2019-04-30

"Informationssäkerheten inom näringslivet ska stärkas"

Richard Oehme, Director Societal Security, PwC Sverige

"Statsministern har i regeringsförklaringen deklarerat att ett nationellt center ska upprättas för att öka informations- och cybersäkerheten. Det är rimligt att anta att de centrala myndigheterna med ansvar för dessa frågor kommer att ingå. Att sedan näringslivet ska representeras borde vara självklart och då framförallt de viktiga aktörerna från energi- och telekomsektorerna", skriver Richard Oehme, Director Societal Security, PwC Sverige, i en debattartikel i SecurityUser.

Inom myndighetsvärlden ökar nu också kraven på informationssäkerhet. Detta är bra eftersom det är nödvändigt med åtgärder, men det är långt ifrån tillräckligt för att bygga ett skydd för vårt näringsliv.

I ett land med drygt en miljon företag, där de flesta är små och medelstora, krävs det medvetna skyddsåtgärder på ett helt annat sätt än vad som skett fram tills nu. Alla företag, på alla nivåer, måste nu ta ett nytt grep för att skydda sin information.

2018 var ett återigen ett omtumlande år när det gäller informations- och cybersäkerhet och 2019 har inletts på samma sätt. Attacker och incidenter fortsätter att öka i antal och omfång med stora konsekvenser för berörda organisationer, såväl direkt ekonomiskt som i form av sargade varumärken med minskat förtroende bland kunder och investerare som följd.

Trycket på företagsledningar bör därför öka när det gäller att investera mer i informations- och cybersäkerhet. Riskerna ökar också i takt med att organisationer blir allt mer beroende av tredje part i leveransen av IT-tjänster.

Exempel på när samhällsviktig och kritisk infrastruktur har påverkats var när de stora globala bolagen Maersk och Fedex drabbades av IT-attacker som riktades mot bland annat energiförsörjningen i Ukraina för några år sedan. Därför behöver det ställas hårdare krav på leverantörer av IT-tjänster och andra samarbetspartners.

Vi kan konstatera att de flesta säkerhetshändelser som vi idag hanterar kunde ha förhindrats, eller konsekvenserna avsevärt begränsats, om organisationer genomfört ett elementärt informationssäkerhetsarbete. När det gäller små och medelstora företag så finns det en hel del lågt hängande frukter där man med relativt enkla säkerhetsåtgärder kan höja sin förmåga. Nu finns det också ett ramverk (norm) framtaget av SSF i samarbete med bland andra MSB, Polisen, Svensk Försäkring, Svensk Handel och Svenskt Näringsliv som man kan utgå ifrån.

För större företag krävs det ett mer långsiktigt strategiskt tänk och investeringar samt ett engagemang från ledning och styrelse. Det krävs då att organisationer både investerar i att bygga upp teknisk skyddsinfrastruktur och göra processer säkrare. För alla, oavsett storlek, gäller att man även skapar en säkerhetskultur genom utbildning av medarbetare.

En annan central del är att ha en kontinuitetsplan. Vad gör vi när våra viktigaste tjänster inte fungerar? Vilka reservförfaranden har vi etablerat? Nästa steg är att se till att öva, öva och ytterligare öva med dessa planer som grund. Dessa övningar ska anpassas utifrån de behov som företagen har.

Är det ett litet bolag så kan de räcka med att sätta sig ner och diskutera vilken central information som existerar och vilka beroenden som finns till andra leverantörer. Är man ett större bolag så behöver detta ske mer strukturerat genom att först göra en risk- och sårbarhetsanalys, alternativt en säkerhetsskyddsanalys om verksamheten omfattas av säkerhetsskyddslagen. Här identifierar man kritiska verksamheter eller tjänster som måste fungera, utifrån detta prioriteras sedan organisationens arbete.

Många organisationer har flera leverantörer som på olika sätt är starkt integrerade med den egna IT-miljön och i vissa fall är hela ansvaret för den IT-infrastruktur och tjänster man nyttjar outsourcad. Här har vi sett flera exempel på bristande ansvar och oklarheter kring vem som ansvarar för vad när en IT-incident sker. Här behöver leverantörernas förmåga avseende incidenter tydliggöras, dokumenteras och testas likväl vem som ansvarar för vad vid en incident.

Dessutom bör tjänsteleverantörer vara skyldiga att upprätthålla aktuell dokumentation om infrastrukturen och göra den snabbt tillgänglig om det skulle behövas.

Till sist vill jag avsluta med några konkreta punkter att ta fasta på inför framtiden för att informationssäkerheten inom näringslivet ska stärkas:

• Näringslivet måste bli bättre på att se informations- och cybersäkerhet som en verksamhetskritisk fråga och inte isolera den till en IT-fråga.

• I medelstora och större bolag måste denna fråga in i styrelserummen.

• Olika branschorganisationer bör kunna ta ett större ansvar för att utveckla specifika råd och rekommendationer för sin bransch.

• Medarbetarnas kunskap om cybersäkerhet måste stärkas, för ofta är det just bristande kunskap hos enskilda individer som leder till incidenter.

Richard Oehme
Director Societal Security
PwC Sverige


Leverantörer
Ändra marknad
Till toppen av sidan
Stäng