Så tacklar Nätkraft Borås cyberhot: ”Viktigt att vi upprätthåller driften”
De senaste årens snabba digitalisering har öppnat nya dörrar för cyberkriminella. Nätkraft Borås (fd Borås Elnät) jobbar aktivt för att hitta dem. – Nu har vi en process för att hantera olika typer av krissituationer, säger vd:n Lars Hedendahl.
Cyberangreppen ökar. Hackergrupperna har blivit mer målinriktade och sofistikerade. Att vara medveten om hur hoten ser ut och vad som går att göra för att skydda viktig information är en nationell angelägenhet. Det har Myndigheten för samhällsskydd och beredskap, MSB, slagit fast.
Samhällskritiska verksamheter måste ha ett effektivt skydd mot dataintrång
Särskilt viktigt är att samhällskritiska verksamheter, exempelvis för elförsörjning, har ett effektivt skydd mot dataintrång, eftersom de måste kunna upprätthålla sina tjänster även vid intrångsförsök och attacker. Nätkraft Borås har tagit fasta på detta.
För snart två år sedan började bolaget, som förvaltar, driftar och utvecklar elnätet och fibernätet i Borås stad, att kartlägga sina processer för att identifiera sårbarheter. I september 2023 blev de först i branschen att få sitt ledningssystem för informationssäkerhet certifierat enligt standarden ISO 27001. Certifieringen visar att Nätkraft Borås jobbar för att hantera information på ett säkert sätt, skydda kunddata och minimera riskerna för integritets- och säkerhetshot.
– Eftersom det har skett incidenter hos andra kommunala bolag har Borås stad bestämt att vi ska ha ett systematiskt arbete när det gäller informationssäkerheten. Dessutom kommer vår fibernätsverksamhet snart att träffas av ett nytt EU-direktiv kopplat till den här frågan, och vårt elnät har kravet sedan tidigare, berättar Lars Hedendahl som är vd på Nätkraft Borås och fortsätter:
– Det finns också ett konkurrensmässigt perspektiv. Kan vi vara tidiga och jobba med informationssäkerhet på ett bra sätt borde vi vara mer attraktiva för våra kunder och därmed också mer konkurrenskraftiga.
Nätkraft Borås certifierades av RISE, som en månad tidigare blev först i Sverige med en ackreditering för certifiering av ledningssystem hos samhällskritiska verksamheter inom el-, gas- och vattenförsörjning.
Certifiering är ett kvitto på systematiskt arbetssätt
Men vad innebär det att certifieras enligt ISO 27001? Camilla Rosswill, revisionsledare för ledningssystem på RISE, förklarar att en certifiering enligt denna standard är ett kvitto på att en organisation har ett systematiskt arbetssätt och rutiner för att upprätthålla informationssäkerheten.
– Fördelen med att införa ett systematiskt ledningssystem och ta vägledning av standarden är att det medvetandegör organisationen. Standarden ställer krav på att man ska identifiera, bedöma och behandla risker, säger Camilla Rosswill.
Lars Hedendahl:
– Vi kan inte säga att vi är helt skyddade för att vi jobbar enligt ISO 27001. Det handlar snarare om att vi har en process för att hantera olika typer av krissituationer, ett intrång till exempel, och i det läget försöka minimera skadorna och göra det bästa av situationen.
Vi som jobbar här ska veta vad vi ska göra när det väl händer något
Viktigaste delen är att få med sig människorna
En del i arbetet med att stärka informationssäkerheten är att bygga lösningar, fysiska och digitala, som skyddar informationen. Det kan till exempel handla om att skapa backupfiler som minskar sårbarheten för attacker där hackers låser data och kräver lösensumma, så kallade ransomwareattacker. Ett annat exempel är en stark lösenordspolicy. Kanske är dock den viktigaste delen i arbetet att få med sig människorna.
– Vi som jobbar här ska veta vad vi ska göra när det väl händer något. Det är inte bara några få personer som har involverats, utan alla i större eller mindre utsträckning. Det smidigaste hade förstås varit om vi hade en informationssäkerhetsansvarig som skötte allting, men då bygger man inte resiliens över tid. Går den personen ut ur huset försvinner systematiken och vårt skydd, förklarar Lars Hedendahl.
Ledningssystemet för informationssäkerhet hjälper Nätkraft Borås att upprätthålla en stabil leverans i alla lägen.
– Vår fiberverksamhet ligger till grund för en stor del av kommunikationen i Borås och el klarar sig ingen utan i dag. Kanske är kommunikation och el det mest samhällskritiska vi har? Störningar kan få allvarliga konsekvenser. Därför är det så viktigt att vi upprätthåller driften, säger Lars Hedendahl.
Certifieringen granskas och leder till ständig utveckling
Certifieringen var en milstolpe för Nätkraft Borås – men arbetet har egentligen bara börjat.
– En stor fördel med att vara certifierad är den systematiska granskningen. Vi kommer och genomför revision varje år för att kontrollera att ledningssystemet fortsätter att uppfylla kraven, och verksamheten ska själv genomföra internrevision. Det går inte att luta sig tillbaka, säger Camilla Rosswill.
– Omvärlden förändras. I morgon kanske nya hot har dykt upp. Därför behöver vi utvärdera våra metoder och titta efter om det finns något bättre. Det här är ett långsiktigt arbete, säger Lars Hedendahl.
Så fungerar ISO 27001
Standarden: ISO 27001 är en standard för styrning av arbetet med informationssäkerhet, genom ett dokumenterat och väl fungerande ledningssystem med fokus på ständig förbättring.
Certifiering: Organisationer kan genomgå en certifieringsprocess för att bevisa att de följer ISO 27001. Ett oberoende certifieringsorgan utför en granskning för att avgöra om organisationens ledningssystem för informationssäkerhet uppfyller standardens krav.