IT-säkerhet

God säkerhet är en förutsättning för att maximera möjligheterna med digitaliseringen och för att skapa förtroende för den digitala utvecklingen i samhället, hos företag och individer. Olika typer av hot och sårbarheter behöver hanteras för att värna verksamhets- och affärsnytta, personlig integritet, tillit och trygghet.

Hoten mot våra IT-system förändras och blir alltmer asymmetriska. Idag är allt och alla potentiella måltavlor och vem som helst kan med små medel utföra angrepp, vilket kan ge stora oönskade konsekvenser. Man måste kunna hantera helheten och detaljerna på samma gång; förstå interna och externa hot, fysisk och logisk säkerhet, risken att utnyttjas som verktyg i attacker mot andra och beakta den mänskliga faktorn. Detta ger ett kraftigt ökat behov av insikt, mognad och kompetens hos såväl beställare som leverantörer.

IT&Telekom­företagen arbetar genom Datarådet med målet att tydliggöra ansvaret för IT-säkerhetsfrågorna för marknadens parter på ett ändamålsenligt och effektivt sätt. Detta för att få en väl fungerande marknad där parterna kan ta det ansvar som förväntas av dom.

Vi definierar IT-säkerhet utifrån ett holistiskt perspektiv och det innefattar bland annat (utan att utesluta andra) begrepp som: informationssäkerhet, cybersäkerhet, informationsintegritet, robusthet. Vi förespråkar användning av standardförfarande (best practice) inom system- och metod­utveckling samt informationsklassificering och säkerhetsbedömningar. Vi företräder en syn om att såväl komplexa system som enskild hård- och mjukvara ska ha en klart definierad livscykel där det definieras hur de ska anskaffas, underhållas, utvecklas eller avvecklas.

Strategisk nivå

• Vi verkar för att öka det generella medvetandet om säkerhetsfrågorna

• Vi arbetar aktivt med att tydliggöra ansvaret mellan parterna genom avtal, lag, standarder och överenskommelser

• Vi bevakar rätts­utvecklingen såväl i Sverige, EU som internationellt

• Vi svarar på remisser och deltar i utredningar

• Vi samverkar med samhällets utpekade funktioner med ansvar för IT-säkerhet

• Vi skapar fora för diskussion och erfarenhetsutbyte och förmedlar kunskap om såväl interna som externa hot

• Vi välkomnar säkerhetsgranskningar av leverantörer från kundernas sida. Vi ökar transparensen genom att skapa branschsamarbeten för att lära av misstag och ta fram bra generiska lösningar för incidenthantering enligt reglerna.

Bra IT-säkerhetslösningar med god informationssäkerhet är inte bara ett konkurrensmedel utan stärker också branschens förtroendekapital bland kunderna.

Taktisk nivå

Ett effektivt säkerhetsarbete behöver förankras och utgå från högsta ledningen. Arbetet behöver drivas kontinuerligt med ständiga förbättringar som drivkraft. Alla tekniska lösningar behöver en strukturerad livscykelhantering och versionshantering med tydligt tillverkaransvar men också tydlig och ansvarsfull avveckling av gamla och uttjänta lösningar. Security by design och security by default, att säkerhet ingår naturligt i verksamheten är en viktig utgångspunkt i systemdesign, IT-arkitektur, organisation och upphandling/inköp. Det ligger ett stort ansvar hos tillverkare att reagera snabbt och ha rutiner för att uppdatera system och produkter med skydd mot kända säkerhetsbrister.

Det ska vara lätt att göra rätt för såväl kunden, konsumenten som leverantören. Effektiv säkerhet byggs inte endast på reaktiva larm vid fel utan kräver förebyggande arbete med bland annat autentisering och behörighetshantering, kryptering vid lagring och transport av data, rutiner för gallring och destruktion av data, uppdateringsrutiner, säkerhetsövervakning med inslag av automation, analys och kontinuerlig insyn och övervakning. Det som man inom säkerhets­branschen kallar försvar i djupled.

Operativ nivå

Våra medlemmar använder moderna och uppdaterade verktyg och metoder i såväl intern som extern verksamhet och avvecklar gamla lösningar i en strukturerad livscykelhantering. Vi organiserar vårt arbete utifrån att säkerhet ska hanteras som en integrerad del av våra företag och organisationer.

Vi utbildar och informerar företag, kunder, köpare, politiker och myndighetsföreträdare om säkerhetsfrågor. Vi hjälper våra kunder med data- och informationsklassificering. Det är viktigt för att kunna göra riktiga riskbedömningar och som beställare kunna ställa relevanta säkerhetskrav.

Tillverkare har ett tydligt ansvar för produkter och tjänster under hela livslängden. Säkerhetsmässigt undermåliga produkter och tjänster ska inte tillhandahållas. Producent­ansvaret för produkter och tjänster ska bygga på teknisk livslängd och ansvarsfull avveckling efter att bäst före-datum har passerats.

Ställningstagande IT-säkerhet