"Det hänger ett GDPR-spöke över NIS2"
EU:s NIS2-förordning – som syftar till att höja cybersäkerheten genom skärpta krav på bland annat riskhantering och incidentrapportering för samhällsviktiga tjänster – står för dörren. Fredrik Lundberg, informationssäkerhetsansvarig på ISS Sverige, berättar för Voister hur det alltjämt råder en viss osäkerhet hur förordningen ska hanteras av olika aktörer, inte helt olikt den villrådighet som rådde inför GDPR-införandet. Trots det välkomnar han direktivet som kan hjälpa ett emellanåt "självgott" Sverige att höja sin it-säkerhetsnivå.
Vad skulle du säga upptar din tid just nu som informationssäkerhetsansvarig på ISS Sverige?
– Det är mycket att göra med NIS2 och kundkrav. Man märker att GDPR-spöket har kommit tillbaka i så motto att det inte alltid klart vad det kommer att innebära, så man kastar ett väldigt vitt nät även i sammanhang där it inte är involverat. Vi levererar till exempel singelservice och städtjänster, där ingen it är inblandad, men ändå får vi frågor om vår it-säkerhet för just de tjänsterna. Det visar att det inte alltid är lätt att definiera vad man faktiskt behöver fråga om, Fredrik Lundberg, informationssäkerhetsansvarig, ISS Sverige.
Vad tror du det beror på? Är det som du är inne på, att man har vaknat till lite och blivit nervös, eller är det något annat?
– Jag tror att det handlar om att kommunikationen kring vad NIS2 innebär specifikt för Sverige, och hur vi ska tillämpa det här, kanske inte har varit särskilt tydlig. Det är lite som när dataskyddsförordningen, GDPR, kom – man blev rädd för något man inte riktigt förstod, och då tar man i lite extra för säkerhets skull.
NIS2
NIS2 är ett EU-direktiv som syftar till att höja cybersäkerheten inom unionen genom skärpta krav på riskhantering, incidentrapportering och ledningsansvar för samhällsviktiga och digitala tjänster, med betydligt fler verksamheter och sektorer än tidigare som omfattas av regleringen.
Källa: MSB
Är det här direktivet välkommet, skulle du säga?
– Definitivt. Det är till för att höja vår säkerhetsnivå. Även för oss som inte direkt påverkas av NIS2 är det bra att ha riktlinjer för vilken säkerhetsnivå vi bör sikta på. Det fungerar som en sorts ”blueprint” även för oss som inte är samhällskritiska aktörer.
ISS är ett stort bolag som finns i Sverige och i hela Europa. Hur hjälper det dig i ditt arbete att ha kollegor i många länder som också ska införa NIS2?
– Det är en stor fördel eftersom direktivet gäller alla EU-länder. Vi kan samköra våra resurser och utgå från den gemensamma grunden. Jag har märkt att Sverige ligger lite efter andra länder när det gäller krav på certifieringar och liknande. Mina kollegor i Tyskland, Holland och Storbritannien har ofta haft högre krav och mer fokus på it-säkerhet. Det är väldigt värdefullt att kunna dra nytta av deras erfarenheter.
De har historiskt haft ett större fokus på it-säkerhet, eller?
– Ja, det känns så. De är något steg före, i alla fall i det strukturerade informationssäkerhetsarbetet, jämfört med hur det har varit här i Sverige. Här har vi mer tänkt att saker och ting inte påverkar oss och sker ”någon annanstans”. Det är nästan så att vi kan bli lite självgoda ibland.
Du nämnde tidigare att ni drabbades av en ransomwareattack för fem år sedan. Kan du berätta lite kort om hur det gick till och vad ni lärde er av det?
– Det är en erfarenhet jag både skulle och inte skulle rekommendera, höll jag på att säga, hehe. Den är väldigt dyrköpt. Det började med ett phishingmejl, och sedan rullade det på. Vi hade turen att det var innan man började med exfiltrering (när en angripare otillåtet överför känslig information från ett system till en plats de kontrollerar, reds. anm.) av data. Man lär sig mycket av en sådan händelse – det blir en ögonöppnare. Jag rekommenderar alla organisationer att försöka få sina användare att förstå varför det är farligt att klicka på ett phishingmejl. Det är bättre att ta den kostnadsfria lärdomen än att drabbas av ett fullskaligt ransomwareangrepp.
ISS Sverige
ISS Sverige är ett av landets största företag inom facility management och erbjuder tjänster som städning, teknisk service, mat och dryck, samt arbetsplatslösningar, för både privata företag och offentlig sektor. ISS har över 6 000 medarbetare i Sverige och cirka 400 000 globalt.
Källa: issworld.se
Hur jobbar ni med att höja medvetenheten hos medarbetarna?
– Det handlar mycket om ”awareness”. Vi försöker använda medarbetarnas tävlingsinstinkt och ”gamifiera” utbildningen, så att det inte bara blir något man gör en gång per år och sedan glömmer bort. Vi vill att de ska förstå att det de lär sig även är användbart privat. Även om man som privatperson inte är ett lika stort mål som ett företag, kan man ändå bli utsatt – till exempel genom att få sina kontouppgifter eller lösenord stulna. Det gäller att förklara detta på ett enkelt sätt och inte bli för teknisk när man utbildar i detta.
Avslutningsvis – NIS2 står för dörren under året. Vad hoppas du att det har gett er som organisation om ett till två år?
– Jag hoppas att det har öppnat ögonen även utanför it för vad informationssäkerhet innebär. Vi har själva upplevt hur det är att drabbas, men det är viktigt att även andra lyfter sig. Man måste komma ihåg att tänka på resiliens – vad gör vi när saker faktiskt går ner? Man ska alltid ha en plan B, C och D, avslutar Fredrik Lundberg, informationssäkerhetsansvarig, ISS Sverige.
Läs mer om ämnet: