Cybersäkerhet – våra främsta rekommendationer just nu
Cybersäkerhet handlar inte bara om att identifiera hot, utan om att bygga motståndskraft. Under cybersäkerhetsmånaden 2024 vill vi ta tillfället i akt att fokusera på konkreta lösningar som hjälper organisationer att stärka sitt skydd. Istället för att lyfta utmaningar ger vi praktiska råd och tips baserade på vår erfarenhet inom cybersäkerhet och juridik. Våra experter delar med sig av sina bästa rekommendationer för hur organisationer kan arbeta proaktivt och effektivt för att skydda sig mot framtida risker och vara delaktiga i att bygga en digital värld där alla kan känna sig trygga.
I oktober varje år är det cybersäkerhetsmånad. En kampanj från EU:s cybersäkerhetsorgan ENISA, och i Sverige driven nationellt av MSB, för att uppmärksamma vikten av cybersäkerhet. 2022 uppmärksammade vi också cybersäkerhetsmånaden och skrev ett blogginlägg om de största utmaningarna inom cybersäkerhet just nu, så här började det:
I den ena vågskålen har vi krig, pandemier och energikris. I den andra har vi snabb digitalisering, en teknikutveckling som börjar likna en science fiction-film och kampen för en grönare miljö. Oavsett om det är förskräckliga orsaker eller önskan om att sträva mot en bättre värld, så har cybersäkerhet blivit den viktigaste byggstenen i vår digitala framtid.
Det slår mig när jag läser blogginlägget att många, om inte alla, av de utmaningar som min kollega Åsa Schwarz, författare och säkerhetsexpert på Knowit, lyfte då är minst lika aktuella idag. Cyberhoten är fortfarande lika allvarliga – om inte värre, det nya rättsliga landskapet i och med EU:s satsning på Digital Decade (NIS 2, AI Act, CRA, Data Act och så vidare) rullar ut nya lagstiftningar i rask takt och bristen på kompetens är ett ständigt problem. Visst blir man lite matt?
Så här avslutade Åsa sitt inlägg:
Det finns tusentals säkerhetsprojekt som har stupat på att försöka lösa alla säkerhetsproblem på en gång. Vi kommer bara hinna med de absolut viktigaste.
Vad är det absolut viktigaste på cybersäkerhetsområdet för organisationer just nu?
Tommy Wahlman, senior informationssäkerhets- och säkerhetskonsult som arbetat med NIS-regleringen i sju år, säger:
"Informationssäkerhet är en central del i alla verksamheters digitaliseringsresa, en förmåga som stärker förtroendet hos både kunder och samarbetspartners. Genom att se medarbetare som en strategisk tillgång, där medarbetarna är utbildade och engagerade i säkerhetsfrågor, kan organisationer minska riskerna för dataintrång, störningar i produktionen eller leverans av tjänst. När medarbetarna aktivt deltar i att identifiera och hantera risker, skapas ett starkare skyddsnät. Detta ger inte bara ökad säkerhet utan även en konkurrensfördel genom högre innovationsförmåga och effektivare verksamhet."
Jan T. Bjørnsen, senior informationssäkerhetskonsult med expertis inom Governance of Enterprise IT, säger:
"Ett starkt och omfattande ledningssystem för informationssäkerhet som tar hand om Governance of Enterprise IT (GEIT) är nödvändigt för att uppnå efterlevnad av olika lagkrav så som NIS2, GDPR och SOX; samt standarder som ISO 27001, ISO 27701, CIS Controls, etc. Ledningssystemet måste omfatta IT-förvaltning, IT-drift och informationssäkerhet samt innehålla procedurer, riktlinjer och instruktioner. För att implementera och förvalta ledningssystemet behövs en plan; och en plan för genomförandet av planen."
Jannika Törnqvist, senior jurist på Knowit med särskilt fokus på dataskydd och digitalisering, säger:"Det blir allt viktigare med djupare kunskap utöver de frågeställningar som traditionellt faller inom det egna specifika kompetensområdet. För inte bara jurister innebär detta bland annat att förstå den teknologiska utvecklingen och dess påverkan på det gällande rättsläget, särskilt inom områden som dataskydd och cybersäkerhet. Goda kommunikationsfärdigheter är nödvändiga för att på ett klart och tydligt sätt kunna förklara komplexa frågor för personer med andra erfarenheter och kvalifikationer, vilket i sin tur stärker effektiviteten och stabiliteten hos den egna organisationen. Ytterst är fokus på frågor om etik och socialt ansvar avgörande för att framgångsrikt hantera moderna juridiska utmaningar inom cybersäkerhet, både för den egna organisationen och samhället i stort."
