Det nya datasystemet och den nya praxisen stärker den digitala säkerheten
Digital säkerhet, det vill säga informationssäkerhet, dataskydd, cybersäkerhet, riskhantering, verksamhetens kontinuitet och beredskap, har beaktats i datasystemet för den byggda miljön.
Hanteringen av användarrättigheter förbättras
Den byggda miljön är förknippad med mycket information som är kritisk med tanke på säkerheten i samhället. Därför är det också viktigt att identifiera dem som använder informationen och hantera användarrättigheterna noggrannare än i nuläget.
I nuläget
Olika aktörer har mycket varierande praxis för delning och hantering av användarrättigheter till informationssystem. Inloggning förutsätter sällan stark autentisering och organisationerna använder kanske gemensamma användarnamn, varvid man inte känner till den verkliga användaren av informationen. Dessutom kan personen ha tillgång till mer omfattande information än vad hans eller hennes uppgift förutsätter, t.ex. kan bibliotekarien ha tillgång till planläggarens information om Försvarsmakten. Det finns också luckor i administrationen av användarnamn, till exempel märker man inte nödvändigtvis alltid att användarnamn som försvinner raderas eller så sker det inte automatiskt.
I framtiden
En effektiv hantering av användarrättigheterna är en absolut förutsättning för en fungerande informationssäkerhet. Inloggning i datasystemet för den byggda miljön förutsätter alltid stark tvåfaktorsautentisering. Användarrätten begränsas alltid till en fysisk person och det finns t.ex. inga gemensamma användarnamn. I fortsättningen säkerställs också genom begränsningar av användarrättigheterna att personen i systemet endast kommer åt den information som är väsentlig för honom eller henne. Centraliserat administrerade användarrättigheterna hålls bättre uppdaterade än i nuläget.
Åtkomsten till information stängs snabbare i en kris
Information om den byggda miljön finns öppet tillgänglig från otaliga källor. Med tanke på öppenheten i samhället är detta viktigt och värdefullt, men i en krissituation kan det uppkomma risker som kräver snabba reaktioner.
I nuläget
Kommunerna ansvarar för sin egen information om den byggda miljön, det vill säga till exempel för att visa en aktuell karta i sin karttjänst. Om det uppstår en situation som hotar den allmänna säkerheten och där kartinformationen har en central roll, är det viktigt att snabbt stänga åtkomsten till denna information. Då ska säkerhetsmyndigheterna kontakta den som förvaltar denna information separat i regionen i fråga. I en kritisk situation tar mycket tid att dra tillbaka informationen.
I framtiden
m säkerhetssituationen så kräver kan den äventyrade informationen genast uteslutas ur det riksomfattande systemet. Informationen kan åter snabbt frigöras för användning när hotet har eliminerats.
Centraliserad informationshantering frigör till exempel tid för annat arbete för dem som ansvarar för kommunens informationssäkerhet, när det allmänna säkerhetsläget inte kräver kontinuerlig övervakning i detta avseende. På så sätt kan resurserna allokeras till annat arbete.
Mer tillförlitlig logginformation
Mängden och användningen av information om den byggda miljön ökar ständigt. Med tanke på hela samhällets säkerhet är det viktigt att förbättra den användar- eller logginformation som samlas in i datasystemen. Med hjälp av den ser man vem som behandlar informationen och vad som har gjorts i systemet.
I nuläget
Information om den byggda miljön behandlas av allt fler aktörer och personer i hundratals olika system. Det finns stora variationer i exaktheten och innehållet i den logginformation som sparas i olika aktörers system och det finns ingen centraliserad logginformation om användarna och verksamheten kring informationen.
I framtiden
Tack vare det riksomfattande datasystemet för den byggda miljön behöver informationen i fortsättningen inte lämnas in till flera ställen. I detta system uppkommer alltid bekräftad logginformation om vem som har sökt någon information och vad som har gjorts med informationen. Systemet larmar också om avvikande verksamhet upptäcks i logginformationen, till exempel laddning av ovanligt stora datamängder. På så sätt kan man vid behov snabbt skicka information om misstänkt verksamhet till säkerhetsmyndigheterna och vid behov kan åtkomsträttigheterna till uppgifterna ändras snabbt.
Lagen förutsätter att logginformationen förvaras i cirka två år, i Ryhti-datasystemet förvaras logginformationen i fem år.
Dataöverföringen är säkrare
Information om den byggda miljön skickas varje dag till många olika system. Överföringen av information är alltid förknippad med risker – såväl tekniska som mänskliga.
I nuläget
I nuläget måste till exempel kommunen lämna uppgifter om den byggda miljön i många olika former till många olika myndigheter. Uppgifterna kan delvis redan lämnas via elektroniska gränssnitt, men mycket ofta sker dataöverföringen också på traditionellt sätt som bilaga till ett e-postmeddelande.
Processen är stel och det finns alltid en risk för tekniska eller mänskliga misstag. Informationen hamnar inte nödvändigtvis intakt på rätt plats, utan den kan skadas under resan och slutligen uppträda mycket annorlunda på olika håll.
I framtiden
Informationen överförs till Ryhti-datasystemet via ett tekniskt gränssnitt med en valideringstjänst. Med en registrering överförs eller uppdateras informationen automatiskt till rätt plats utan mellanhänder. I och med standardiserade, interoperabla datamodeller kan informationssäkerheten hanteras mycket bättre och informationssäkerheten följer med användaren.
När uppgifterna i framtiden skickas och uppdateras endast till ett ställe kan man också vara säkrare på att informationen är oförändrad. Minskad dataöverföring minskar naturligtvis också de mänskliga och tekniska riskerna i anslutning till dem.