Cybersäkerhetsnivån i samhället måste förbättras. Omvärldsläget och den senaste tidens it-incidenter som fått stora konsekvenser för en rad organisationer aktualiserar vikten av ökad förändringstakt. Nu visar MSB:s undersökning Infosäkkollen att hela sju av tio organisationer saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete. Drygt hälften av organisationerna i offentlig förvaltning deltog i undersökningen. Resultatet är något bättre än första gången undersökningen gjordes 2021, men mer behöver göras för att stärka upp säkerhetsarbetet.
Foto: Melker Dahlstrand
– Återigen konstaterar vi att förutsättningarna för att bedriva ett systematiskt och riskbaserat informations- och cybersäkerhetsarbete saknas utan ledningens löpande engagemang. För att kunna arbeta systematiskt över tid måste säkerhetsarbetet prioriteras och tilldelas resurser, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer på MSB.
Eftersom väsentlig förbättring uteblivit kvarstår och skärps de rekommendationer MSB tidigare har givit organisationer. För att informations- och cybersäkerhetsarbetet ska ta fart rekommenderar MSB:
- En särskild satsning gällande finansiering till informations- och cybersäkerhetsarbetet. Det är mer ekonomiskt hållbart att förekomma incidenter genom att förebygga dem, än att städa upp efter dem.
- Att säkerhetsarbetet bedrivs mer effektivt. Här finns en roll för näringslivet i att utveckla och tillhandahålla verktyg, teknologi och tjänster som kan bistå samhällsviktiga verksamheter i det systematiska informations- och cybersäkerhetsarbetet.
- En särskild satsning gällande finansiering för att stödja CISO. CISO-rollen har ansvar för informationssäkerhetsarbetet i en organisation. Pengarna rekommenderas gå till att utveckla samverkan med motsvarande funktioner i andra organisationer för gemensamt lärande och ökad förbättringstakt. Det måste paras med att ledningar ger CISO det mandat som krävs för att ha den styrande och samordnande roll som arbetet kräver.
– För ett motståndskraftigt samhälle, särskilt utifrån nuvarande säkerhetspolitiska läge, är det avgörande att det finns dedikerad personal som har det mandat och de resurser som krävs för att stärka informations- och cybersäkerhetsarbetet i samhällsviktiga verksamheter, säger Mathias Antonsson, senior analytiker med samordningsansvar för den strategiska cybersäkerhetsanalysen på MSB.
Sammantaget framkommer en bild av att organisationsledningarna inte engagerar sig, prioriterar eller resurssätter förbättringsarbetet i den utsträckning som krävs. Förutom brister i budgetering syns avsaknaden av resurser även gällande personal. Av de som rapporterade in Infosäkkollen angav nästan hälften att de arbetar med informations- och cybersäkerhet motsvarande ungefär 25 procent.
– För ett motståndskraftigt samhälle, särskilt utifrån nuvarande säkerhetspolitiska läge, är det avgörande att det finns dedikerad personal som har det mandat och de resurser som krävs för att stärka informations- och cybersäkerhetsarbetet i samhällsviktiga verksamheter, säger Mathias Antonsson, senior analytiker med samordningsansvar för den strategiska cybersäkerhetsanalysen på MSB.
Det positiva är att för de organisationer vars ledningar engagerat sig i säkerhetsarbetet ses ett bättre resultat i Infosäkkollen. Så med ett ökat engagemang och tillförsel av resurser kommer förbättring.
