Bygg och beredskap. ”Lås- och klimatsystem särskilt utsatta”

– Alla är beroende av nätverks- och informationssystem. Det kan få olika konsekvenser som att alla verksamhet stannar av, att man förlorar nödvändiga data eller att det får konsekvenser för samhället när samhällsviktiga verksamhet stannar, säger Jan-Olof Olsson, Handläggare på enheten för försörjningsberedskap på Myndigheten för civilt försvar (MCF).

Särskilt utsatta är de så kallade cyberfysiska system – digitala styrsystem som direkt påverkar den fysiska miljön i byggnader.

– Just cyberfysiska system har varit utsatta, som låssystem, klimatsystem etc, säger han, och pekar på attacken kan handla om allt från överbelastningsattacker till rena dataintrång.

En vanlig metod är så kallad DDOS-attacker (Distributed Denial of Service), där angriparen överbelastar systemet med trafik så att de slutar fungera. I en fastighet kan det innebära att viktiga funktioner slås ut – ibland i kombination med stöld eller inlåsning av data.

Problemet förvärras av att dessa system ofta hamnar utanför det traditionella IT-säkerhetsarbetet.
– Dessa cyberfysiska system ligger dessutom ofta utanför den ‘vanliga’ informationssäkerhetsarbetet, kanske inte uppdateras och ligger exponerade på ett annat sätt än ‘kontors-IT’.

När det gäller ansvar är budskapet tydligt: ​​cybersäkerhet är ett löpande arbete, inte en gång. En ny cybersäkerhetslag, som bygger på EU:s NIS2-direktiv, skärper kraven på riskhantering, säkerhetsåtgärder och incidentrapportering för verksamheter som bedöms som samhällsviktiga eller särskilt viktiga. Alla bygg- och fastighetsbolag omfattar inte formellt – men enligt MCF finns det starka skäl att ändå arbeta enligt samma principer.

– Alla behöver jobba mer med frågan, och arbeta löpande, säger Jan-Olof Olsson och konstaterar att många fortfarande ser cybersäkerhet som dyrt och krångligt – tills de själva drabbar.

– Efter att man varit utsatt brukar kalkylen bli annorlunda.

Framåt väntar både högre digitaliseringstakt och ökade beredskapskrav. Kraven som nu införs för vissa verksamheter bör, enligt MCF, snarare ses som en miniminivå än ett undantag. I grunden handlar det om att varje fastighetsägare och byggherre behöver ställa sig den obekväm men nödvändiga frågan: är våra fastigheter redo för ett cyberangrepp – och vad händer den dag de inte är det?

NIS2 i korthet

• NIS2 är ett EU-direktiv som stärker kraven på cybersäkerhet i samhällsviktig verksamhet
• Omfattar bland annat krav på riskanalyser, tekniska skyddsåtgärder och rapportering av incidenter
• Genomförs i Sverige via ny cybersäkerhetslag

Alla omfattas inte juridiskt – men rekommendationen är att fler följer regelverket i praktiken.
Läs mer: www.mcf.se/nis2

NIS2 för bolagsledningar – 5 viktiga saker

Cybersäkerhet är en ledningsfråga – inte bara IT
NIS2 tydliggör att cybersäkerhet är ett ansvar för ledning och styrelse. Det handlar om styrning, riskbedömning, prioritering och uppföljning – inte enbart tekniska lösningar.

Alla omfattas inte av lagen – men hoten gäller alla
NIS2 gäller formellt för vissa samhällsviktiga och viktiga verksamheter. Samtidigt är hotbilden densamma även för aktörer som inte omfattar juridiskt, och kraven kan komma via kunder, hyresgäster eller uppdragsgivare.

Fastigheter är inte bara byggnader – de är digitala system
Moderna fastigheter rymmer uppkopplade system för tillträde, klimat, energi och drift. Dessa system påverkar både säkerhet och verksamhet och kan få direkta konsekvenser om de slår ut.

Ett cybergrepp kan stoppa verksamheten helt
Konsekvenserna kan bli driftstopp, låsta system, otillgängliga lokaler eller förlorad kontroll över tekniska funktioner – med påverkan på människor, ekonomi och samhällsfunktioner.

Frågan varje styrelsen eller ledning bör ställa:
Är vi förberedda på ett cyberangrepp, och vet vi vad som händer om våra digitala system slutar fungera i morgon?