När man talar om skydd av kritisk infrastruktur tänker många på elnät, vattenförsörjning eller teleoperatörer. I praktiken berör ämnet även små och medelstora företag som är en del av leveranskedjan, underhåller nyckelsystem eller hanterar tjänster där störningar stoppar kundens verksamhet inom några timmar.
ISO 27001 erbjuder en tydlig ram för detta. I denna artikel går vi igenom vad kritisk infrastruktur betyder ur ett cybersäkerhetsperspektiv, varför standarden passar för dess skydd och hur ni praktiskt kan gå steg för steg utan att arbetet bara blir dokumentation.
Vad betyder kritisk infrastruktur i företagets vardag?
I den nationella debatten avser kritisk infrastruktur tjänster och strukturer som är nödvändiga för samhällets funktion. I företagets vardag är det bra att närma sig definitionen praktiskt: vilket system, tjänst, leverantör eller information skulle orsaka en betydande störning om den var ur bruk 4–24 timmar?
För många små och medelstora företag kan det exempelvis vara molntjänster, fjärranslutningar, kundportal, produktionsstyrningssystem eller backup. Om någon av dessa fallerar kan det leda till leveransavbrott, avtalsbot eller skada på varumärket.
Typiska kritiska objekt är:
- lagring av kund- och produktionsdata
- identitets- och åtkomsthantering
- nätverksanslutningar och brandväggar
- backup och återställningsförmåga
- nyckelleverantörer, som datacenter- eller SaaS-partners
- personer vars kompetens är ensam on
Observera
Kritisk infrastruktur avser inte bara fysiska nätverk eller anläggningar. I många SMF är den mest kritiska komponenten den digitala tjänstekedjan: användarkonton, molntjänster, integrationer och leverantörsberoenden.
Om ni vill snabbt identifiera er organisations kritiska objekt, börja med tre frågor:
| Fråga | Vad du kartlägger | Exempel på måttstock |
|---|---|---|
| Vad får inte sluta fungera? | Affärskritiska tjänster | Tillåtet driftstopp max 8 h |
| Vilken information får inte läcka? | Konfidentiell information och personuppgifter | Avvikelseanmälan inom 24 h |
| Vem är verksamheten beroende av? | Leverantörs- och personrisker | Minst 1 reservperson per kritisk roll |
Varför passar ISO 27001 vid skydd av kritisk infrastruktur?
Ledningssystem innebär i praktiken en överenskommen metod för att styra, följa upp och förbättra informationssäkerheten. ISO 27001 är inte en enskild teknisk lösning utan en modell som säkerställer att risker identifieras, ansvar fastställs och kontroller, alltså skyddsåtgärder, väljs motiverat.
Skydd av kritisk infrastruktur är detta avgörande eftersom det största problemet vanligtvis inte är brist på ett verktyg. Problemet är att helhetsbilden saknas: vad skyddar vi, varför just detta och vem agerar om något inträffar.
ISO 27001 hjälper särskilt med:
- identifiering av 3–5 huvudsakliga risker ur affärsperspektiv
- fastställande av tillämpningsområde, det vill säga vilka funktioner, system och data som ledningssystemet omfattar
- val av kontroller baserat på risker, inte gissningar
- dokumentation av ansvar, avvikelser och beslut som uppfyller revisionskrav
- att bygga en modell för kontinuerlig förbättring där läget ses exempelvis kvartalsvis
Ett praktiskt exempel: om ert företag underhåller ett övervakningssystem åt en kund, styr ISO 27001 att ni ska säkerställa åtminstone användarhantering, loggning, backup, leverantörsstyrning och hantering av avvikelser. Utan denna struktur upptäcker många organisationer brister först när störningar uppstår.
Vilka risker är särskilt viktiga för kritisk infrastruktur?
I informationssäkerheten för kritisk infrastruktur har inte alla risker samma värde. Det är avgörande att identifiera situationer där konsekvenserna är stora även om sannolikheten är måttlig. Därför bör riskbedömningen göras med fokus på påverkan.
