Det som i slutet av 2019 började rapporteras som en smitta begränsad till Hubeiprovinsen i Kina har sedan början av 2020 blivit ett globalt hot. Covid-19 eller corona ställer individer och organisationer inför situationer de aldrig tidigare varit med om. Även om coronaviruset inte är en direkt IT-fråga ställer det höga krav även på organisationers och företags cybersäkerhet. Vi har listat några av de frågor vi tycker du som informationssäkerhetsansvarig bör fundera över.

Anpassning av IT-miljön, samt kontinuitets- och återstartsplaner 

För att begränsa smittspridningen har många organisationer bett personalen att i den mån det går arbeta hemifrån. Åtgärden är helt ny för många organisationer och det är därför viktigt att säkerställa att IT-miljön klarar av ett högre tryck på fjärranslutningar och brandväggar samt att fjärrskrivborden är säkra. Man bör också säkerställa att kontinuitets- och återställningsplaner är uppdaterade, testade och kommunicerade.

Regler för att hantera känslig information vid hemarbete

När många arbetar hemifrån blir det också viktigt att säkerställa att de regler som normalt gäller för informationshantering också gäller i denna situation. Organisationer som hanterar känslig information måste därför tänka till hur de ska hantera information som normalt sätt inte får lämna byggnaden.

Bortfall av nyckelpersonal

Informations- och IT-säkerhet kräver ett samspel mellan teknik, processer och människor. Även om läget ännu är ovisst kring hur många i samhället som kommer bli sjuka kan vi konstatera att risken för ökad sjukfrånvaro är hög. Det är därför viktigare nu än någonsin att säkerställa att det finns planer på plats för att kunna hantera större bortfall av personalstyrkan samt frånvaro av nyckelpersoner.

Phishing och ransomware

Att angripare genom så kallad social engineering (att angriparen försöker lura en användare till att exempelvis klicka på länkar eller ge ifrån sig känslig information) utnyttjar människans svagheter är ingenting nytt.

–  När är många är oroliga för virusets utveckling och samtidigt pumpas med information i traditionella och sociala medier om corona är detta tyvärr ett gyllene tillfälle för en angripare att skicka skadliga länkar, och utpressningsvirus (ransomeware) förtäcks som exempelvis myndighetsbrev eller information från företagsledningen, säger Stina Sörman, informationssäkerhetsexpert i Cyber Security-teamet på KPMG. 

Personuppgifter och corona 

Det är alltid viktigt att det finns tydliga regler och direktiv för hantering av personuppgifter. Ännu viktigare blir det när det kommer till hälsouppgifter och annan känslig persondata. Det är därför nödvändigt att det finns regler och direktiv på plats för hur HR-avdelningen och personalansvariga hanterar och dokumenterar information kring exempelvis sjukfrånvaro och karantänsbestämmelser. 

• Har vi testat att infrastrukturen och fjärranslutningar klarar av en högre belastning? Vad gör vi om vi inte klarar av belastningen? Har vi en plan B? Har vi testat säkerhetsfunktioner mot våra mest kritiska tillgångar?
• Har vi klassificerat vår information och fastställt vilka regler som gäller beroende på informationens känslighet? Har vi genomfört en riskanalys i närtid?
• Vad gör vi om stora delar av vår organisation eller jag själv blir sjuk eller av andra skäl inte kommer kunna arbeta under en längre tid?
• Har vi gett personalen verktyg i form av information, utbildning och eventuellt systemstöd för att undvika phishing-attacker?
• Har vi tydliga och kommunicerade riktlinjer för hur vi hanterar personuppgifter kopplade till exempelvis sjukfrånvaro, karantän och resor?

Tveka inte att kontakta oss om du har frågor eller behöver rådgivning runt detta. KPMG har ett heltäckande team som kan stötta omgående med såväl teknisk personal inom exempelvis testverksamhet och incidenthantering som experter inom informationssäkerhet och de strategiskt viktiga utmaningarna med personuppgifter.  

Per-Olov Humla, chef för KPMG Cyber Security team, per-olov.humla@kpmg.se.