19 oktober, 2017

Incidenterna kring dataintrångshärvan kan bli straffbara när nytt direktiv träder i kraft

Flera företag och myndigheter har drabbats av säkerhetsincidenter den senaste tiden, däribland SJ. När det nya NIS-direktivet träder i kraft i maj nästa år kommer IT-säkerhetsincidenter likt de som nyss inträffat att kunna leda till större konsekvenser för organisationer som bedöms vara en del av vår kritiska infrastruktur. 

Flera företag och myndigheter har drabbats av säkerhetsincidenter den senaste tiden, däribland SJ. När det nya NIS-direktivet träder i kraft i maj nästa år kommer IT-säkerhetsincidenter likt de som nyss inträffat att kunna leda till större konsekvenser för organisationer som bedöms vara en del av vår kritiska infrastruktur. 

För en tid sedan avslöjade SVT att flera svenska myndigheter och företag har drabbats av den omfattande dataintrångshärvan i Malmö, flera utan att ens veta om det. Bland de utsatta finns SJ som har bekräftat uppgifterna. Efter att ha förnekat att ha varit inblandade har SJ tillsammans med polisen nu, över ett år senare, kunnat koppla tidigare dataintrång till den omfattande härvan. Under ett dygn ska de misstänka gärningsmännen haft tillgång till ett internt användarkonto på SJ:s IT-avdelning.

I samma veva var SJ även ropet efter att bokningssystemet havererade och tågtrafiken utsattes för störningar till följd av en DDoS-attack hos Trafikverkets underleverantörer DGC och TDC. En DDoS-attack är en överbelastningsattack som för den drabbade kan den innebära att all server- eller förbindelsekapacitet kraschar.

Nytt direktiv ställer ökade krav på organisationers säkerhetsarbete

I och med det så kallade NIS-direktivets inträde strax före GDPR i Maj 2018 kan incidenter likt de som drabbade SJ få större konsekvenser än vad de får idag. Direktivet är dedikerat för vissa organisationer som tillhandahåller samhällsviktiga och digitala tjänster i syfte att stärka säkerheten i nätverk och system och innefattar bland annat krav på incidenthantering, rapporteringsskyldigheter samt årliga säkerhetsanalyser.

Utöver de indirekta kostnader säkerhetsincidenter medför riskerar de företag som bryter mot NIS-direktivet även vite. I Sverige ligger bötesbeloppet än så länge i linje med maximal företagsbot, alltså 10 miljoner kronor, men varje EU-nation gör sin egen översättning till lämplig lokal lag. Exempelvis har Storbritannien, trots sitt planerade utträde ur EU, ett pågående arbete med att anta NIS-direktivet med samma bötesbelopp som för GDPR, alltså upp till 20 miljoner euro eller 4 % av den årliga koncernomsättningen.

Så påverkas organisationer av NIS-direktivet

Händelserna kring SJ är ett typexempel för hur säkerhetsincidenter i framtiden kommer påverka företag och organisationer i flera led. Fallet representerar de aktörer som berörs av NIS-direktivet

SJ = Nyckelaktör

NIS-direktivet är uppdelat i sju sektorer: energi, transport, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten, digital infrastruktur samt digitala tjänster.

Inom varje sektor kommer så kallade nyckelaktörer utses, alltså viktiga företag för vår kritiska infrastruktur. SJ, som Sveriges största järnvägsföretag, kommer med största sannolikhet kvala in under transportkategorin och därmed omfattas av direktivet.

DGI och TDC = Digital leverantör

Alla företag som tillhandahåller digitala tjänster och produkter till samhällsviktiga företag och organisationer omfattas av NIS-direktivet där de kallas för digitala leverantörer. Eftersom SJ sannolikt kommer väljas ut som nyckelaktör och DGC och TDC levererar deras internet räknas de i sin tur som digitala leverantörer.

Säkerhetsincidenter får större konsekvenser

Det är med andra ord fler företag som kommer omfattas av NIS-direktivet än vad de är medvetna. Följaktligen har få svenska organisationer inlett arbetet mot efterlevnad, trots att det är mindre än sju månader kvar till den svenska lagen skall träda i kraft. Krister Hedfors, ansvarig för NIS-projekt på Sentor, upplever dock att få företag är rustade för det nya direktivet:

"Eftersom NIS-direktivet har opererat i skuggan av GDPR har många företag och myndigheter ännu inte påbörjat arbetet mot efterlevnad. Direktivet hotar i dagsläget inte med lika höga böter som GDPR i den svenska interpretationen, dock finns till exempel ett liggande lagförslag i Storbritannien där bötesbeloppen är i linje med GDPR, alltså från 20 miljoner euro upp till 4 % av koncernomsättningen."

"Direktivet riktar sig mot samhällskritiska verksamheter vilket är fullt rimligt givet den hotbild vi ser idag. Med händelserna kring bland annat Transportstyrelsen, Polismyndigheten och nu senast Trafikverket har IT-säkerhet inom samhällsviktiga organisationer blivit ett högst aktuellt och känsligt ämne. Drabbade organisationer och ansvariga individer får i många fall utstå hård kritik. Med de nya, tuffare kraven kan konsekvenserna bli än mer kännbara för berörda aktörer som inte kontinuerligt upprätthåller sitt risk- och säkerhetsarbete."

Vill du läsa mer om NIS-direktivet?

Vi har tagit fram en artikelserie på ämnet NIS, där du kan läsa mer om vilka som omfattas, hur olika organisationer påverkas och vad som krävs för att efterleva direktivet.