2018-07-11

Cyberhoten växer – så skyddas din organisation

Patrik Ahlgren från Försvarsmakten, Jacob Henricson, Foreseeti och Sarah Backman från Secana Cyber Security, diskuterade hur organisationer kan förbättra cybersäkerheten.

Avsätt resurser, utbilda och öva. Det är de tre fundamentala experttipsen på hur man höjer cybersäkerheten i en organisation.
– Det första och viktigaste är att ledningen har en tydlig uppfattning om vad som är värt att skydda och det ska vara ända ner på detaljnivå, säger Jacob Henricson, Head of Professional Services på IT-säkerhetsföretaget Foreseeti.

Tillsammans med Patrik Ahlgren från Försvarsmakten, och Sarah Backman, cybersäkerhetskonsult på Secana Cyber Security diskuterade Jacob Henricson hur organisationer förbättrar sin cybersäkerhet under Cyberförsvarsdagen i Stockholm.

– Grunden för oss är att vi har försvarbara och uppdaterade system. Förmågor som krävs för att ha ett cyberförsvar är att övervaka systemen och detektera intrång, hantera pågående intrång och konsekvenserna av intrången, menade Patrik Ahlgren från Försvarsmakten.

Grundläggande cyberhygien
Sarah Backman använder begreppet cyberhygien som är ett förhållningssätt där man inte utsätter sig för onödiga risker och är medveten om de hot och risker som finns. Hon fick med sig Jacob Henricson i resonemanget.

– Man ska ha långa lösenord som är unika, man ska ha krypto, man ska patcha sina miljöer, man ska ha ”security awareness”. Vi vet det och ändå gör inte alla det. Varför är det så? Jo för att det räcker med att en inte gör det så blir hela systemet sårbart.

Patrik Ahlgren menar att det är viktigt att inte satsa allt på en lösning.

– Är du en bank – ha två betalningslösningar. Två andra tips är kontinuitetsplanering och reservmetoder. Det är det man plockar fram när det blir svart, förklarade han.

Var pengarna satsas är viktigast
Patrik Ahlgren anser att varje myndighet och företag har ett eget ansvar för säkerheten i sina system och att upptäcka och detektera intrång. Jacob Henricson håller med men vill ta det ett steg till:

– Jag tror att det är viktigt att varje medarbetare inom en organisation känner ett eget

ansvar också men ytterst är det så klart chefer och ledning som bär ansvaret.

Sarah Backman betonade att cybersäkerheten rimligen får kosta mer om det handlar högre säkerhet än vad man har på sin egen hemdator. Jacob Henricson hänvisade till statistik som visar att organisationer i regel lägger 4 till 7 procent av omsättningen på IT-säkerhet.

– Inom försvarsindustrin finns det bolag som satsar 30-40 procent av sin budget på säkerhet men ändå blir hackade, så det är ingen absolut siffra. Men ligger man under 4-7 procent så når man nog inte upp till hygiennivån. Nyckeln är var man lägger pengarna specifikt och då tror jag att det är viktigt att ha helt klart för sig vad man ska skydda och lägga alla insatser där, konkluderade han.

Outsourcing
Anne-Marie Eklund Löwinder från Internetstiftelsen Sverige medverkade också på Cyberförsvarsdagen. Hennes fokus var outsourcing som hon anser vara en riskfaktor om den inte förbereds och utgörs på rätt sätt.

– Myndigheterna gör inte en tillräckligt bra analys om IT-verksamheten ska utföras inom de egna myndigheterna eller hos en extern leverantör. Många myndigheter saknar relevant beställarkompetens, sa hon.

Anne-Marie Eklund Löwinder anser att Transportstyrelsen-skandalen ledde till en av de största kritiska situationerna som Sverige har haft i modern tid i det digitala samhället.

– Ett lyckat outsourcingprojekt tar ungefär 18-24 månader i en medelstor organisation, det är inget man gör på en kvart eller ett halvår. Det kräver jättemycket förberedande arbete om det ska bli bra, fastslog hon.

Måste skriva bra avtal
Anne-Marie Eklund Löwinder menar att det självklart för med sig vissa risker att outsourca men att man genom outsourcing även hanterar vissa risker – det handlar om att omfördela riskbilden.

– Vi tappar lite kontroll och den måste vi ta tillbaka genom att skriva väldigt bra avtal och överenskommelser. Vilka frågor behöver vara belysta om outsourcingen ska bli lyckad? Det du inte har frågat efter kommer du heller inte att få.

Outsourcing väcker enligt Anne-Marie Eklund Löwinder frågor som: ska vi, kan vi, bör vi och de besvaras bäst genom att man gör sin analys och tittar på vad man har för information som behöver hanteras.

– Vad är det värsta som kan hända, hur ont gör det och hur långt tar det innan det börjar göra ont?

Gör risk- och sårbarhetsanalyser
Anne-Marie Eklund Löwinder uppmanar även IT-branschen att ta mer ansvar. Hon menar att den delvis blundar för problemen med offentlighets- och sekretesslagen samt för frågor som rör hantering av hemlig data och offentlig förvaltnings behov av en bra krisförmåga.

– Molntjänster är här för att stanna. Många är bra men det finns också spelare med bristande rutiner, så utvärdera kvaliteten och säkerheten på alla nivåer på dem som ni tittar närmare på och ha inte bråttom.

– Och titta inte bara på kostnaden, ni måste ha bättre motiv och bättre argument för att outsourca än att bara spara pengar. Gör risk- och sårbarhetsanalyserna, vad blir konsekvenserna för er och er information och agera efter det, sa hon avslutningsvis.


Leverantörer
Till toppen av sidan