Följ Secure State Cyber

Vanligt förekommande brister i cybersäkerhetsprocessen ledde till Transportstyrelsens incident

Pressmeddelande   •   Feb 28, 2018 21:11 CET

När vi är ute och hjälper våra kunder med informationssäkerhet är det ofta två områden i cybersäkerhetsprocessen som återkommer som problem. Det gäller dels identifieringsprocessen, det vill säga den inledande fasen för att identifiera vad som ska skyddas och vilka risker som finns, dels är det förmågan att upptäcka en incident eller ett intrång.

I förra veckan gavs ett tydligt exempel på en organisation med bristande identifieringsprocess då den slutliga rapporten av regeringens utredning angående bristerna kopplade till outsourcing på Transportstyrelsen presenterades [1]. I sin sammanfattande bedömning säger rapporten:

”Vår granskning leder till slutsatsen att den helt grundläggande orsaken till varför Transportstyrelsens upphandling kom att röja uppgifter gällande rikets säkerhet och hantera känsliga personuppgifter bristfälligt var att man i allt för hög grad saknade relevant kunskap om vilken information myndigheten hade, kännedom om hur denna information hanterades och vilka krav som ställdes på informationshanteringen.”

Incidenten på Transportstyrelsen är på intet sätt unik och utmaningarna är desamma för de allra flesta organisationer. 

”Förmågan att identifiera vad som ska skyddas och definiera tillgångarnas värde för verksamheten är avgörande för kostnadseffektiv informationssäkerhet. Utan att göra detta är det svårt att få koll på risknivå och lämpliga säkerhetskontroller. Rapporten påtalar detta på ett tydligt vis.”, säger Jan Karlsson, senior IT-revisor på Secure State Cyber.

[1] https://goo.gl/ouK5fS

Secure State Cyber är ett oberoende kunskapsföretag som sedan 2005 varit specialiserade på informations- och cybersäkerhet. Vi skapar trygghet för alla i det digitala samhället. Genom expertkompetens utvecklar vi företags, myndigheters och organisationers informationssäkerhet, så att hela samhället blir tryggare för alla individer. 

Vi erbjuder helhetslösningar inom informations- och cybersäkerhet samt enskilda tjänster. Vi har även utbildningar, färdiga eller skräddarsydda, digital eller på plats, där vi förmedlar den senaste kunskapen från verkligheten. Våra kunder och partners är främst stora internationella företag i privat sektor samt myndigheter, landsting, kommuner och försvar.