Risk- och incidenthantering

Publicerat av: Emma Johansson

Riskhantering handlar om att identifiera och bedöma hot samt vidta åtgärder för att hantera dem. Genom att förstå sina risker kan organisationer förebygga eller minska dem.

Incidenthantering inkluderar prevention och hantering av tjänsteavbrott. Med en hög terrorhotnivå i Sverige är det viktigt med bra säkerhetsrutiner för personal, fysiska säkerhet, och informations- och cybersäkerhet.

Svenska kraftnät publicerar regelbundet en öppen hotbild med olika typer av antagonister, omvärldsbevakning och bedömning av terrorhotnivåer samt de hot som Svk anser vara mest relevanta för verksamheter i elförsörjningen. Se öppen antagonistisk hotbild för svensk elförsörjning FINAL (svk.se)

 Den här hotbilden kan användas som stöd för att identifiera hot och risker inom energiförsörjningen. Även höjningen av den nationella terrorhotnivån ska påminna alla samhällsaktörer om vikten av förebyggande arbete för att minska risken för attentat.  Mer information finns att läsa på Säpos webbplats.

 MSB erbjuder vägledningar som stöd i det förebyggande arbetet mot attentat och hot:  Vägledning ”Säkerhet i offentlig miljö, skydd mot antagonistiska hot och terrorism”

För en effektiv verksamhet behöver man kontrollera sina tillgångar, särskilt informationen. Säkra lösningar krävs för att bevara tryggheten och förmågan i organisationen samt för att vara förberedd på det oväntade. Om kontinuitetshantering, från MSB:s webbplats

Detta är incidenthantering

Att snabbt återställa normal drift och minimera negativ påverkan på verksamheten är vitalt. Det kräver standardiserade rutiner för ingripande, analys, dokumentation och rapportering av incidenter, och att anpassa hanteringen efter verksamhetsmål och prioriteringar.

Grundläggande begrepp

  1. Incident: ett oplanerat avbrott i en IT-tjänst eller reduktion i kvaliteten hos en IT-tjänst. Fel i en konfigurationsenhet som ännu inte påverkat tjänsten är också en Incident. 
  2. Allvarlig incident: ofta en separat procedur, längre tidsramar och större angelägenhet. 
  3. Tidsramar: tidsramar måste sättas för de olika stegen i Incidenthanteringsprocessen och tydligt kommuniceras till alla inblandade i supporten. Tidsramar är ofta kopplade till en eventuell eskalering av incidenten konsekvenser och efterföljder.

Incidentutredning – att tänka på

Samhällsviktiga leverantörer ska utan dröjsmål rapportera incidenter som påverkar tjänstens kontinuitet till MSB. Se föreskrifter om rapportering av incidenter  (MSBFS 2018:9) och (MSB 2018–13470) för vägledning om rapportering av incidenter för leverantörer av samhällsviktiga tjänster enligt NIS-regleringen. 

Håll Incidenthanteringshandboken lättillgänglig vid incidenter. Om incidenten har brottslig grund, rapportera även till polisen och aktivera krisledning vid behov.

  • Vad har hänt? – Identifiera incidenten!
  • Incidentrapport till myndighet? – Säkerhetsskydd? - GDPR? – NIS? 
  • Utredningen: – Vilka involveras? – Vilken information används? – Teknisk bevisning? – Polisanmälan? 
  • Arbetsrättsliga åtgärder? – Informera facket?
  • IT-brott och tvångsmedel?
  • Proceduren vid rättsliga åtgärder?

Ytterligare information om incidenthantering

Anmälan vid säkerhetshotande händelser - Säkerhetspolisen 

På MSB:s webbplats finns information om incidentrapportering för NIS-leverantörer 

Kontakta MSB/CERT-SE på cert@cert.se eller 010 - 240 40 40

IR-ON (msb.se) rapportering digitalt till CERT- SE