Cybersäkerhet är viktigt för järnvägs­branschen

Cybersäkerhet handlar om att skydda information, IT-system och IT-infrastruktur mot externa hot. Det är en del av det informationssäkerhetsarbete som varje organisation idag måste ha kontroll över. Inom ramen för Tågföretagens fokusgrupp säkerhet och beredskap bjöd vi in till en dag för att sätta fokus på cybersäkerhet inom branschen.

Hotbilden har ändrats de senaste åren från att förr vara av mer fysisk karaktär för att idag handla mer om ett digitalt hot där mycket sker på distans, digitalt. Det ställer nya krav på företagens säkerhetstänk. När järnvägen digitaliseras behöver vi fokusera än mer på dessa frågor då komplexiteten är stor. Frågor som hur det ska fungera i praktiken med den uppdelning som finns i infrastruktur, signalsystem, järnvägsföretag, partners, etc, och taktar lagstiftningarna med de förutsättningar vi i branschen har med delat ansvar? Branschen behöver samlas och diskutera hur vi skyddar järnvägen som helt system och inte fristående delar.

Under eftermiddagens diskussioner kom deltagarna fram att det finns många saker att samverka kring som till exempel lagar och förordningars påverkan. En del av diskussionen handlade också om att branschen behöver följas åt och nå samma förmåga inom cybersäkerhetsarbetet. Att få med cybersäkerhet i upphandling som en viktig parameter att utvärdera anbud på är ett sätt att få företag att jobba aktivt med frågan.

Den stora delen av cyberattacker och cyberoperationer idag sker i form av DD-dos- och ransomewareattacker. Där handlar det om att de kriminella vill tjäna pengar. För att skydda sig mot dessa attacker behöver man höja kunskapen hos medarbetarna om de hot som finns. Det handlar om att inte klicka på länkar och filer samt att ha säkra lösenord bland annat. Men de cyberoperationer som är allvarligare och har större påverkan på samhället är attacker från andra statsmakter. Där handlar det inte om att tjäna pengar utan att störa och minska trovärdigheten för staten, myndigheter och transporterna för att ta exempel från vår värld.

Hur kan man skydda sig?

− Det går kanske inte att skydda sig helt, men man kan minska sårbarheterna. Att inte vara det företag som är lättast att hacka, säger Kate Almkvist, informationssäkerhetsspecialist SJ.

Det gäller att ha ett systematiskt och riskbaserat säkerhetsarbete, följa NIS-direktivet och dataskyddsförordningen samt sätta upp ett security operation center som tar hand om incidenterna hos företaget.

Jonas Danson, säkerhetsdirektör och DPO Transdev, råd till branschen är öka grunderna i cybersäkerhet och se till att ha bashygien på plats, bygga grundkunskap kring cyberrisk och cybersäkerhet, marknadsföra frågan på ledningsnivå och till våra huvudmän.

Direktivet för säkerhet och information, NIS

NIS berör många inom transportsektorn som tågoperatörer, infrastrukturförvaltning och trafikledning. Reglerna inom NIS gäller för de som levererar samhällsviktiga tjänster oavsett om man är privat eller offentlig aktör. Transportstyrelsen har förordningen för NIS ute på remiss fram till den 4 oktober och det finns chans att läsa och tycka till om den fortfarande. Förordningen kommer träda i kraft 1 januari 2022 och tillsyn kommer att ske under 2022.

Incidentrapporteringen inom NIS är viktig för att skapa en normalbild för av Sveriges totalförsvar.

− Det är en del av ett nationellt sensorsystem av vad som händer i det digitala samhället, säger Jimmy Alderin, Transportstyrelsen.

Arbetet med att uppdatera NIS-direktivet till det så kallade NIS 2 är på gång, det kommer bland annat ett nytt incidentprotokoll. Förhandlingarna pågår just nu och gör det året ut. När de är klara har Sverige 18 månader på sig att implementera det nya direktivet.