Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
IT-säkerhet är inte synonymt med cybersäkerhet, den är en del av den. Så bara för att du har en bra nivå av IT-säkerhet innebär det inte att du har en grundläggande cyberhygien kring cybersäkerhet. Dessutom kan man inte upphandla cybersäkerhet i tron att det är plugg-and-play, något som du ansluter i väggen och sen skall det bara fungera. Det kräver handpåläggning för att det skall skydda det viktigaste verksamheten har, sitt varumärke. Bland Sveriges verksamheter råder en utbredd stoppa-huvudet-i-sanden-mentalitet där man dignar under massiva lagkrav, 140+ kontroller i olika standarder och normsystem samtidigt som man har noll insikt i vilka verktyg som verkligen driver affären eller har det affärsdrivna riskperspektivet för ögonen. Så du som har IT-säkerhet inhyrd via tredjepart eller sköter den själv, har du fullt förtroende för deras eller din egen förmåga, eller?
Cyberhygienen behöver här en lite mer djupare förklaring. Grundläggande cyberhygien är en verksamhet som verkligen förstår att sommar1234! inte är ett säkert lösenord. Cyberhygien innebär att ledningen inte stoppar huvudet i sanden och börjar räkna på hur många incidenter man mäktar med innan man måste investera i dyra lösningar. Cyberhygien är en verksamhet med tydliga mandat och roller, tydligt ägandeskap för cybersäkerhet. Cyberhygien är också en verksamhet som genomsyras av en säkerhetskultur där alla känner sig inkluderade och vågar fråga, medverka och även få förtroende för den egna förmågan att göra säkerhet. Passar din verksamhet in i denna bild, jobbar ni med tydliga och kommunicerade säkerhetsmål, eller?
Den organiserade och vardagsbrottsligheten frodas genom dålig cyberhygien i verksamheter och leverantörskedjor. Genom bristande förmåga hos verksamheter utnyttjar man allt från dåliga lösenord, usel efterlevnaden av regler och krav där dessa processer på sin höjd är en schemalagd aktivitet. Man utnyttjar obefintliga eller dåliga processer kring uppdateringar av hård- och mjukvara, inga backup-processer och ingen säkerhetskultur att prata om. Allt detta är ett smörgåsbord för brottslingar. Genom obefintliga kontroller av leverantörskedjan genom hela avtalstiden så blir detta en inkörsport till din verksamhet många förbiser. 2/3 av alla incidenter kan härledas till just leverantörskedjan. Och det är även här fokus från den organiserade brottsligheten ligger nu. I denna sektor ökar ransomware och malware lavinartat. För om verksamheter har dålig cyberhygien, då har deras leverantörskedja sannolikt ännu sämre. Och historien har visat att genom att angripa en leverantör med många kunder kan det få en virusliknande spridning att avkastningen för brottslingen kan öka tusenfalt. Rätt bra avkastning på arbetsinsats. Men du har ju koll på din leverantörskedja, eller?
Man måste alltså som en del i cyberhygienen också bekräfta att leverantörerna jobbar systematiskt med sin säkerhet, att de också har grundläggande cyberhygien. Alla idag är uppkopplade mot varandra, direkt eller indirekt. Det gör att vi alla sitter i samma båt. Det som drabbar en underleverantör kan drabba andra då denna leverantör levererar till mer än just dig som läser nu. Du måste alltså ha förtroende för att de har detta, nu och genom hela avtalstiden. Detta kräver processer och rutiner men framför allt tid. Detta måste alltså automatiseras och kunna presenteras för en ledning, de med ägandeskap för cybersäkerheten, så de förstår vad det förtroendet betyder och vad det innebär.
Men ta det lugnt. Du har ju redan koll och förtroende för din verksamhets cyberförmåga, verksamhetens cyberhygien och även din leverantörskedja, eller?