Cybersäkerhet finns på alla agendor hos ledningar för svenska myndigheter och företag, eller borde i alla fall finnas där. Alla förstår att det behövs insatser och att kraven ständigt höjs. Men det räcker inte med hårt jobb och stora investeringar. Man behöver dra nytta av de lärdomar som andra redan har gjort.

Att jobba med cybersäkerhet är inte som att gräva diken. Det räcker inte med att slänga in fler deltagare i säkerhetsprojekten för att få jobbet gjort snabbare. Och framför allt inte bättre. Säkerhetsprojekt som inte är genomtänkta blir inte bara kostsamma och resurskrävande. De innebär sämre cybersäkerhet.
Det känns naturligt att sätta i gång omfattande säkerhetsprojekt, för att nå snabba resultat. Men tyvärr har många för bråttom med att börja implementera lösningar med specifika produkter och tjänster för cybersäkerhet. Risken för bristande cybersäkerhet på grund av ogenomtänkta lösningar är uppenbar.
Det finns oerhört mycket att vinna på att stanna upp en stund och undersöka vilka färdiga lösningar som finns tillgängliga. Det är inte så troligt att just det företag eller den myndighet du jobbar på är först med att hantera de säkerhetsproblem som behöver lösas. Genom att ta del av kunskap som finns tillgänglig går det att få till bättre säkerhetslösningar på kortare tid.
Det handlar om ramverk, regelverk och samlingar av specifikationer och anvisningar. Den mest kända samlingen är ISOs 27000-serie. NIST Cyber Security Framework är en amerikansk samling som är gratis att använda. Det finns även mer specifika samlingar, som till exempel ISA, eller IEC, 62443 för att säkra kontrollsystem och automationslösningar inom tillverkande industri. Klassa från SKR är ett verktyg för klassificering av IT-system med avseende på informationssäkerhet.
Ett ramverk som beskriver 20 viktiga områden att kontrollera vad gäller cybersäkerhet brukar kallas för CIS 20. Se beskrivningarna som en nyttig metod för att ta reda på aktuell status för cybersäkerhetsskydd och som en hjälp för att prioritera säkerhetsarbetet. Det fullständiga namnet på ramverket är The Center for Internet Security Critical Security Controls for Effective Cyber Defense. CIS 20 är enklare att komma ihåg.
Det här är bara några exempel, ta del av dem om det inte redan är gjort. Att följa anvisningarna och kontrollera att arkitektur och funktion överensstämmer med specifikationer av den här typen är en garanti för att säkerhetsarbetet går åt rätt håll. Att utgå från standardiserade specifikationer kan också underlätta kommunikationen mellan konsultföretag och kunder.
Varför används inte hjälp av den här typen mer, förutom att det kan upplevas som väldigt tids- och resurskrävande att ta del av den? En anledning är att de som behöver hjälpen inte vet om att den finns. Men allra troligast upplevs den inte ge några omedelbara resultat. Att installera en ny brandvägg ger en känsla av att säkerheten förbättras, som inte fås genom att kryssa av punkter i checklistor.
För ett konsultföretag som min arbetsgivare är det en stor fördel att jobba med kunder som förstår värdet av att ta del tillgänglig kunskap. Vi vet att vi bör undvika att uppfinna hjulet på nytt, om kunderna också förstår det kan vi tillsammans komma fram till bättre resultat, snabbare.
För organisationer som vill ta ett eget ansvar för cybersäkerhet är nyttan minst lika tydlig. Se ramverken och specifikationerna som handfasta tips om i vilken ände arbetet med cybersäkerhet bör inledas. Sedan väljer man själv hur mycket man ska förlita sig på dem under resans gång, man behöver inte följa specifikationerna slaviskt. De fyller alltid en funktion för att kontrollera att de insatser som görs är rimliga.
Resultatet blir bättre cybersäkerhet, billigare och snabbare.
Emanuel Lipschütz
CTO och Cybersäkerhetschef
Conscia Sverige AB