• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Den stora säkerhetsmissen kostar svenska verksamheter miljoner

-

Cybersäkerhet finns på alla agendor hos ledningar för svenska myndigheter och företag, eller borde i alla fall finnas där. Alla förstår att det behövs insatser och att kraven ständigt höjs. Men det räcker inte med hårt jobb och stora investeringar. Man behöver dra nytta av de lärdomar som andra redan har gjort.

Att jobba med cybersäkerhet är inte som att gräva diken. Det räcker inte med att slänga in fler deltagare i säkerhetsprojekten för att få jobbet gjort snabbare. Och framför allt inte bättre. Säkerhetsprojekt som inte är genomtänkta blir inte bara kostsamma och resurskrävande. De innebär sämre cybersäkerhet.

Det känns naturligt att sätta i gång omfattande säkerhetsprojekt, för att nå snabba resultat. Men tyvärr har många för bråttom med att börja implementera lösningar med specifika produkter och tjänster för cybersäkerhet. Risken för bristande cybersäkerhet på grund av ogenomtänkta lösningar är uppenbar.

Det finns oerhört mycket att vinna på att stanna upp en stund och undersöka vilka färdiga lösningar som finns tillgängliga. Det är inte så troligt att just det företag eller den myndighet du jobbar på är först med att hantera de säkerhetsproblem som behöver lösas. Genom att ta del av kunskap som finns tillgänglig går det att få till bättre säkerhetslösningar på kortare tid.

Det handlar om ramverk, regelverk och samlingar av specifikationer och anvisningar. Den mest kända samlingen är ISOs 27000-serie. NIST Cyber Security Framework är en amerikansk samling som är gratis att använda. Det finns även mer specifika samlingar, som till exempel ISA, eller IEC, 62443 för att säkra kontrollsystem och automationslösningar inom tillverkande industri. Klassa från SKR är ett verktyg för klassificering av IT-system med avseende på informationssäkerhet.

Ett ramverk som beskriver 20 viktiga områden att kontrollera vad gäller cybersäkerhet brukar kallas för CIS 20. Se beskrivningarna som en nyttig metod för att ta reda på aktuell status för cybersäkerhetsskydd och som en hjälp för att prioritera säkerhetsarbetet. Det fullständiga namnet på ramverket är The Center for Internet Security Critical Security Controls for Effective Cyber Defense. CIS 20 är enklare att komma ihåg.

Det här är bara några exempel, ta del av dem om det inte redan är gjort. Att följa anvisningarna och kontrollera att arkitektur och funktion överensstämmer med specifikationer av den här typen är en garanti för att säkerhetsarbetet går åt rätt håll. Att utgå från standardiserade specifikationer kan också underlätta kommunikationen mellan konsultföretag och kunder.

Varför används inte hjälp av den här typen mer, förutom att det kan upplevas som väldigt tids- och resurskrävande att ta del av den? En anledning är att de som behöver hjälpen inte vet om att den finns. Men allra troligast upplevs den inte ge några omedelbara resultat. Att installera en ny brandvägg ger en känsla av att säkerheten förbättras, som inte fås genom att kryssa av punkter i checklistor.

För ett konsultföretag som min arbetsgivare är det en stor fördel att jobba med kunder som förstår värdet av att ta del tillgänglig kunskap. Vi vet att vi bör undvika att uppfinna hjulet på nytt, om kunderna också förstår det kan vi tillsammans komma fram till bättre resultat, snabbare.

För organisationer som vill ta ett eget ansvar för cybersäkerhet är nyttan minst lika tydlig. Se ramverken och specifikationerna som handfasta tips om i vilken ände arbetet med cybersäkerhet bör inledas. Sedan väljer man själv hur mycket man ska förlita sig på dem under resans gång, man behöver inte följa specifikationerna slaviskt. De fyller alltid en funktion för att kontrollera att de insatser som görs är rimliga.

Resultatet blir bättre cybersäkerhet, billigare och snabbare.

