Varför ska vi skydda information?

Läs om varför det är viktigt att vi skyddar vår information och hur vi gör det, samt hur vi definierar informationssäkerhet, cybersäkerhet och dataskydd.

Informationssäkerhet handlar om att skydda information oavsett vilken form den finns i, ofta är det digitalt men den kan också finnas på papper eller i någons huvud.

Cybersäkerhet handlar om att skydda den teknik vi använder som hanterar vår information, så som datorer, nätverk, mobiler och system.

Dataskydd är till för att skydda personuppgifter och den personliga integriteten. Personuppgifter är en sorts information och skyddas genom att vi arbetar med informationssäkerhet.

Information är det som får vår verksamhet att fungera.

Tänk på all information du hanterar i din tjänst, det kan vara arbetsordrar, listor av olika slag, ekonomiska underlag, kundregister, scheman och mycket mer. Har du inte ha tillgång till den informationen eller om du inte kan lita på att den stämmer, skulle det orsaka stora problem och i värsta fall kan du inte utföra ditt arbete. Viss del av den här informationen innehåller känsliga uppgifter, som antingen kan orsaka skada på verksamheten eller en person om en obehörig får tillgång till den.

Hur kan det påverka oss?

Om något av det här skulle hända skulle det kunna innebära att:

de vi finns till för, tappar förtroendet för oss
vi inte kan leverera samhällsviktiga tjänster
det orsakar ekonomiska förluster
det skadar enskilda individer
vi bryter mot olika lagstiftningar

Digitalisering

Med hjälp av dagens teknik hanterar vi största delen av informationen digitalt i olika system. Vi är beroende av informationen som finns i systemen för att veta vad vi ska göra och vad som har gjorts. Ibland är vi också beroende av själva systemet som utför det faktiska arbetet åt oss.

Digitaliseringen sker i hög fart och behöver göra det för att vår välfärd ska hålla även i framtiden. Vi behöver dock tänka på hur vi kan skydda den digitala informationen.

Dagligen blir organisationer i Sverige utsatta för olika cyberattacker. Det är ett effektivt och vanligt sätt att komma åt information. Det finns även andra sätt att komma åt vår information, som att fysiskt ta sig in i lokaler och installera verktyg för att på så sätt komma åt nätverk, system och information.

Olika aktörer

Kriminella som vill tjäna pengar genom att antingen utpressa organisationer (ransomware) eller sälja vidare information som de kommit över. Verksamhetsinformation och personuppgifter är värda mycket pengar.

Vissa länder vill komma över information för att använda själva, i till exempel kartläggningssyfte eller forskning.

Det finns även grupper som vill skapa oro eller misstro mot vårt statsskick, att använda sig att digitala attacker mot samhällsviktiga verksamheter är ett sätt att nå ut.

Medarbetare

Vi som medarbetare är också ett hot, dock beror det ofta på okunskap eller misstag, än att man medvetet vill orsaka skada.

Det kan vara att man inte följer de regler som finns för lösenord, så att någon obehörig kommer över det, eller klickar på en länk eller dokument som innehåller skadlig kod.

Bristande interna rutiner kan också orsaka skada, till exempel en missad uppdatering, felaktig behörighetsstyrning eller lagring av information på en osäker plats.

Grunden i arbetet för att skydda information är att arbeta riskbaserat och systematiskt med informationssäkerhet. Arbetat ska vara en del i det dagliga arbetet, styrning och uppföljning ska göras av ledningen. Varje verksamhet ansvarar för att skydda sin information.

Såhär skyddar vi information

Ha koll på vilken information och system verksamheten har
Gör informationssäkerhetsklassningar- bedöm hur viktig eller känslig informationen är
Gör riskanalyser- vad kan hända som påverkar information/system negativt och vad kan man göra för att förhindra det?
Genomför åtgärder- organisatoriska, tekniska och fysiska säkerhetsåtgärder
Skapa medvetenhet- utbilda medarbetare
Leverantörsrelationer- kravställ på leverantörer och dess underleverantörer att vidta skyddsåtgärder. Följ upp detta så de lever upp till de krav som ställts
Incidenthantering- Ta fram ett arbetssätt för att hantera incidenter. Rapportera incidenter internt och vidare till tillsynsmyndigheter om de är allvarliga.
Kontinuitetshantering- planera för hur man ska arbeta ifall det blir information- eller systembortfall. Ta fram en "Plan B".

Fortsätt utforska

Utvecklingsprocessen

Alla initiativ som innebär investeringar eller förändringar som påverkar eller involverar det digitala bereds i det vi kallar för utvecklingsprocessen. Utvecklingsprocessens syfte är att säkerställa en långsiktigt hållbar utveckling som följer koncernens målbild och strategi samt verksamhetens och politikens mål.
AI-plattformen Eneo

Sundsvalls kommun och Ånge kommun har utvecklat den öppna AI plattformen Eneo, en plattform som har fokus på att göra det enkelt att använda generativ AI, samtidigt som det sker på ett öppet och transparent sätt och där vi kan dela våra lösningar inom hela det offentliga. En plattform som har invånarna, företagarnas och den offentliga sektorns behov i centrum.
Riktlinjer för automatiserade beslut

Kommuner har från den 1 juli 2022 möjlighet i kommunallagen att fatta automatiserade beslut. Automatiserade beslut ger kommuner ett sätt att bättre kunna möta ett ökat behov och en ökad efterfrågan genom att till fullo ta tillvara på de möjligheter som finns i digitala arbetssätt och lösning.

Varför ska vi skydda information?

Förklaring av begrepp