Insikten om NIS2 - Därför är det så viktigt att beakta helheten

Daniel Andersson Senior Information Security Consultant, Cegal Sweden. Daniel har lång erfarenhet inom informationssäkerhet och är Certified Information Security Manager (CISM) samt certifierad Cybersecurity Practitioner (CSX-P). Med bakgrund inom både teknik och ledarskap har Daniel en bred syn på dagens utmaningar och dess olika lösningar.

07/04/2024 |

I ett alltmer integrerat IT-landskap behövs det att helheten är säker, därför är det av vikt att inkludera helheten i era riskanalyser inom området informations- och cybersäkerhet.

Flertalet remissvar till Lagen om Cybersäkerhet har tagit upp frågan kring att hela verksamheten skall lyda under lagen om någon del av verksamheten är reglerad under lagen om cybersäkerhet. Där flertalet instanser anser att detta inte är lämpligt och det har även uttryckts att det kan leda till sämre säkerhet för den samhällskritiska delen av verksamheten.

Vår breda användning av IT medför att det normala är att ett stort antal system är gemensamma för hela verksamheten, detta i form av e-post, identitetstjänster, fillagring, ekonomi och HR system m.m. Där ett antal av dessa kan vara vitala för leveransen av samhällskritiska tjänster, medan andra inte behövs för denna leverans.

Hur hotbilden kan se ut och varför helheten är viktig

Att en central tjänst inte är del i samhällskritisk tjänst betyder inte automatiskt att den inte kan påverka leveransen. Ett fingerat, men troligt, scenario är att en attack sker mot ex HR systemet, det används av angriparen för att infektera utvalda användares datorer med skadlig kod. Denna infektering kan göras på fler sätt men alla bygger på att användaren aktivt utför handlingar, vilket är troligt då användaren arbetar mot ett betrott internt system. Attacken utförs sedan i flera steg för att komma åt och påverka de känsliga systemen.

Ovan scenario är ett av många där system som inte anses som samhällskritiska kan användas för att antingen utföra ytterligare attacker eller bara inhämta information som kan användas för ex social engineering eller liknande form av attacker.

Ett relativt aktuellt fall är Microsoft, där ett icke kritiskt test-system var ingången för att komma åt Microsoft interna e-postsystem inklusive all Microsoft´s e-post. Här var det många faktorer som resulterade i denna omfattande åtkomst, dock var ingångspunkten något som ansågs som ett icke kritiskt test-system.

Erfarenheter av separation från PCI DSS

Givetvis går det att bygga tekniska lösningar som helt isolerar samhällskritiska system från icke samhällskritiska system, dock brukar det ofta innebära en stor förändring. Här kan vi jämföra med regelverket för kort-säkerhet, PCI DSS, där denna form av isolering används för att minska omfånget av kraven. Även här ser man att detta inte är helt lyckat utifrån att kraven i senaste versionen av PCI DSS ökat vad gäller teknik för att göra denna delning av miljöer, s.k segmentering.

Ser man till segmentering för verksamheter som faller under PCI DSS har det ofta initialt varit ett större projekt för att både segmentera men även att undvika att hantera det känsliga kortdata som PCI DSS reglerar. Regelverket har även lett till ett tekniskt skifte där färre, men större, aktörer hanterar detta känsliga kortdata. Då PCI DSS inte har fokus på tillgänglighetskravet har en sådan konsolidering inte varit problematisk, ser man till NIS2 och lagen om cybersäkerhet är tillgängligheten en viktig faktor.

Utifrån att tillgänglighet är en viktig faktor i NIS2 kan en konsolidering till färre aktörer påverka den totala tillgängligheten negativt.

Vad kan ändå begränsa möjligheten till segmentering av NIS2 relaterade tjänster?

Ser man till den digitalisering som har pågått under en längre period och som fortsatt genomförs handlar mycket om att säkra tillgång på data, gärna i realtid och korrelerat i gemensamma datakällor. Vi ser att detta medför att exempelvis känsliga OT-system ansluts mot traditionella IT-miljöer, ibland utan rätt skydd på plats.

Det medför att även om det tekniskt går att segmentera så kan det finnas verksamhetsbehov som medför att full segmentering ändå inte kan implementeras.

Sett till hur lagförslaget är skrivet är det inte orimligt att väga in hela verksamheten i den riskanalys som skall genomföras. Utkomsten av denna analys landar rimligen i att de samhällskritiska tjänsterna ska skyddas väl, kanske högre än övriga delar av verksamheten. Analysen bör även identifiera sådana systemberoenden och/eller risker från övriga system som vi inledde att beskriva i detta inlägg.

All verksamhet behöver säkerhet oavsett NIS2

Om man lyfter blicken från lagen om cybersäkerhet så finns det ett stort värde i att inkludera hela verksamheten utifrån att skydda verksamhetens intresse. Flertalet av de attacker vi ser idag har ett enkelt syfte och det är att försöka utpressa offren på pengar, då är det för de kriminella inte viktigt om det är samhällskänsliga tjänster eller inte dom attackerar.

Det som är av vikt för dom är om dom tror att dom kommer kunna genomföra utpressning eller inte, samt den summa pengar som offren kan förväntas kunna betala.

Att beakta i lagen om cybersäkerhet

Om man ska ha åsikter kring NIS2 och Lagen om Cybersäkerhet inom detta område är det möjligen de delar som avser tillsyns och sanktionsavgifter, där man kan anse att det behövs en tydlighet i nivåer beroende på om samhällskritiska funktioner har hanterats osäkert respektive om övriga delar inom bolaget har hanterats osäkert. Dock kommer det även här alltid vara en fråga om risk relaterat till påverkan mellan olika IT funktioner inom ett bolag och hur den ska bedömas och hanteras.