Nu införs nya cybersäkerhetslagen NIS2 i Sverige, med strängare krav på riskhantering, incidentrapportering och affärskontinuitet. På IssTech, ett svenskt företag som specialiserar sig på dataskydd för moderna IT-miljöer, ser man nu hur en del organisationer med moderna IT-miljöer, som skyddas med traditionell backup, kan ligga i farozonen för sanktioner utifrån det nya regelverket.
Enligt IssTech fungerar traditionella IT-miljöer med traditionell backup i de flesta fall tillfredställande, även med det nya regelverket NIS2. Men, moderna IT-miljöer som bygger på mer dynamiska flöden med olika appar går inte ”på samma sätt” att skydda med traditionell backup, varnar bolaget.
– Moderna IT-miljöer som skyddas med traditionella backuplösningar ger en falsk trygghet och NIS2 kan bli en välbehövlig väckarklocka för alla svenska företag som inte uppgraderat sin backup i samma takt som infrastrukturen, säger Christian Petersson på IssTech i ett pressmeddelande.
En bidragande utmaning med hantering av moderna IT-miljöer är, enligt IssTech, att det oftast inte är samma ansvariga som för de IT-traditionella miljöerna. Oftast är det devops-utvecklare som ansvarar för de nya miljöerna och i många fall har resten av organisationen sämre insyn i hur backupfrågorna hanteras i dessa nyare miljöerna:
– Allt för ofta vet inte resten av organisationen vilka backup-lösningar som finns i de moderna miljöerna. Det är tydligt att samspelet mellan utvecklingen av de traditionella och moderna IT-miljöerna måste bli bättre, och kanske behövs regelverk likt NIS2 för att detta ska ske,säger Christian Petersson.
Saknar redundans
Moderna IT-miljöer ”står allt för ofta också och faller” med en enskild leverantör, exempelvis enskilda molnleverantörer eller säkerhetslösningar. Det gör att man saknar den redundans som behövs för att ge ”nödvändig kontinuitet vid störningar”. För att efterleva regelverket NIS2 ser man nu att många behöver öka förmågan att ”snabbt kunna flytta data och tjänster mellan olika plattformar och leverantörer vid kriser”.
– Detta är viktigt både för att säkra kundernas förtroende, men också för att undvika böter utifrån regelverk som NIS2. Att undvika inlåsning av data i specifika system och kunna flytta data och tjänster till alternativa miljöer blir en viktig försäkring framöver, säger Christian Petersson.
NIS2 blir också en ”viktig väckarklocka” när det gäller återställning av data. IssTech menar att ha det inte räcker att ha en backup-lösning på plats som gör en kopia på ens data, NIS kräver också att data kan återställas på kort tid och att verksamheten ”skyndsamt blir fungerande igen”. Annars riskeras sanktionsavgifter som maximalt kan uppgå till cirka 100 miljoner kronor, enligt IssTech.
– Backup är grunden för allt cybersäkerhetstänk, men om ledningen inte vet om det tar två timmar eller två veckor att återställa systemen efter en attack, så blir det en väldigt skakig grund. Därför måste ansvariga nu lägga mer fokus på att se över återställningsprocesser och testa regelbundet, säger Christian Petersson.
I strålkastarljuset
På IssTech ser man hur utvecklingen inom IT-infrastruktur på många håll gått med rasande takt, samtidigt som backup-frågorna inte alltid hängt med. Införandet av NIS2 ”sätter strålkastarljuset på detta glapp”.
– Vi har under året som gått sett flera exempel på hur sårbara svenska organisationer är för avbrott hos globala tjänsteleverantörer. Det visar på hur viktigt det är att kunna flytta sin data och ha redundans. Det visar också på hur viktigt det är att kunna återställa system inom rimliga tidsramar, för att inte skada verksamheten eller riskera böter. Vi hoppas nu att fler blir medvetna kring hur olika angreppssätt som behövs för att skydda moderna respektive traditionella IT-miljöer i organisationer,” säger Christian Petersson på IssTech.
