Brister och beroenden i säkerhetsarbetet
Ett starkt cybersäkerhetsarbete kräver struktur, kompetens och tydliga prioriteringar – men många verksamheter kämpar med brister som kan få allvarliga konsekvenser. Riskerna visar sig på flera nivåer, från otillräcklig kravställning vid upphandling till svårigheter att hantera molntjänster och kompetensbrist. Samtidigt ökar hoten, vilket understryker vikten av ett systematiskt, dynamiskt och långsiktigt säkerhetsarbete som inkluderar både tekniska lösningar och organisatoriska insatser.
Avsaknad av ett strukturerat säkerhetsarbete
Cybersäkerhet är en central del av allt säkerhetsarbete i dagens digitaliserade samhälle. Nästan alla verksamheter förlitar sig på digital information och tjänster, men arbetet med cybersäkerhet är ofta otillräckligt i förhållande till de hot och risker som finns.
Bristande säkerhetsarbete innebär risktagande
Ett bristande säkerhetsarbete kan få allvarliga konsekvenser. Röjande av känslig information kan skada individer, medan manipulation eller skador på system kan hota hela verksamheten. Säkerhetsarbetets framgång avgörs i hög grad av ledningens inställning. Det är avgörande att ledningen inte bara tar ansvar utan även stödjer och följer upp säkerhetsåtgärderna. Detta ansvar måste tydliggöras på alla nivåer inom organisationen.
Ett systematiskt förhållningssätt
Ett systematiskt säkerhetsarbete börjar med att identifiera verksamhetens skyddsvärden, analysera hot och risker, och fastställa nödvändiga åtgärder. Säkerhetsarbetet måste vara kontinuerligt, eftersom verksamheter och hotbilder förändras över tid. Detta innebär att säkerhet inte är en engångsinsats, utan en dynamisk process som kräver regelbunden uppföljning och anpassning.
Hantera nya teknologier
Utvecklingen av ny teknik ställer krav på verksamheter att förstå och bedöma dess påverkan på säkerheten. Teknik introduceras ofta gradvis, vilket gör det svårt att fastställa exakt när säkerhetsanalyser behövs. Därför är det viktigt att kontinuerligt granska tekniska förändringar och deras inverkan på tidigare säkerhetsbedömningar.
Regelverk och säkerhet
Lagstiftning ställer krav på cybersäkerhet och skapar enhetlighet i tillämpningen. Eftersom lagar måste vara generella för att passa många verksamheter är det organisationens ansvar att tolka och implementera dessa krav i enlighet med sina unika förutsättningar.
Kravställning vid upphandling och utkontraktering
En tydlig och välformulerad kravställning är en förutsättning för en lyckad upphandling. Att kravställa cybersäkerhet kräver kompetens, både när det gäller anskaffning av varor och tjänster samt vid utkontraktering av it-infrastruktur.
Med rätt kravställning kan utkontraktering vara en säkerhetshöjande åtgärd, särskilt för verksamheter som inte själva har möjlighet att upprätthålla tillräcklig kompetens eller resurser. Många svenska verksamheter, både offentliga och privata, utkontrakterar därför delar av sin it-infrastruktur till externa tjänsteleverantörer.
Om flera leverantörer eller underleverantörer delar på ansvaret för den utkontrakterade it-infrastrukturen kan det bli svårare att säkerställa en kontinuerlig och enhetlig säkerhetsnivå. Tydliga avtal och hänvisningar till etablerade standarder och regelverk, kan underlätta både för kunder och leverantörer att uppfylla säkerhetskrav.
Molntjänster – möjligheter och utmaningar
Molntjänster är en vanlig form av utkontraktering där verksamheter hyr resurser istället för att själva investera i hårdvara och mjukvara. Detta kan omfatta allt från enskilda applikationer till hela it-infrastrukturer.
Användningen av molntjänster innebär ofta att verksamheten överlåter kontroll över system och data till leverantören, vilket kan begränsa insynen och försvåra övervakning av säkerhetsåtgärder. Samtidigt har molnleverantörer ofta hög kompetens inom säkerhet och tillgång till avancerade lösningar som kan vara svåra att upprätthålla inom en egen organisation.
Med rätt analys, kravställning och kontroll kan molnlösningar bedömas som både attraktiva och säkra, beroende på verksamhetens behov. Det är dock avgörande att tydligt definiera säkerhetskrav, följa upp leverantörens arbete och säkerställa att insyn och kontroll inte går förlorade.
Säkerställa relevant kompetens inom cybersäkerhet
Det råder stor brist på kompetens inom cybersäkerhetsområdet. I Sverige finns högt tekniskt kunnande, men det är inte tillräckligt för att möta behovet. Det innebär att arbetsgivare behöver öka sina insatser för att rekrytera, utveckla och behålla personal med denna kompetens. Att utveckla egna utbildningsprogram, eller köpa utbildningar, och att kontinuerligt upprätthålla kompetensen för att följa teknikutvecklingen är kostsamt men nödvändigt.
Samtidigt finns ett behov av att höja grundkompetensen och medvetenheten om cybersäkerhet hos alla medarbetare. Även ledningsgrupper behöver kompetens för att prioritera och driva arbetet med hänsyn till cybersäkerhet. Bristen på kompetens inom cybersäkerhet är dock inte ett svenskt fenomen - det är globalt.
En föränderlig hotbild
Metoder och verktyg för cyberangrepp utvecklas kontinuerligt, och angripare använder sig ofta av de enklaste metoder som kan uppnå önskat resultat. I många fall är avancerade metoder onödiga, eftersom många mål fortfarande har grundläggande säkerhetsbrister. Exempelvis kan nätfiske, lösenordsangrepp och utnyttjande av okorrigerade sårbarheter vara tillräckliga för att angriparen ska lyckas.
Den nuvarande säkerhetsbilden kan liknas vid att många organisationer har ”låsta entrédörrar men olåsta källarfönster.” Detta illustrerar behovet av ett holistiskt säkerhetsarbete där alla nivåer av organisationen bidrar till att minska sårbarheter och stärka skyddet.