Typiskt framträdande risktyper är:
- driftstörningar och överbelastningsattacker
- ransomware och misslyckad återhämtning
- felaktiga eller för omfattande behörigheter
- leverantörskedjestörningar
- fysiska störningar, som strömavbrott eller hårdvarufel
- mänskliga misstag, till exempel felaktig konfiguration i produktion
Nedan finns en enkel poängsättningsmodell som kan användas vid första workshopen:
| Risk | Sannolikhet 1–5 | Påverkan 1–5 | Risknivå | Åtgärd |
|---|---|---|---|---|
| Underhållskonto kvar aktivt efter anställds avgång | 3 | 5 | 15 | Ta bort konto inom 24 timmar |
| Driftstopp i molntjänst | 2 | 5 | 10 | Bestäm reservrutiner inom 1 vecka |
| Backup kan inte återställas | 2 | 5 | 10 | Testa återställning 2 gånger per år |
| Leverantörs säkerhetsavvikelse | 3 | 4 | 12 | Lägg till leverantörsbedömning i avtalsprocessen |
| Felaktig brandväggsändring | 3 | 4 | 12 | Inför godkännande från två personer |
Varning
En vanlig miss är att endast bedöma tekniska hot. I många fall är den största risken beroenden: en leverantör, en huvudansvarig användare eller en återställningsprocedur som aldrig har testats.
Vad innebär kontroller i praktiken?
Kontroller är praktiska metoder för att minska risken. De kan vara tekniska, administrativa eller fysiska. Vid skydd av kritisk infrastruktur är en bra kontroll en som kan mätas i genomförande och inte bara antas.
Till exempel innebär åtkomsthantering inte bara att konton skapas vid behov. Det innebär att rättigheter godkänns baserat på roller, granskas regelbundet och tas bort snabbt när de inte längre behövs.
Bra mätbara kontrollexempel är:
| Kontroll | Praktisk implementering | Måttstock |
|---|---|---|
| Åtkomsthantering | Chef godkänner rättigheter, IT genomför, borttagning vid avgång | Konton tas bort inom 24 h |
| Backup | Daglig säkerhetskopiering för kritiska system | Återställningstest lyckas 2/2 gånger per år |
| Loggövervakning | Kritiska händelser samlas centralt | Larm hanteras inom 1 arbetsdag |
| Ändringshantering | Godkännande och dokumentation av produktionsändringar | 100 % av kritiska ändringar godkända i förväg |
| Leverantörsstyrning | Årlig utvärdering av kritiska leverantörer | 1 utvärdering/år per kritisk leverantör |
Om ni funderar på var ni ska börja, välj först kontroller som skyddar både tillgänglighet och återhämtning. I kritisk infrastruktur handlar det inte bara om att förhindra attacker utan också om att återhämta sig från störningar på ett kontrollerat sätt.
Hur startar ni ISO 27001-arbetet med fokus på kritisk infrastruktur?
Många organisationer fastnar i början eftersom standarden känns omfattande. I praktiken blir framgång enklare när arbetet kopplas till affärskritiska tjänster istället för att omfatta hela företaget på en gång.
Avgränsa kritiska tjänster och beroenden
Lista först 3–5 tjänster eller processer vars störning skulle stoppa verksamheten eller ge betydande kundpåverkan. Dokumentera för varje ägare, nyckelsystem, viktiga leverantörer och tillåtet maximalt driftstopp, exempelvis 4 h, 8 h eller 24 h.
Genomför en riskworkshop som beslutsunderlag
Samla verksamhet, IT och vid behov kvalitet eller dataskydd. Gå igenom varje kritiskt objekt med minst en tillgänglighetsrisk, en konfidentialitetsrisk och ett leverantörsberoende och poängsätt alla enligt samma modell för jämförbar prioritering.