Mikael Hermansson, cybersäkerhetsspecialist på Knowit och särskilt inriktad på IAM, säger:
"Identity and Access Management (IAM) är hjärtat i en säker digital verksamhet. Det viktigaste för organisationer just nu är att säkerställa att rätt personer har rätt tillgång till rätt resurser vid rätt tidpunkt. Genom att implementera robusta IAM-lösningar kan organisationer inte bara skydda sina data och system från obehörig åtkomst, utan också förbättra användarupplevelsen och effektiviteten. En stark IAM-strategi minskar risken för säkerhetsincidenter och hjälper organisationer att uppfylla regulatoriska krav, vilket i sin tur stärker förtroendet hos kunder och partners. Att investera i IAM är att investera i organisationens framtid."
Åsa Schwarz, cybersäkerhetsspecialist och affärsutvecklingschef för säkerhetstjänster på Knowit, säger:
"Vi måste snabbt få kontroll över behörigheter, informationsklassning och våra data för att kunna dra nytta av den stora potential som artificiell intelligens har. Annars kommer vi antingen bli omkörda av våra konkurrenter eller så kommer säkerhetsavdelningen bli överkörd av verksamheten."
Oskar Edbro, senior säkerhetskonsult på Knowit med fokus på säkerhet i utvecklingsorganisationer, säger:
"Penetrationstestning befinner sig i en tid av betydande förändring. Efter den stora AI-vågen har antalet AI-drivna system ökat kraftigt, vilket i sin tur har skapat ett större behov av att testa dessa system. Den ökade komplexiteten i AI-system innebär att penetrationstestare nu ställs inför nya och mer sofistikerade utmaningar. Det krävs inte bara nya tekniker och metoder för att identifiera sårbarheter, utan också en djupare förståelse för hur AI-modeller fungerar och kan manipuleras."
Peter Stiernstedt, informationssäkerhetskonsult på Knowit och doktor i kriminologi, säger:
"Den största utmaningen – och möjligheten – inom cybersäkerhet är och förblir att hantera den mänskliga faktorn. Det räcker inte med tekniska lösningar, vi måste skapa en säkerhetskultur där alla i organisationen är medvetna om riskerna, vet hur och förstår varför de ska agera. Genom att driva beteendeförändring och kontinuerligt utbilda medarbetare kan vi minska risken för mänskliga misstag och bygga ett starkare, mer resilient skydd. Säkerhet måste bli en naturlig del av arbetsvardagen, inte bara något som IT-avdelningen ansvarar för."
Vilket råd tar du fasta på? Som ni ser finns ingen enkel checklista, men ett gemensamt tema står klart: säkerhet måste högt upp på agendan. Utan att prioritera cybersäkerhet, riskerar vi att sakna förutsättningarna för både effektiv utbildning av medarbetare och ett robust ledningssystem. Säkerhet är inte längre bara IT-avdelningens ansvar – det är en fråga för hela organisationen.
Utforska gärna tidigare uppskattade blogginlägg på cybersäkerhetsområdet:
- Vår bloggserie om IAM i åtta delar
- Produktsäkerhet i OT-sektorn
- Vår bloggserie om hot mot AI-system
- Om vikten av ett ledningssystem för informationssäkerhet
- Hantering av tredjepartsrisker
- Styrelseledamöters ansvar för cybersäkerhet
- Ansvaret för efterlevnad av NIS2 i kommunal verksamhet
- Systematiskt dataskyddsarbete
- Lösenordsfri inloggning
-
Digital Decade – Ett rättsligt landskap i förändring (din portal till alla inlägg vi skrivit om EU:s nya regelverk)
Och slutligen, för dig som vill vidareutbilda dig inom cybersäkerhet har vi sammanställt kurser och utbildningar inom ramen för rapporten Nationell kompetensförsörjning inom it-, informations- och cybersäkerhet (2023). Ta del av materialet här.