GDPR var – förstås – huvudtemat på SIS informationssäkerhetsdag den 23 maj. Många av talarna gav sina bästa råd kring implementeringen av den nya dataskyddsförordningen.

Text: Lena Lidberg

På plats på SIS Conference Centre i Stockholm fanns 110 seminariedeltagare från både näringsliv och offentlig sektor. SIS standardiseringschef Annika Andreasen inledde dagen med att konstatera att ISO 27000-serien är en bra plattform för att uppfylla kraven i EU:s General Data Protection Regulation, GDPR, den nya lag som gäller i alla medlemsstater från och med 25 maj i år.

Anna Andersson, informationssäkerhetskonsult på företaget Veriscan Security, talade under rubriken "Nyttan med ISO/IEC 27003:2017", vägledning för införande av ledningssystem för informationssäkerhet. Hon tog bland annat upp fyra metodsteg: identifiera och analysera, utforma, använda, följa upp och förbättra.
– Det är viktigt att alla förstår sin roll i informationssäkerhetssystemet. Dessutom är ledningens engagemang avgörande för framgång, betonade hon.

Ida Westin, GDPR-expert på PwC, och Erik Dahl, GDPR-expert på BiTA Service Management, framhöll vikten av utbildning.
– Det är svårt att ha en hög GDPR-mognad om man inte har en hög informationssäkerhetsmognad, sade Erik Dahl.

Mathias Wikström, Privacy Officer på Telenor Sverige och Cristina Portnoff, seniorkonsult på Rote Consulting, berättade om sin gemensamma resa med att implementera GDPR i ett företag med tre miljoner kunder.

I Telenors operativa styrgrupp fanns representanter för hela organisationen, från säkerhet till HR. Mycket kraft har lagts på utbildning på olika nivåer, liksom på vägledningar, stöd och information, däribland på intranätet.
– En viktig framgångsfaktor är att vi har infört privacy-ambassadörer och privacy-koordinatorer, sade Mathias Wikström.

Markus Bylund, strategichef för it och digitalisering i Uppsala kommun, vittnade om att en metodisk GDPR-implementering i en kommun måste bygga på ett brett juridiskt perspektiv och ett "tillsammansarbete".
– GDPR är bara en del. Vi måste även ta hänsyn till bland annat säkerhetsskyddslagen och offentlighets- och sekretesslagen, betonade han.

Hans Hedbom, universitetsadjunkt och forskare vid Karlstads universitet, redogjorde för de standarder som hittills finns framtagna och som anknyter till GDPR.

Utöver ISO/IEC 27001, som ger ett generellt stöd, hänvisar han även till ISO/IEC 29100 (privacy framework), ISO/IEC 29151 (code of practice for personally identifiable information protection), ISO/IEC 27018 (public cloud services), ISO/IEC 29134 (guidelines for privacy impact assessment) samt tilläggen ISO/IEC 27552 och ISO/IEC 29151.
– Dessutom är mycket nytt på gång inom ett par år. Som exempel hoppas vi på att ISO/IEC 27552 ska bli klippt och skuren för GDPR, sade Hans Hedbom, som även är ordförande i SIS/TK318/AG51 Identitetshantering och personlig integritet.

Anne-Marie Eklund-Löwinder, Chief Information Security Officer på Internetstiftelsen i Sverige, kallar sig "en av Sveriges största internetkramare", men framhöll samtidigt att digitaliseringsutvecklingen har sina skrämmande sidor.
– Vi har informationssystem i dag som läcker som såll. Vissa saker ska kanske inte vara uppkopplade, påpekade hon.

Christoffer Karsberg, strateg på MSB, Myndigheten för samhällsskydd och beredskap, berättade om det kommande NIS-direktivet, EU:s nya krav på säkerhet i nätverk och informationssystem:
– Genom etableringen av NIS skapas delvis ett nytt system i samhället för att öka informationssäkerheten.

Kalle Olsson, riksdagsledamot (S), poängterade att det generella säkerhetsmedvetandet behöver stärkas i Sverige, på alla nivåer.
– Ett exempel är att många myndigheter betraktar cybersäkerhetsfrågorna som ett hinder i den dagliga verksamheten. Det är då som händelser som de på Transportstyrelsen kan inträffa, sade han.

Pål Jonson, riksdagsledamot (M), konstaterade att vi i Sverige är väldigt duktiga på digitalisering, men sämre på cybersäkerhet:
– Vi måste se till att säkerhetsskyddslagen, cybersäkerhetsstrategin och NIS-direktivet fungerar som kommunicerande kärl.

Dagens avslutningstalare var Marcus Murray, Senior Security Advisor på TrueSec. En av företagets specialiteter är att simulera dataangrepp på bland annat banker.
– Ofta tar det mellan 24 och 48 timmar att göra ett större dataintrång i en organisation. Att bli upptäckt tar i snitt 180–200 dagar, berättade han.

I de flesta fall tar TrueSec sig in via servrarna, ofta genom att skicka skadlig kod i mejlbilagor.
– Vi har vissa fundamentala, svaga lösningar i samhället i dag. Det gäller till exempel lösenordsdatabaser och molntjänster.

Nyckelorden i informationssäkerhetstänkandet är, enligt Marcus Murray, att "identifiera, skydda, upptäcka, svara och återhämta sig".
– Det första steget är att se vad som behöver skyddas och varför. Samtidigt måste du vara beredd på att du ibland kan misslyckas i ditt skydd. Då gäller det att ha beredskap för att hantera även det.