Hantering av data om kritiska funktioner är en del av den framtida försörjningsberedskapen

Organisationer som är kritiska för försörjningsberedskapen måste planera arkitekturen för sina informationssystem omsorgsfullt så att de själva kontrollerar sina data.

WithSecures datasäkerhetschef Erka Koivunen.

När samhället digitaliseras uppstår stora mängder kritisk information. Det går också att kombinera och analysera data i allt högre grad. Utvecklingen gäller också vitala samhällsfunktioner, såsom hälsovård, logistik, finansbranschen och teleföretag, som behandlar stora datamassor i sina system.

Det är viktigt att de organisationer som är kritiska för försörjningsberedskapen förstår hurdan information de behandlar i sina informationssystem. Det är minst lika viktigt att förstå vilken information den egna personalen och tjänsteproducenterna för it-systemen, inklusive kedjorna av underleverantörer, har tillgång till.

”Det som är väsentligt när man ska skydda data är att de system där man behandlar information under hela dess livscykel är integrerade och att man har kontroll över dem. Även om systemet har övertagits av någon utomstående märks det inte nödvändigtvis utåt och känns inte heller – förrän det är för sent”, påpekar WithSecures datasäkerhetschef Erka Koivunen.

Företag inom den kritiska infrastrukturen har tillgång till konfidentiell information om Finlands försörjningsberedskap, och företagen har vanligen kopplingar till varandra både i Finland och utanför landets gränser. Företagen är beroende av varandra och därför kan ett hot mot ett företag också påverka ett annat företags verksamhet.

De försörjningskritiska företagen eller deras it-tjänsteproducenter är inte enbart i finländsk ägo. Allt fler försörjningskritiska företag håller också på att överföra sina informationssystem till molntjänster, och då blir företagen ännu mer beroende av utländska tjänsteproducenter.

Data i intelligenta lösningar kan intressera auktoritära stater 

Försörjningskritiska organisationer genererar datamassor vars betydelse organisationerna inte nödvändigtvis alltid förstår. Exempelvis kan data som används för att styra energisektorn intressera auktoritära stater. Den globala spänningen mellan auktoritära stater och demokratiska rättsstater måste beaktas när man bedömer riskerna i samband med utläggning av verksamhet och val av tjänsteleverantör. Detta gäller också när det inte ingår personuppgifter i informationen.

I framtiden kommer många vitala samhällsfunktioner, såsom styrning av energiproduktionen eller trafiken, att grunda sig på intelligenta lösningar. De är ofta kopplade till nätet och kan därför vara mer utsatta för obehörigt intrång eller avsiktlig påverkan. Om exempelvis en utländsk tjänsteleverantör utsätts för avsiktlig påverkan, kan detta inverka på hur våra flygplatser eller vår läkemedelsförsörjning fungerar.

Företagen har aldrig tidigare haft tillgång till så här bra säkerhetsteknik.

Data från intelligenta lösningar används också för att lära upp artificiell intelligens (AI). De auktoritära staterna försöker komma över västerländska data för att kunna utveckla sina egna AI-lösningar. Ansikts- eller röstigenkänning är exempel på AI-system som kräver så vitt skilda data som möjligt.

Erka Koivunen förutspår en övergång till ett faktiskt ”digitalt infödingskap”, där informationstekniken möjliggör tjänster som inte varit möjliga tidigare. Det riskabla med en värld som bygger på intelligenta lösningar är emellertid att vi inte ser vad algoritmerna bygger sina beslut på så länge de är strikt skyddade företagshemligheter.

Det finns redan metoder för att hantera data

Det krävs ett omfattande samarbete i hela samhället för att vi ska kunna skydda den kritiska infrastrukturen. Skyddspolisen har till uppgift att avvärja hot mot den nationella säkerheten och att ta fram förebyggande information om sådana hot för företag och myndigheter.

Eftersom den kritiska infrastrukturen är företagsägd, krävs det också egna åtgärder från företagens sida för att skydda den.  

”Företagen har aldrig tidigare haft tillgång till så här bra säkerhetsteknik”, bedömer Erka Koivunen.

Han vill se att vi förstår oss på data: varifrån de kommer, hur konfidentiella de är eller hurdana begränsningar deras användning är förknippad med. När vi har allt detta klart för oss är det relativt enkelt att bestämma hurdana åtkomsträttigheter de olika användarna ska ha.

”Det metaramverk som skapats för att uppfylla kraven i dataskyddsförordningen utgör en god grund. Nu fungerar klassificeringssystemet och det lönar sig att värna om det med en bibliotekaries tålamod”, lyder Koivunens beskrivning.

De säkerhetsutredningar som Skyddspolisen gör ingår också i skyddet av försörjningskritiska företag mot den risk som användarna utgör.

Om informationssystemen tidigare skyddades mot datasäkerhetsincidenter på så sätt att användaren identifierade sig en gång i systemet, räcker det inte längre. Med nuvarande teknik bygger skyddet på stark autentisering i flera steg och identifiering av avvikelser vid användning. Användarens apparater och åtgärder kan alla kontrolleras och loggas. Det går att samla in data om samma åtgärder från terminaler och molntjänster för att på så sätt verifiera observationerna.

Också denna kontrollmekanism måste företaget övervaka så att den inte missbrukas.

Det lönar sig för en organisation att utnyttja även andra än it-baserade lösningar för att hantera sina data. En organisation inom den offentliga förvaltningen som behandlar uppgifter som är säkerhetsklassificerade med stöd av offentlighetslagen kan i sina upphandlingar exempelvis tillämpa kriterierna för säkerhets- och försvarsupphandlingar. Det gör det möjligt att beakta säkerhetsaspekter till exempel vid konkurrensupphandling gällande leverantörer av informationssystemtjänster.