Det som i slutet av 2019 började rapporteras som en smitta begränsad till Hubeiprovinsen i Kina har sedan början av 2020 blivit ett globalt hot. Covid-19 eller corona ställer individer och organisationer inför situationer de aldrig tidigare varit med om. Även om coronaviruset inte är en direkt IT-fråga ställer det höga krav även på organisationers och företags cybersäkerhet. Vi har listat några av de frågor vi tycker du som informationssäkerhetsansvarig bör fundera över.
Anpassning av IT-miljön, samt kontinuitets- och återstartsplaner
För att begränsa smittspridningen har många organisationer bett personalen att i den mån det går arbeta hemifrån. Åtgärden är helt ny för många organisationer och det är därför viktigt att säkerställa att IT-miljön klarar av ett högre tryck på fjärranslutningar och brandväggar samt att fjärrskrivborden är säkra. Man bör också säkerställa att kontinuitets- och återställningsplaner är uppdaterade, testade och kommunicerade.
Regler för att hantera känslig information vid hemarbete
När många arbetar hemifrån blir det också viktigt att säkerställa att de regler som normalt gäller för informationshantering också gäller i denna situation. Organisationer som hanterar känslig information måste därför tänka till hur de ska hantera information som normalt sätt inte får lämna byggnaden.
Bortfall av nyckelpersonal
Informations- och IT-säkerhet kräver ett samspel mellan teknik, processer och människor. Även om läget ännu är ovisst kring hur många i samhället som kommer bli sjuka kan vi konstatera att risken för ökad sjukfrånvaro är hög. Det är därför viktigare nu än någonsin att säkerställa att det finns planer på plats för att kunna hantera större bortfall av personalstyrkan samt frånvaro av nyckelpersoner.
Phishing och ransomware
Att angripare genom så kallad social engineering (att angriparen försöker lura en användare till att exempelvis klicka på länkar eller ge ifrån sig känslig information) utnyttjar människans svagheter är ingenting nytt.
– När är många är oroliga för virusets utveckling och samtidigt pumpas med information i traditionella och sociala medier om corona är detta tyvärr ett gyllene tillfälle för en angripare att skicka skadliga länkar, och utpressningsvirus (ransomeware) förtäcks som exempelvis myndighetsbrev eller information från företagsledningen, säger Stina Sörman, informationssäkerhetsexpert i Cyber Security-teamet på KPMG.
Personuppgifter och corona
Det är alltid viktigt att det finns tydliga regler och direktiv för hantering av personuppgifter. Ännu viktigare blir det när det kommer till hälsouppgifter och annan känslig persondata. Det är därför nödvändigt att det finns regler och direktiv på plats för hur HR-avdelningen och personalansvariga hanterar och dokumenterar information kring exempelvis sjukfrånvaro och karantänsbestämmelser.
Tveka inte att kontakta oss om du har frågor eller behöver rådgivning runt detta. KPMG har ett heltäckande team som kan stötta omgående med såväl teknisk personal inom exempelvis testverksamhet och incidenthantering som experter inom informationssäkerhet och de strategiskt viktiga utmaningarna med personuppgifter.
Per-Olov Humla, chef för KPMG Cyber Security team, per-olov.humla@kpmg.se.