– nya krav i AB 25 och ABPU

Efter mer än 20 år har Allmänna bestämmelser (AB) uppdaterats, och AB 25 och ABPU innehåller flera betydande förändringar. En av de mest framträdande aspekterna i det nya regelverket är vikten av informationssäkerhet. Vi har träffat två experter på området, Rikard Espling och Javier Carriazo från Sally – Your Security Ally, för att diskutera vad dessa förändringar innebär för branschen och hur vi kan stärka vårt digitala skydd.

Både Rikard och Javier har länge arbetat med frågor kring digitalisering och säkerhet inom samhällsbyggnadssektorn. Med nya krav på informationshantering i AB 25 ser de en möjlighet att stärka branschens samarbete kring digital säkerhet.

– Det vi ser i det nya regelverket är en tydlig markering att informationssäkerhet inte längre är en isolerad IT-fråga, utan något som måste genomsyra hela projektverksamheten, säger Rikard Espling.

I de nya bestämmelserna framgår det att kvalitet, miljö och arbetsmiljö nu kompletteras med ett fjärde område – informationshantering och informationssäkerhet. Detta betyder att alla aktörer i bygg- och anläggningsprojekt kommer att behöva ha en plan för hur de hanterar känslig digital information och skyddar sig mot cyberhot.

– Det är en naturlig utveckling, men också en nödvändig sådan, fortsätter Javier Carriazo. Vi har sett en kraftig ökning av cyberattacker, inte minst riktade mot samhällskritisk infrastruktur. I takt med att vi digitaliserar mer av vår projekthantering måste vi också förstå riskerna och arbeta systematiskt för att minimera dem.

Cyberhoten ökar – och kan slå mot hela branschen

Under de senaste åren har vi sett en lavinartad ökning av cyberattacker. Stora europeiska företag har blivit offer för avancerade attacker där känslig information har läckt ut och använts för utpressning. Vad som är särskilt oroande är att många av dessa företag redan har välutvecklade cybersäkerhetslösningar, stora säkerhetsbudgetar och interna experter på området.

Trots detta har angriparna lyckats ta sig in. En gemensam nämnare i flera attacker har varit den mänskliga faktorn och leveranskedjan.

– Vi ser gång på gång att social ingenjörskonst används för att lura anställda att öppna skadliga filer eller dela känslig information, förklarar Javier. Det spelar ingen roll hur avancerad en teknisk lösning är om en användare ovetande öppnar en dörr för angriparna.

Ett annat stort problem är hur säkerhet hanteras i leverantörskedjan. Många företag skickar ut säkerhetsfrågeformulär till sina underleverantörer en gång per år – men det räcker inte.

– Vi måste arbeta systematiskt och löpande med säkerhet, och vi måste samarbeta inom branschen för att minska riskerna, menar Rikard. Det är här initiativ som Sally kommer in i bilden.

Sally – ett samarbetsinitiativ för bättre digital säkerhet

För att möta dessa utmaningar har Rikard och Javier varit delaktiga i utvecklingen av Sally – ett initiativ för att stärka cybersäkerheten i byggbranschen. Namnet kommer från ”Security Ally” och är tänkt att vara en plattform där branschens aktörer kan samverka för att minska digitala risker.

– Vi insåg att vi behövde en metodik och ett ramverk för att hjälpa företag att höja sin digitala säkerhetsnivå, utan att det skulle kräva enorma konsultbudgetar, säger Rikard.

Sally bygger på tre grundpelare:

1. Digital övervakning av leverantörskedjan – Genom att kontinuerligt analysera säkerhetsrisker i leverantörsled kan företag minska sin exponering för cyberhot.

2. Säkerhetsutbildning och förändringsledning – Genom att använda AI och maskininlärning kan vi skapa skräddarsydda utbildningar som stärker medarbetares medvetenhet om digitala hot.

3. Samverkan och erfarenhetsutbyte – Branschaktörer kan dela insikter och bästa praxis för att tillsammans stärka säkerheten.

– Det handlar om att göra säkerhet till en naturlig del av projekthanteringen, precis som vi gör med kvalitet och arbetsmiljö, säger Javier. Vi måste sluta se cybersäkerhet som en IT-fråga och börja behandla det som en affärskritisk fråga.

Vad behöver branschen göra nu?

Med AB 25 och ABPU:s kommande införande står bygg- och anläggningsbranschen inför en viktig förändring. Digital säkerhet måste få högre prioritet, och det krävs både tekniska lösningar och en förändrad attityd till säkerhetsfrågor.

– Mitt råd till alla företag är att börja nu, säger Rikard. Se över hur ni hanterar digital information, utbilda personalen och börja samarbeta med era leverantörer kring säkerhetsfrågor.

Javier håller med:

– Digitalisering ger oss fantastiska möjligheter, men också nya risker. Vi kan inte längre blunda för att cyberhoten ökar. Vi måste agera tillsammans och skapa en säker digital miljö för hela branschen.

Frågan om informationssäkerhet är alltså inte bara något för IT-avdelningar – det är en strategisk fråga för hela samhällsbyggnadssektorn. Och med rätt angreppssätt kan vi tillsammans skapa en mer motståndskraftig och säker bransch.

Vad är AB 25 och ABPU?

AB 25 och ABPU är de senaste versionerna av Allmänna bestämmelser för bygg- och anläggningsprojekt i Sverige. De syftar till att förbättra samverkan, effektivitet och transparens i byggprocessen och innehåller nu även krav på informationssäkerhet. Remisstiden för förslagen gick ut sista februari och de slutgiltiga versionerna väntas träda i kraft inom kort.

Sally – Your Security Ally

Sally – Your Security Ally har uppkommit efter genomfört projekt för Smart Built Environment och Formas. Det var en del av utlysningen Smart Built Environment: Digitalisering och industrialisering för ett hållbart samhällsbyggande 2019. Då hette projektet ”Cybersäkerhet för digitala processer i samhällsbyggnadssektorn” och koordinerades av KRESP Projektledning med Rikard Espling i spetsen och hade bland annat KTH Centrum för Byggeffektivitet som partner. Det pågick mellan 2019-2020 och sedan har Rikard Espling och Javier Carriazo arbetat vidare och det är så Sally – Your Security Ally blev till.

Text: Ellen Norman Illustration: Fredrik Swahn