En kort introduktion till informations- och cybersäkerhet.
Baserat på min erfarenhet från kravområdet är jag en förespråkare av tydliga begrepp och definitioner inom olika kompetensområden. På den här sidan beskriver jag därför hur, utifrån min uppfattning, begreppen informations-, it- och cybersäkerhet hänger ihop.
Förklaringarna är, med vissa justeringar, hämtade från min artikel Sveriges cybersäkerhet som publicerades i Kungl Krigsvetenskapsakademiens Handlingar och Tidskrift (KKrVAHT) nr 1 2023. För den som är intresserad av en djupare förståelse av området rekommenderar jag artikeln i sin helhet, tillsammans med kapitlet Cyberförsvarspyramiden i den föregående artikeln Sveriges cyberförsvar tar form. Båda artiklarna samt ett relaterat blogginlägg finns tillgängliga genom den samlingspublikation som går att ladda ner från Kungl Krigsvetenskapsakademiens hemsida.
Informationssäkerhet delas av tradition upp i ett antal önskade eller nödvändiga egenskaper, där de tre absolut mest centrala är riktighet, tillgänglighet och konfidentialitet. Inte sällan tillkommer dessutom en eller båda av egenskaperna oavvislighet och autenticitet. Informationssäkerhet omfattar skyddet av information oavsett i vilken form den är representerad och oavsett vilken typ av hot som avses.
Informationssäkerhet kan ses både som ett kvalitetsattribut som ska uppnås och som den verksamhet som bedrivs för att uppå de ingående egenskaperna. Uttryckt som en verksamhet kan informationssäkerhet sägas utgöra de åtgärder som krävs för att säkerställa att rätt information (ej förvanskad) med klarlagd källa är tillgänglig i rätt tid (när den behövs) för rätt individer (men inga andra) och att dessa i efterhand inte kan förneka tillgång till, eller ändring av informationen.
En delmängd av informationssäkerheten är hur informationen ska skyddas när den behandlas i olika typer av it-system.
Denna delmängd benämns it-säkerhet och definieras i en teknisk rapport från
SIS (TR 50:2015) som it-relaterade tekniska säkerhetsåtgärder för att upprätthålla informationssäkerhet
.
Genom relationen till informationssäkerhet sätts den information som systemen hanterar i första rummet, medan skydd av själva systemen mot otillåtna funktionsförändringar blir en implicit förutsättning. Detta innebär i många fall en medveten eller omedveten avgränsning till kontors- eller andra system avsedda för mänsklig bearbetning av information.
Till skillnad från it-säkerhet, som till följd av dess koppling till informationssäkerhetsområdet, är informationscentriskt så är cybersäkerhet funktions- och systemcentriskt. Det finns en tydlig tyngdpunkt mot systemens korrekta funktionalitet och tillgänglighet som möjliggörare för den verksamhet de stödjer. Informationen som hanteras i eller passerar genom systemen skyddas som en effekt av att systemen är tillräckligt säkra.
Cybersäkerhet omfattar alla typer av system. Förutom styr- och reglersystem och andra funktioner som är av betydelse för samhället omfattas produkter och tjänster som vid första anblicken inte primärt är it-system men som ändå innehåller eller är beroende av informationsteknik.
Cybersäkerhetsbegreppet används ofta, explicit eller underförstått, i en kontext av antagonistiska hot. Att ett system slutar fungera på grund av översvämning i en datahall eller en krets som går sönder av ålder är därmed inte typiskt en cybersäkerhetsfråga även om det naturligtvis påverkar systemets tillgänglighet.
En samlingspublikation med de de tre texter om cyberförsvar och cybersäkerhet som jag i perioden 2021-2023 skrev och sedan fick publicerade i Kungl Krigsvetenskapsakademiens Handlingar och Tidskrift samt dess blogg Försvar och Säkerhet.