Emanuel Lipschütz
CTO och Cybersäkerhetschef
Conscia Sverige AB

REKLAMSAMARBETE

The Clean Feed – en podcast om hur vi gör Internet lite säkrare 

Besedo är ett svenskgrundat kunskapsföretag, inriktat på att öka kvalitet, kundnytta och värde för företag som har användargenererat innehåll på webben. Bland kunderna i...

FLER NYHETER

Kombinationen av AI och ransomware måste möta motstånd

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.I dagsläget skapar inte AI främst nya cyberhot utan förstärker redan befintliga hot. Tekniken...

REKLAMSAMARBETE

Cybersäkerhetslagen: ”Små företag måste agera nu”

Med cybersäkerhetslagen tar Sverige viktiga kliv framåt för att skydda kritisk infrastruktur och samhällsfunktioner från cyberhot. Antalet sektorer som omfattas ökar och det är...

Datamulor kan frakta information åt Försvars­makten

Ny teknik gör att det går att använda allt fler informationskällor inom militär ledning, och mängden information som kan hämtas in ökar rekordsnabbt. Samtidigt...

REKLAMSAMARBETE

”Generativ AI är fullkomligt avgörande för effektiv cybersäkerhet – både nu och i framtiden”

Den 13 juni, klockan 9.30, bjuder Aktuell Säkerhet och SentinelOne in till ett frukostwebinar om hur du kan använda generativ AI för effektivare cybersäkerhet,...

Kaspersky Lab stänger ner sin verksamhet i USA

Handelskammaren menar att det föreligger en nationell säkerhetsrisk i att Ryssland ska kunna använda Kasperskys mjukvara för att spionera. Detta efter att de genomfört...

Utredning kring en förbättrad process för säkerhetsprövningar får tilläggsdirektiv

En särskild utredare har fått i uppdrag att bland annat överväga vilka krav som ska ställas på ett underlag vid en säkerhetsprövning, bedöma om...

REKLAMSAMARBETE

Ny hotaktör med fokus på ryska mål observerad – sprider sig nu till andra delar av världen

Kaspersky Lab skriver i sin rapport att gruppen använder sig av ett sofistikerat cyberspionageverktyg som används för övervakning, datainsamling och exfiltrering via Microsoft Graph,...

Granskning: Snowflake-attacken exempel på oroande trend inom cyberhot

Ett stort antal cyberattacker och dataintrång har präglat nyhetsflödet under 2024 – både i Sverige och globalt. Ett av de största angreppen upptäcktes i...

Efter kriget i Ukraina: Cyberrevanschism

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Ryssland har tagit rejält med stryk i kriget även om de ryska styrkorna lärde...

Ryssland laddar för OS i Paris med påverkanskampanj 

– Jag tror nästan säkert att vi kommer att få se rysk inblandning i sommar-OS. Allt sedan 2016 då Ryssland förbjöds att tävla under...

Han blir ny affärsområdeschef för Security hos Enaco

Rickard Hammarberg kommer närmast från en tjänst inom affärsutveckling hos Caverion. Med sin omfattande kunskap och expertis kommer Rickard att spela en central roll...

Regeringen har presenterat ny nationell säkerhetsstrategi

– När regeringen tillträdde för snart två år sedan var det med ett tydligt mandat att ta tag i Sveriges inre och yttre säkerhet....

Ny generaldirektör för IMY

Eric Leijonram är för närvarande chefsjurist på Finansinspektionen. Han har en bakgrund från bland annat domstol, Regeringskansliet och Kriminalvården. Utöver detta har Eric Leijonram...

Offentliga sektorn måste lära sig att hantera cyberattacker

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Sedan början av 2024 har flera svenska organisationer fallit offer för cyberattacker utförda av...

ASIS-sommarmingel med historiskt säkerhetsföretag

Jessica Fixelius bjöd på en kort presentation av Pinkerton som grundades i USA redan 1850 av Allan Pinkerton som världens första privatägda detektivbyrå. Företaget...

Uppdrag att utveckla samverkan med civilsamhället i det brottsförebyggande arbetet

– Brottsligheten måste bekämpas och förebyggas med hela samhällets samlade förmåga. Det civila samhällets organisationer erbjuder viktiga insatser på området och bidrar med erfarenheter...