Under en Rundabordet-diskussion med representanter för myndigheter och näringsliv böljade samtalet mellan olika spännande frågor och det framkom att det är mycket på gång nu.

– Vi jobbar bland annat på en nationell strategi för cybersäkerhet och på Europanivå har vi NIS-direktivet som syftar till att höja den nationella IT-säkerhetsförmågan, berättar Charlotte Svensson, statssekreterare hos inrikesminister Anders Ygeman.

Sårbarheten ökar

De konstaterade att sårbarheten i samhället har ökat betydligt då vi litar alltmer till digitala system som är uppkopplade.

Vi i Sverige har en rätt naiv inställning till säkerhet

– Sårbarheten gäller alltifrån funktionen hos allmänna samhällsfunktioner, som järnväg och flyg, till det lilla företaget som kan bli av med företagshemligheter, förklarar Richard Oehme, chef för Cybersäkerhet på MSB.

Enligt Richard Livijn, vd på SPN AB som arbetar med outsourcing, har vi i Sverige en rätt naiv inställning till säkerhet. Man handlar upp en IT-tjänst och reflekterar inte tillräckligt över att styrningen av verksamhetssystemet och data kanske plötsligt befinner sig utom kontroll, exempelvis borta i Indien.

Det vanligaste problemet

Det finns en fara i att många tror att IT-säkerhet handlar om att skydda sig från olika typer av intrång eller fientliga attacker och inte bygger upp något skydd då man inte tror sig vara i riskzonen.

– Men det vanligaste problemet idag är vanliga driftsavbrott, numera främst från problem med systemen själva i form av exempelvis en krånglande uppdatering som går fel och släcker ner hela system, enligt Annica Bergman, chef för nätsäkerhetsavdelningen på PTS.

Utmaningarna

Alla runt bordet var helt överens om att ett av de största problemen idag är att medvetenheten hos både företag och privatpersoner är alltför låg gällande vilka risker som finns med den ökande digitaliseringen.

– Ett annat problem är att vi i Sverige varit alltför inriktade på att hitta tekniska skyddslösningar och missat en del när det gäller själva informationssäkerheten, konstaterade Charlotte Svensson.

Hur skyddar vi oss?

I diskussionen om hur man bäst skyddar sig kom många förslag från enkla övningar till avancerade krypteringslösningar.

– Men, börja med vår enkla guide i digitalt självförsvar, där finns det grundläggande, sa Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS.

För företag är det viktigast att man inser att det inte går att skydda allt, utan man måste göra en inventering av vad som faktiskt är skyddsvärt och sedan skapa ett lämpligt skydd för de delarna, vilka är guldäggen som måste skyddas.

När man väl identifierat guldäggen gäller det att värdera typ av risk om det gäller tillgänglighet, riktighet eller konfidentialitet.

– Och besluten kring vad som ska skyddas måste ske på ledningsnivå efter en grundläggande riskanalys, det är bara där rätt prioriteringar kan göras, förklarar Richard Oehme.

När man väl identifierat guldäggen gäller det att värdera typ av risk, om det gäller tillgänglighet, riktighet eller konfidentialitet. 

– Och sedan finns egentligen bara ett sätt att skydda dem på och det är genom kryptering vid källan och att se till att man själv sitter på nycklarna, förklarar Anne-Marie Eklund-Löwinder.

De andra höll med om det i stort, men lyfte även värdet av att i vissa sammanhang jobba i datanät som inte är uppkopplade. Exempelvis om man jobbar med en produktutveckling man inte patenterat ännu.

Även upphandlingsverktyget kan användas genom att göra säkerhetsaspekter till ska-krav vilket skulle sålla bort en del billiga lösningar som inte har med dem.

Övning ger färdighet

Slutligen gäller det att alltid se till att det för viktiga funktioner finns en redundans, olika typer av reservsystem.

– För några år sedan gick alla riksdagsledamöters telefoner ner, nu har man lärt av den läxan och har alltid två parallella operatörer igång, berättade Richard Livijn.

Det finns idag ett glapp mellan försvarets avancerade kryptering och en mer generell

Ett bra sätt att höja skyddsnivån är också att öva på olika krissituationer, både hur ledningen hanterar situationen, hur systemen hanteras och kolla att redundansen fungerar. Övningarna behöver inte vara omfattande och kostsamma, det är bättre att göra flera korta och mindre.

– Övningar är ett mycket viktigt verktyg, men ofta förbisett. Hur övar de exempelvis på säkerhetsaspekter i kommunerna, frågade sig Annica Bergman.

Framtiden

För framtiden är det viktigt att säkerhetstänket integreras i utbildningar på universitet och högskolor, inte minst i ingenjörsutbildningarna.

De tror också att allt går mot mer allomfattande kryptering, men det kan vara svårt att välja rätt nivå.

– Det finns idag ett glapp mellan försvarets avancerade kryptering och en mer generell. FMV har fått uppdrag att i samverkan med ett antal andra myndigheter utreda hur det glappet kan fyllas, berättade Richard Oehme.

Richard Livijn påpekade då vikten av att alla de utredningar och rapporter som tas fram av myndigheter synliggörs så de som jobbar med frågorna dagligen kan få bättre vägledning.