IT-säkerhet

Hallberg et al (2005) menar att för att kunna värdera IT-säkerheten i en verksamhet måste först säkerhetsbegreppen specificeras. Säkerhet i datasammanhang täcker ett brett spektra av områden och i figur 11 kan det utläsas att IT-säkerhet tillsammans med den administrativa säker- heten, utgör den totala informationssäkerheten. IT-säkerhet består i sin tur av datasäkerhet (ADB-säkerhet) samt kommunikationssäkerhet och dessa säkerhetsbegrepp har markerats i figuren då de är mer relevanta för vår undersökning.

Figur 11.Informationssäkerhet och dess ingående begrepp (efter Statskontoret 1998:29a, s. 7)

Beierholm och Mattson (2005) menar att innebörden av säkerhets- begreppen har förändrats under åren, beroende dels på en oavbruten teknisk utveckling och dels på typen av behandlad data. Dock är det övergripande målet som är gemensamt för all säkerhetsarbete med datorer att ett IT-system bör leverera rätt data till rätt person i rätt tid. Enligt Statskontoret (1998) är IT-säkerhet ett samlingsnamn för skyddsåtgärder som har teknisk koppling och ett exempel är olika former av behörighetskontrollsystem. ADB-säkerhet som är en viktig del av IT- säkerheten, står för datasäkerhet och innebär säkring av både behandling och lagring av data (Statskontoret, 1998). Fåk (Andersson, 2001) hävdar dock att ADB-säkerhet är ett äldre begrepp för IT-säkerhet och är egentligen två begrepp för samma företeelse. Andra källor som Andersson (2001) refererar till, menar liksom Statskontoret att begreppet IT-säkerhet har förändrats i takt med den alltmer komplicerade infra- strukturen och omfattar mer än endast ADB-säkerhet. Beierholm och Mattson (2005) hävdar att åtgärder med kommunikationssäkerhet syftar till att förhindra att obehöriga personer kan ta del av känslig information, att informationen förvanskas eller inte når mottagaren men också att missvisande information eller signaler införs i kommunikationen eller systemet.

5.1.1 Riktlinjer för IT-säkerhet

Ett IT-system har många olika egenskaper, alla med olika känslighets- grad för hot och relevans sett ur ett säkerhetsperspektiv. Egenskaperna hos ett IT-system kan användas för att skapa en grundläggande förståelse för vad som utgör kvalitativ IT-säkerhet. Statskontoret (1998) benämner dessa som kravområden och menar att olika intressenter har olika krav på egenskapernas kvalitet. Sekretess, tillförlitlighet eller riktighet, tillgäng- lighet och spårbarhet hos data tillhör de fyra viktigaste kravområdena och kan definieras enligt följande:

• Sekretess. Detta krav handlar om hemlighållande av datainnehåll i ett IT-system och innebär att information fullkomligt inte får avslöjas till oauktoriserade objekt. (Beierholm & Mattson, 2005) Intressenter som främst ställer höga krav på sekretessbelagd information finns bland annat inom militären, myndigheter och sjukvården. Problem med bristfällig sekretess kan medföra att enskilda personers integritet skadas, företagshemligheter sprids till obehöriga, rikets säkerhet kan vara i fara då viktiga uppgifter hamnar i orätta händer, upphörande av system då data eller program skadats eller att det sker överföringar av pengar genom otillåten användning av systemet. (Statskontoret, 1998)

• Tillförlitlighet eller riktighet. Kravet på riktig och tillförlitlig data kommer främst från den finansiella sektorn då stora verksamheter baserar såväl sina viktiga beslut som dagliga rutiner helt på de uppgifter som lagras i IT-systemen (Beierholm & Mattson, 2005). Till skillnad från sekretesskravet syftar tillförlitlighetskravet istället på kvaliteten hos data. Förutsättningarna för att personer som är beroende av IT-stöd ska kunna utföra sitt arbete, är att data är korrekt, aktuell, pålitlig, fullständig samt presenteras i enlighet för det avsedda ändamålet. Dålig kvalitet på informationen kan exempelvis medföra att felaktig information sprids internt och externt, beslut fattas utifrån felaktigt underlag, extraarbete för drabbad personal samt att företag kan förlora sina kunder och att myndigheter lätt kan bli föremål för negativ publicitet i mass- medier. (Statskontoret, 1998)

• Tillgänglighet. I takt med att alltfler arbetsrutiner blivit datori- serade och att de flesta anställda behöver ha direkt tillgång till olika IT-system samtidigt, ställs det högre krav på störningsfria IT- miljöer. Företag har olika behov av frekvent tillgång till information ur IT-systemen vilket leder till att det ställs olika krav på tillgängligheten. Polisstyrkor, bevakningsföretag och vissa industrier är exempel på sektorer som kräver ständiga befogen- heter till IT-stöd. Konsekvenser av bristfällig datatillgänglighet kan vara att visst arbete inte kan utföras i tid, beslutsunderlag kan försenas både till interna som externa intressenter vilket kan leda till att personal kritiseras samt att omvärldens misstro mot myndigheter eller företagens förmåga att bedriva sin verksamhet, ökar. (ibid.)

• Spårbarhet. Kravet på spårbarhet innebär att personer som använt information och data i olagliga aktiviteter, ska kunna spåras och hållas ansvariga för brottet. Spårbarhet erbjuder därmed skydd och återställande av dataförluster och brott mot säkerheten. Dålig spår- barhet kan innebära att obehöriga aktiviteter inte kan spåras eller att upphovsmän till eventuellt stora pengatransaktioner som förnekar sina olagliga handlingar, inte kan anklagas.

Ovanstående egenskaper specificerar med andra ord vad som behöver skyddas för att upprätthålla IT-säkerhet. Att låta systemens önskvärda egenskaper som beskrivits ovan användas som riktlinjer för god IT- säkerhet, utgör ett av många perspektiv på hur säkerhetsarbetet bör utformas. Detta beror till viss del på hur IT-säkerheten definieras. Den generella definitionen av säkerhet är skyddande av tillgångar, som tillhör

verksamheter eller privatpersoner (Gollman, 1999). Att istället definiera kvaliteten på IT-säkerheten utifrån sättet att skydda tillgångar på, är ett annat perspektiv. Detta perspektiv stöds av Gollmann (ibid.) som specificerar detta förfaringssättet som följande:

• Förhindrande innebär att åtgärder sätts in för att hindra tillgångar från att skadas.

• Upptäckt innebär att insatser sätts in för att upptäcka skador som riktas mot tillgångarna eller för att upptäcka skadeförsök mot tillgångarna.

• Reaktion innebär att åtgärder vidtas för att återställa skador eller för att förhindra att skadeförsök skadar tillgångarna.

• Överlevnad är en alternativ funktion som anspelar på systemets möjligheter att återhämta sig ifrån och överleva skadegörelse eller bristande säkerhetsfunktioner trots begränsad kapacitet.

Hallberg et al (2005) menar att det ständigt finns ett grundläggande behov av metoder och tekniker för att värdera och analysera IT- säkerheten hos systemen. Utan denna förmåga skulle det inte vara möjligt att bedöma säkerhetsnivån hos system, vinster med investeringar i förbättringsåtgärder hos säkerhet samt omfattningen av risker vid systemmodifieringar. (ibid.)