Ute bland Sveriges bostadsrättsföreningar pågår digitaliseringen för fullt; övervakning, kontroll och styrning av system för värme, energi, ventilation samt digitala lås, bokningssystem, videoövervakning med mera. Men hur står det till med IT-säkerheten? Vi träffade Swecos säkerhetsskyddschef Per Maniette för att prata om vad alla föreningar faktiskt kan göra för att höja sin IT-säkerhet några snäpp.
Per Maniette har en bakgrund inom försvaret där han arbetat med säkerhetsskydd och informationssäkerhet. Sedan 2020 är han ansvarig för Swecos säkerhetsskyddsavtal och arbetar med att stötta medarbetare, konsulter och kunder med säkerhetsskydd.
– Ett allra första steg, menar han, är att frågan bör lyftas in på agendan och att någon utses som ansvarig för IT-säkerheten. Här har ju brf-styrelsen en extra utmaning eftersom styrelsemedlemmar kommer och går. Självklart finns det ju möjlighet att köpa in tjänsten. Men oavsett finns det saker som i stort sett alla styrelser kan göra för att lyfta IT-säkerheten.
Det är svårt att ge generella tips med tanke på att brf:er skiljer sig från varandra. Storleken, var man är i sin digitaliseringsresa, vilka explicita värden som finns i fastigheterna och kanske även boende som har högt skyddsvärde.
– Ett andra steg är att göra en grov informationsklassning av sina IT-system. Man radar upp vad man har för system och ser på möjliga hotbilder och vilken information som hanteras i systemen. Styrelsen kontrollerar att det finns ett personuppgiftsavtal med leverantörerna, att systemet har en kryptering och att det finns reservkraft ifall systemen blir strömlösa. Det ger tid till att spara ned och säkerställa systemen och data. Ett exempel är ju digitala lås som är beroende av ström för att fungera.
En följd av informationsklassningen handlar alltså om att granska leverantörsavtal och se vad som ingår och vad som föreningen faktiskt kan kräva för de system som innehåller känslig information. Vad har vi köpt, eller tänker köpa? Vad gäller för kryptering? Backup?
Avvägning mellan tillgänglighet och sårbarheter och risker, vad kan hända? Leverantören ska kunna svara på dessa frågor. Kraven finns tillgängliga på nätet.
– Omvärldsanalys är också en del iIT-säkerhetsarbetet, menar han. Har till exempel mer än en brf drabbats av samma slags intrång eller liknande, satsa på att försöka förebygga detta.
Par Maniette tycker också att det är bra att man arbetar systematiskt och lägger upp en plan. Att man exempelvis tar en extra titt på passersystemet i år och kanske ser över solcellsanläggningen nästa år. Vilka andra system kommunicerar det med?
– Om vi tittar på det löpande styrelsearbetet, kommunikation och dokumenthantering så bör man ha en dator med ett bra antivirusskydd samt den lokala brandväggen aktiverad, säger han.
Frågan om backup är en annan och även om många idag ifrågasätter molntjänster så anser han att det i ljuset av händelser i vår relativa närhet ändå är bättre att ha en datalagringstjänst i molnet än lokala system som styrelsen behöver underhålla. Då kan styrelsen också få tillgång till tvåfaktorsautentisering, man säkerställer rutiner och att ett personuppgiftsavtal finns på plats. En bra tjänst som uppfyller kraven på såväl tillgänglighet, som IT-säkerhet, konfidentialitet och spårbarhet.
Dessutom bör styrelsen vara försiktig med hur känsliga personuppgifter hanteras i e-post. Med en separat och krypterad e-post kan man skapa bra rutiner för kontinuitet. Sedan ska man förstås att se över sina digitala system, uppdatera operativsystem och lösenord regelbundet.
– En bra inledning på IT-säkerhetsarbetet är att ta del av någon av de många online-utbildningar som finns på nätet, exempelvis från MSB, menar Per Maniette. Sätt av en halvtimme och börja med en översyn och informationsklassning av systemen. Ett snabbspår till att ha koll på systemen är att kontrollera att leverantörerna är certifierade och uppfyller kraven för aktuell ISO 27001-standard. Jag frågar honom om hur han ser på
dagens säkerhetsläge.
– Redan ganska långt innan Ryssland anföll Ukraina såg vi en successiv skärpning av säkerhetskraven och att fler uppdrag omfattas av säkerhetsskydd. Det märks också att allt fler branscher fått upp ögonen för att det finns sårbarheter för viktiga funktioner i deras företag. Lagstiftningen har också skärpts.
De må vara så att de flesta brf:er går under radarn i nuläget då det gäller intrång och försök till störningar i sina IT-system. Men i takt med att vi blir alltmer digitala ökar vår sårbarhet vilket gör att vi bör börja titta över de risker som faktiskt finns.
– Ett krasst övervägande är ju att antingen jobba förebyggande och ta dessa kostnader eller helt enkelt vänta på att det smäller, men reaktiva kostnader är alltid betydligt högre än de proaktiva, avslutar Per Maniette.
