Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
En god cyberhygien handlar i grunden om riskhantering, modern cybersäkerhet handlar därför om riskperspektiv. Men det förutsätter en korrekt definition av cybersäkerhet. Det är inte synonymt med IT-säkerhet och/eller informationssäkerhet. Cybersäkerheten är harmoni och samverkan av fyra områden: IT-säkerhet, informationssäkerhet, lagar och framför allt en säkerhetskultur.
Målet med en god cyberhygien blir då att arbetet med cybersäkerhet i din verksamhet syftar till att skaffa sig en ökad motståndskraft kopplat till just risker och hot i cyberrymden. Och riskerna där ute för verksamheter kan sammanfattas i bristande lagefterlevnad, ekonomiska risker, operationella och strategiska risker. Bristande riskperspektivet innebär dessutom att verksamheter enbart fokuserar på externa hot, risker och hot som kommer utifrån verksamheten och inte inifrån den. Insiderhot kostar verksamheter nästan det dubbla mot exempelvis ransomware.
Visste du att när vi pratar om cyberhygien är inte bara din verksamhetens hygien som avses. Det omfattar dem ni gör affärer med, som ni levererar till eller som levererar till dig samt deras leverantörer. Cyberhygien är därför det kollektiva digitala verksamhetssveriges cybersäkerhetsförmåga, näringsliv som offentlighet. Vi måste alltså kollektivt uppnå en form av digital flockimmunitet kopplat till risker och hot i cyberrymden. Och i en verklighet där verksamheter många gånger överfört ägandeskapet för cybersäkerhetsarbetet till en extern tjänsteleverantör inom IT kommer denna cyberhygien aldrig kunna uppnås, än mindre en flockimmuniteten. Detta för att cybersäkerhet inte är en IT-fråga utan en verksamhetsfråga. Detta för att leverantörer sällan eller aldrig kan leverera inom alla fyra områdena inom cybersäkerhet.
Låt mig måla upp ett exempel med hur vi riskhanterade Coronapandemin. Vi gjorde det med munskydd, hålla avstånd, tvätta händerna, stanna hemma vid minsta symptom och vaccin. Och effektiviteten låg i att alla gjorde detta. En tjänsteleverantör som levererar IT till er kommer endast kunna ge dig ett ansiktsskydd, be er håll avstånd eller kanske ge er instruktioner på hur ni tvättar händerna. De kan på sin höjd leverera tekniska och begränsade organisatoriska processer. Att faktiskt tvätta händerna, vara uppmärksam på symptom och ta vaccin är er verksamhets ansvar, inte deras. Leverantörerna vet detta och friskriver sig genom avtal att ni inte gör enligt best practice. De heltäckande organisatoriska processerna och själva kulturen att göra rätt, det ansvaret ligger på er verksamhet och era medarbetare. NIS2 utkräver ansvar och allvarliga påföljder för den som tror att endast munskydd och avstånd räcker. Den ställer krav på att ni faktiskt tar vaccinet, tvättar händerna och agerar vid symptom. Flockimmuniteten, vår motståndskraft, vilar på att ni och alla vi andra axlar det ansvaret och gör säkerhet varje dag.
Visste du dessutom att NIS2, DORA med flera andra lagar ställer krav er verksamhets mest eftersatta risken för din verksamhet, era leverantörer och era underleverantörer. Hotet finns absolut utifrån genom skadliga länkar, virus, belastningsattacker och informationspåverkan. Men största hotet är faktiskt redan på insidan. Leverantörer och deras leverantörer brister i förmåga kring cybersäkerhet och därigenom har dålig cyberhygien, därav kraven i NIS2, DORA med andra lagrum. Och dessa lagar vet att flockimmunitet är beroende av systematik kring cybersäkerhet, hur validerar och bevisar ni detta?
Cyberhygienens affärsnytta är direkt kopplat till förtroende för ert varumärke, er verksamhets motståndskraft. Verksamhetens anseende och konkurrenskraft står på spel. Under pandemin ville ni inte samverka med individer som inte tvättat händerna, inte tagit sitt vaccin, inte använde munskydd, inte höll avstånd och eller var uppmärksamma på symptom. Varför skall ni eller någon annan vilja jobba med någon som inte tar cybersäkerheten på allvar och har bristande cyberhygien?

Säkerhet måste vara lätt att göra rätt, i synnerhet då framtiden ställer krav på systematik, dokumentation och kunna bevisa cyberhygienen. Cybersäkerhet är ett maratonlopp, ett lopp alla faktiskt kan springa. Motivationen för att komma dit går genom det affärsdrivna riskperspektivet att god cyberhygien vittnar om en verksamhet som frodas och där cybersäkerheten är ett DNA.