Välj kontroller och fastställ ansvar
Bestäm för varje viktig risk en konkret åtgärd, ansvarig person och tidsfrist. En bra tumregel är att i första fasen genomföra de åtgärder som går att införa på 30–60 dagar, såsom åtkomstprocess, återställningstester och bedömning av kritiska leverantörer.
Dokumentera miniminivå för revision och vardag
Skriv ner åtminstone tillämpningsområde, riskbedömningsmetod, valda kontroller, ansvar och avvikelsehantering. Syftet med dokumentationen är inte mängden papper utan att vem som helst ansvarig vet vad som görs normalt och vid störningar.
Öva regelbundet och följ upp genomförandet
Genomför minst 2 övningar per år, till exempel återställning av backup och kommunikation vid driftstörning. Följ månadsvis ett fåtal mått, som borttagning av konton inom tid, öppna avvikelser och status på leverantörsutvärderingar.
Tips
Avsätt 45 minuter per månad för genomgång av kritiska risker. När samma rytm upprepas blir ISO 27001 inte ett projekt utan en ledningspraktik.
Vanligaste misstagen som försenar skyddsarbetet
Vid skydd av kritisk infrastruktur snubblar många över samma saker. Känner ni igen något från er organisation?
De vanligaste misstagen är:
- att tillämpningsområdet definieras för brett från början
- att riskbedömningen görs en gång men inte uppdateras efter förändringar
- att kontroller kopieras från mall utan koppling till verkliga risker
- att leverantörer inte utvärderas trots affärskritiska tjänster
- att återhämtningsförmågan antas vara god utan tester
- att ansvar fastnar hos IT trots att ägarskap också ligger på verksamheten
För att undvika detta kan ni använda en enkel checklista:
| Kontrollpunkt | Bra nivå | Varningssignal |
|---|---|---|
| Tillämpningsområde | Avgränsat till kritiska tjänster | "Ta med allt direkt" |
| Riskhantering | Uppdatering minst kvartalsvis | Senaste bedömning äldre än 12 mån |
| Leverantörsstyrning | Kritiska leverantörer utvärderade | Avtal finns men inga krav är kända |
| Återhämtning | Praktiskt testad | Backup utan bevisad återställning |
| Ansvar | Ägare utsedd per tjänst | "IT fixar" utan verksamhetsansvar |
ISO 27001 som del av bredare ledning
Om er organisation redan har ISO 9001 eller annat ledningssystem är det betydligt enklare att införa ISO 27001. Samma grundprinciper återkommer: mål, ansvar, avvikelsehantering, intern revision och kontinuerlig förbättring.
Detta är goda nyheter för SMF. Ni behöver inte bygga allt från början utan kan integrera informationssäkerhet i befintliga ledningsrutiner. Till exempel kan ledningens genomgång hantera kvalitetsavvikelser, säkerhetsavvikelser och kritiska leverantörsrisker i samma rytm.
Om ni har tillgång till ett digitalt verktyg och expertstöd går arbetet betydligt snabbare. Tietoturvapankki är byggt just för detta: det hjälper till att omsätta ISO 27001-krav till praktiska uppgifter, ansvar och uppföljning utan att helheten blir separata dokument. Bakom står Softapankki Oy och QMClouds Oy och lösningen är utformad för små och medelstora företags vardag på samma sätt som Kvalitetsbanken — Koncernens kvalitetsledningsvarumärke.
Sammanfattning
- Kritisk infrastruktur innebär i SMF ofta digitala tjänstekedjor, leverantörer och system vars störning snabbt märks i verksamheten.
- ISO 27001 ger struktur för riskhantering, ansvar, val av kontroller och kontinuerlig förbättring.
- Börja med att avgränsa 3–5 kritiska tjänster, bedöma risker med fokus på påverkan och välja mätbara kontroller.
- Följ konkreta mått som konto-borttagning inom 24 timmar, återställningstester 2 gånger per år och leverantörsutvärderingar årligen.
- Skyddar ni bäst genom att göra informationssäkerhet till en del av löpande ledning, inte som ett separat projekt.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.