Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.
MSB har pekat på att Sverige måste bli bättre på att organisera samarbetet mellan myndigheter och privata näringslivet. Vi instämmer. Den röda tråden är tydlig – alla har ett ansvar att bidra till ett motståndskraftigt samhälle och se till att Sverige fungerar. Idag är dock Sverige sämst i Norden vad gäller cybersäkerheten. I de oroliga tider vi nu lever i måste Sverige stärka både den praktiska förmågan för cyberskydd och öka samverkan med näringslivet och internationella parter. Cybersäkerhet löses inte genom ”plug & play” med enstaka punktinsatser eller med endast en hårdvara.
Cyberattacker kommer tyvärr alltid att finnas. Men de kan försvåras väsentligt och dess samhällspåverkande effekter begränsas. Därför vill jag skicka med ett par generella råd på vägen mot en cybersäkrare framtid:
Råd 1 – Säkerställ digitalt ansvar. De cyberattacker vi sett den senaste tiden visar att det inte bara är den egna organisationen som behöver stärkt skydd. Även underleverantörernas arbete med säkerhet måste finnas med som en given del i avtalet. Hur framtidssäkrad är lösningen du får? Vilka servrar används och var finns de geografiskt? Vem har ansvaret om din lösning blir hackad? Ja, vem har egentligen det digitala ansvaret? Som upphandlande aktör kan du inte ta för givet att bara för att det är en känd underleverantör kommer den lösning du får att vara framtidsförsäkrad. Du måste alltid säkerställa att din leverantör åtar sig att vara digitalt ansvarig, exempelvis genom att tillhandahålla säkerhetsuppdateringar under hela produktens/tjänstens livslängd. Och göra regelbundna hot- och säkerhetsanalyser.
Råd 2 – Säkerställ hög assurans. Eftersom det är svårt att mäta säkerhet, talar man hellre om assurans inom säkerhetsområdet. En definition på assurans i det sammanhanget är ”graden av tillförsikt i att en produkt eller ett system korrekt utför sina kravställda säkerhetsfunktioner och att de inte kan kringgås”. Enklare uttryckt – för att undvika att bli en måltavla för det ökande antalet cyberattacker bör du även se över vilka it-säkerhetslösningar som du själv och dina underleverantörer använder er av. Cyberkriminella är avancerade och det räcker därför inte med vanliga standardlösningar om man vill vara säker på att vara skyddad. Det krävs lösningar på en högre nivå – lösningar som kan garantera säkerheten genom att vara gjorda för att möta de högsta säkerhetskraven.
Säkerhetsskyddet i samhället måste vara starkt nog för att kunna möta dagens hotbild. Tyvärr är det inte alltid så. Brister finns även i verksamheter som ska ha ett högt säkerhetsskydd. Brister såsom att intrång i informationssystem inte upptäcks i tid, att noggranna säkerhetskyddsanalyser inte utförs, eller att säkerhetsskyddade upphandlingar inte sköts enligt kraven.
Den ökade digitaliseringen med fler och fler system uppkopplade mot Internet och till varandra ökar cyberriskerna snabbt genom att data och system kan exponeras. Även attacker genom leverantörskedjan, som vi sett flera exempel på nyligen. EU:s direktiv NIS 2 kring informationssäkerhet blir lag i oktober i år och omfattar då också leverantörerna till organisationer i utpekade branscher. Utöver kostsamma viten att åsidosätta den nya lagen, så kan problem hos underleverantörerna också innebära stora konsekvenser för inblandade bolag.
Alla berörda branscher och samhället i stort behöver stärka sin vardagliga motståndskraft mot både cyberattacker och rena systemfel som påverkar vitala it-systems tillgänglighet. Ingen kedja är starkare än dess svagaste länk och alla, myndigheter som företag och enskilda, måste bidra och ta sitt ansvar.
Samhället är redan sårbart och än mer så om inte säkerhetstänkandet når samma utvecklingstakt som digitaliseringen av samhället i stort.