Seminarium om cybersäkerhet för digitala processer inom samhällbyggnadssektorn

I projektet genomförs en förstudie som består av en systematisk granskning och analys av cybersäkerhet kopplat till digitala modeller inom samhällsbyggandet.

Seminariet inleddes med följande information kring Cybersäkerhet i vår bransch, kortfattat:
 

• Digitalisering öppnar upp till en ny värld när det gäller informationssäkerhet.
• Det traditionella ”skalskydds”-tänkandet är inte bra nog eftersom digitaliseringsprocesser sträcker sig bortom det skyddet. 
• Genom detta projekt vill vi visa att man kan addera en ny typ av säkerhet: Digital säkerhet som baseras på digitala risker. Dessa risker tas fram genom att det digitala avtrycket av de fysiska och digitala tillgångarna hos organisationen utreds. Avtrycket letas fram via öppna och slutna källor och kanaler i Surface, Deep and Dark Web. Dessa utgör grunden för den digitala riskanalysen som kan stödja digitaliseringsprocesser utanför skalskyddet.

Seminarien ledde till mycket intressant input från deltagarna. Vi fick fram en vägledning för de frågor som projektet ska studera. Vi kunde identifiera potentiella områden att utveckla för tjänste- och produktutveckling och för fortsatt forskning. Den vägledning vi fick fram var att vi skulle fokusera på följande faktorer om cybersäkerhet:

Byggprojekt

• Uppkopplad byggplats har säkerhetsfrågor att hantera genom att flera system kommunicerar och det kan öppna för säkerhetsintrång.
• Arbetet med att samla all data på ett ställe är en risk, eftersom intrång kan göras där all data finns.
• Val av produkter och tjänster är en fråga som gäller såväl produkternas egenskaper som deras säkerhetsegenskaper, men oftast beaktas inte säkerhetsegenskaper.
• Hantering av data i byggprojekt behöver utvecklas, eftersom exempelvis ritningar delas med många parter.
• Stora byggprojekt ställer speciella säkerhetskrav eftersom samverkan i konsortier där är omfattande, vilket också inkluderar en mängd konsulter. 

Drift och förvaltning

• Drift av fastigheter syftar till att optimera resurseffektivitet och digitala lösningar är viktiga för det. Den ökande digitaliseringen öppnar dock för säkerhetsfrågor.
• Myndigheter har egna digitala säkerhetslösningar när det gäller drift och förvaltning av fastigheter.
• Frågan om vad en digital fastighet är behöver utredas. Det kan tolkas och definieras på många sätt beroende på affärsmodell som används av fastighetsföretag.
• Tekniska lösningar som biometri, inpassering via pass, eller mobil, eller digital data från förvaltning är högintressant ur säkerhetssynpunkt.

Branschen som växer fram kring proptech

• Användning av öppna system leder till att de kan övervakas av många utanför systemet.
• Säkerhetsklassade tjänster i öppna system är högintressant.
• Komplexitet i tjänsteutbud leder till att säkerhet blir svåranalyserat.
• Slutna systems säkerhet beror på vem som är tillverkare.

Medarbetare

• Behöver utbildas i säkerhetstänkande
• Behöver inskolas i beteende som främjar säkerhet
• Behöver ha mindset för att beakta säkerhet
• Det saknas mognad kring säkerhetstänkande

Data

• ”Ägande” av data är centralt för säkerhetsfrågor.
• Lagring av data är också en viktig fråga

Processer

• Upphandling är viktigt, eftersom information som ges där är känslig, samt att säkerhetsfrågor ska in i upphandlingen.
• Lagstiftningsprocesser kring att tillgå, använda och distribuera data är centrala.
• Automatisering av säkerhetsskydd bör ske i processer.
• Klassning av säkerhet beror av information om säkerhetsproblem, samt tillgång till tjänster och lösningar för säkerhet.
• Processer behövs för stöd till medarbetare i att ta in säkerhetsfrågor i arbetet.
• Processer behöver också en klar hotbild.

Säkerhetsfrågor behöver integreras i ledningens arbete och vara en del i strategiutveckling så att incidenter löpande kan hanteras och att det finns beredskap för risker.

Ytterligare seminarier och workshops kommer att hållas inom ramen för detta projekt under 2020.