Cybersäkerhet, cyberhygien och leverantörskedjan – allt handlar om förtroende
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna. IT-säkerhet är inte synonymt med cybersäkerhet, den är en del av den. Så bara för att du har en bra nivå av IT-säkerhet innebär det inte att du har en grundläggande cyberhygien kring cybersäkerhet. Dessutom kan man inte upphandla cybersäkerhet i tron att det […]
Uppdaterad: 25 mars 2025Publicerad: 6 juli 2023
Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.
IT-säkerhet är inte synonymt med cybersäkerhet, den är en del av den. Så bara för att du har en bra nivå av IT-säkerhet innebär det inte att du har en grundläggande cyberhygien kring cybersäkerhet. Dessutom kan man inte upphandla cybersäkerhet i tron att det är plugg-and-play, något som du ansluter i väggen och sen skall det bara fungera. Det kräver handpåläggning för att det skall skydda det viktigaste verksamheten har, sitt varumärke. Bland Sveriges verksamheter råder en utbredd stoppa-huvudet-i-sanden-mentalitet där man dignar under massiva lagkrav, 140+ kontroller i olika standarder och normsystem samtidigt som man har noll insikt i vilka verktyg som verkligen driver affären eller har det affärsdrivna riskperspektivet för ögonen. Så du som har IT-säkerhet inhyrd via tredjepart eller sköter den själv, har du fullt förtroende för deras eller din egen förmåga, eller?
Cyberhygienen behöver här en lite mer djupare förklaring. Grundläggande cyberhygien är en verksamhet som verkligen förstår att sommar1234! inte är ett säkert lösenord. Cyberhygien innebär att ledningen inte stoppar huvudet i sanden och börjar räkna på hur många incidenter man mäktar med innan man måste investera i dyra lösningar. Cyberhygien är en verksamhet med tydliga mandat och roller, tydligt ägandeskap för cybersäkerhet. Cyberhygien är också en verksamhet som genomsyras av en säkerhetskultur där alla känner sig inkluderade och vågar fråga, medverka och även få förtroende för den egna förmågan att göra säkerhet. Passar din verksamhet in i denna bild, jobbar ni med tydliga och kommunicerade säkerhetsmål, eller?
Den organiserade och vardagsbrottsligheten frodas genom dålig cyberhygien i verksamheter och leverantörskedjor. Genom bristande förmåga hos verksamheter utnyttjar man allt från dåliga lösenord, usel efterlevnaden av regler och krav där dessa processer på sin höjd är en schemalagd aktivitet. Man utnyttjar obefintliga eller dåliga processer kring uppdateringar av hård- och mjukvara, inga backup-processer och ingen säkerhetskultur att prata om. Allt detta är ett smörgåsbord för brottslingar. Genom obefintliga kontroller av leverantörskedjan genom hela avtalstiden så blir detta en inkörsport till din verksamhet många förbiser. 2/3 av alla incidenter kan härledas till just leverantörskedjan. Och det är även här fokus från den organiserade brottsligheten ligger nu. I denna sektor ökar ransomware och malware lavinartat. För om verksamheter har dålig cyberhygien, då har deras leverantörskedja sannolikt ännu sämre. Och historien har visat att genom att angripa en leverantör med många kunder kan det få en virusliknande spridning att avkastningen för brottslingen kan öka tusenfalt. Rätt bra avkastning på arbetsinsats. Men du har ju koll på din leverantörskedja, eller?
Man måste alltså som en del i cyberhygienen också bekräfta att leverantörerna jobbar systematiskt med sin säkerhet, att de också har grundläggande cyberhygien. Alla idag är uppkopplade mot varandra, direkt eller indirekt. Det gör att vi alla sitter i samma båt. Det som drabbar en underleverantör kan drabba andra då denna leverantör levererar till mer än just dig som läser nu. Du måste alltså ha förtroende för att de har detta, nu och genom hela avtalstiden. Detta kräver processer och rutiner men framför allt tid. Detta måste alltså automatiseras och kunna presenteras för en ledning, de med ägandeskap för cybersäkerheten, så de förstår vad det förtroendet betyder och vad det innebär.
Robert Willborg, OneMore Secure
Men ta det lugnt. Du har ju redan koll och förtroende för din verksamhets cyberförmåga, verksamhetens cyberhygien och även din leverantörskedja, eller?
ANNONS
#cybersäkerhet
#onemoresecure
cyberhygien
Dela artikeln
Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik
Genom att klicka på "Prenumerera" ger du samtycke till att vi sparar och använder dina personuppgifter i enlighet med vår integritetspolicy.
Manage Consent
To provide the best experiences, we use technologies like cookies to store and/or access device information. Consenting to these technologies will allow us to process data such as browsing behavior or unique IDs on this site. Not consenting or withdrawing consent, may adversely affect certain features and functions.
Functional Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.