Många energibolag faller inom ramarna för att vara en samhällsviktig aktör och det blir därför viktigt att vara noga med att se till att drift och säkerhet fungerar som det ska. Det handlar delvis om hur arkitekturen ser ut, men även om hur hanteringen av de incidenter som inträffar. Det finns inget recept som passar alla när det gäller IT-säkerhet, men det står helt klart att NIS-direktivet är mer än en byråkratisk börda. Det är en lag som ger IT-säkerhetschefer någonting att luta sig mot när de vill genomföra åtgärder. Säkerhetsarbetet gäller samtliga anställda inom en organisation och tack vare NIS skapas en ökad medvetenhet kring IT-säkerhet som ger en välbehövlig knuff.
Text: Fredrik Svantes, Head of Security Operations, Basefarm och Pelle Nilsson, IT-chef, Sollentuna Energi och Miljö
