Cybersäkerhet – våra största utmaningar just nu
I den ena vågskålen har vi krig, pandemier och energikris. I den andra har vi snabb digitalisering, en teknikutveckling som börjar likna en science fiction-film och kampen för en grönare miljö. Oavsett om det är förskräckliga orsaker eller önskan om att sträva mot en bättre värld, så har cybersäkerhet blivit den viktigaste byggstenen i vår digitala framtid. Den 1 oktober startade cybersäkerhetsmånaden och jag ska försöka sammanfatta var vi står idag och vad som händer runt hörnet.
Det som är riktigt roligt är att medvetandet om vikten av cybersäkerhet har ökat på alla nivåer och CEOer anger att det allvarligaste hotet mot tillväxt är kopplat till cyberrisker. Antalet styrelseledamöter med kompetens inom området växer både inom den privata och offentliga sektorn och CISOs når allt oftare ledningsnivå. Det konstiga är att det är först nu vi ser den här utvecklingen. Vi i Norden är några av väldens mest digitala länder och har för länge sedan passerat punkten då vi kan återgå till vad som på 90-talet kallades för manuella rutiner. Trots detta fanns det för 10 år sedan nästan inget intresse alls bland ledande befattningar för frågorna.
Om vi sedan tittar på marknadsutvecklingen har cybersäkerhet växt mellan 10–15% de senaste tio åren. Det varierar lite på definition och undersökningsföretag men trenden har varit densamma och det mesta tyder på att det ska fortsätta så de närmaste tio åren också, och att en positiv utveckling sker inom nästan alla områden.
Men vilka är våra största utmaningar just nu?
1. Det största hotet inom cyber någonsin
I dagsläget utför ett antal utländska stater cyberoperationer i Sverige där Ryssland, Kina och Iran är högst på listan. Förutom den digitala brottsligheten som står för den största andelen av medvetna attacker. Pengar är den allra största drivkraften bakom cyberbrott men att vi nu har krig i Europa förändrar balansen.
När kriget bröt ut i Ukraina började en kraftsamling som jag aldrig sett tidigare inom de flesta organisationer som är viktiga för vårt samhälle. Det är väldigt positivt att fokus är större än någonsin och med målsättningen att få ett robust samhälle och uthålliga företag. Det här gör också att fler än någonsin arbetar inom området säkerhetsskydd, dvs verksamheter och system som är viktiga för hela Sverige. Anledningen till att det sker är inte lika roligt.
Om du är intresserad av vad modern krigsföring innebär och att lära av intressanta scenarier så rekommenderar jag dig att läsa Cyber Peace Instituts lista över attacker mot Ukraina för att släcka ner samhällsviktiga funktioner och skapa oro bland medborgarna. Kan något av detta ske i din organisation och vilka av dina system är viktiga för vårt samhälle?
2. Ett helt nytt legalt landskap
EU har utnämnt 2020–2030 till ”The Digital Decade” med målsättningen att öka it-kompetensen, digitalisera både privat och offentlig sektor samt skapa säker och hållbar digital infrastruktur. Bara inom cyberområdet utvecklas ett stort antal lagar och riktlinjer som t ex AI Act, NIS 2.0, Dora, Data Act och Cyber Reciljence act.
Det här innebär att jurister numera måste vara med i affärs- och systemutvecklingsprojekt för att din organisation ska ha möjlighet att navigera rätt och det kan såklart upplevas som snårigt. Men du som lyckas med det kan få stora fördelar framför dina konkurrenter.
3. Stor brist på medarbetare med cyberkompetens
Den internationella statistiken på arbetsmarknaden är inte lika rolig; 76% anger att det är svårt att eller mycket svårt att rekrytera medarbetare inom området och 44% att det ger en negativ påverkan på affärsverksamheten. Personligen skulle jag bedöma att vi i Norden skulle behöva mellan 40–50% fler personer inom området. Anledningen är enkel, branschen har inte tagit sitt ansvar och utvecklat nya talanger i den hastighet som marknaden växt. Till exempel har ingen av våra samhällsviktiga myndigheter varit i närheten av att bidra i samma hastighet som behovet växt utan man har fortsatt anställa medarbetare med enbart lång arbetslivserfarenhet.
Det som däremot är positivt är att utvecklingen har börjat vända, både när det gäller att tillsammans få in mer unga inom området men också kring skapandet av en mer diversifierad arbetsmiljö, föreläsningsscen och även när det gäller uttalanden som experter i media.
För att hantera detta behöver man ha en plan för att försörja sin organisation med kompetens inom cybersäkerhet.
4. Tredjepartsrisker
Både affärsliv och systemberoende blir alltmer komplexa och numera är du beroende av dina leverantörers leverantörers leverantörers it -system. Det här är något som gemene man blev medveten om förra sommaren när Coop fick stänga sina butiker över landet. Egentligen var det inte deras system som fallerat utan en av deras underleverantörers underleverantör Kaseya som blivit utsatta för ransomware, dvs deras system hade blivit kidnappade genom kryptering.
Det är nu viktigare än någonsin att veta vilka beroenden en organisations viktigaste processer har och att få kontroll över säkerheten hos leverantörer i hela kedjan.
5. Artificiell intelligens
Artificiell intelligens, i dess breda definition, arbetar nu nästan alla organisationer med. Chatbotar, robotar, självkörande bilar, beslutsstödsystem – listan kan göras lång. Enligt definitionen i ai-förordningen ingår egentligen allt som har med maskininlärande att göra och lite till. AI kan vara ett kraftfullt redskap att förbättra vårt samhälle men vi måste försäkra oss om att det görs på ett sätt som inte blir skadligt eller farligt för oss. Man kan se på t ex ai-system som spelar datorspel att de snabbt kan bli bättre än oss människor men också att de löser problem på annat sätt som vi inte skulle kunna tänka ut. Här i ligger en av riskerna – att vi t ex utvecklar en städrobot med uppgiften att städa ett hus men att den sedan inser att det är människorna som skräpar ned. Jag som thrillerförfattare kan komma på ett antal mer eller mindre slut på den historien.
Det tillkommer också andra risker som kanske inte är lika dramatiska men dock allvarliga, som t ex risken för bias och diskriminering eftersom ai lär sig av data som diskriminerar. Där finns t ex exemplet på när Amazons rekryteringsverktyg efter en stund bara visade välbetalda jobb för män.
Först ut i EUs satsning på vårt digitala decennium kommer ai-förordningen som delar upp ai-system i system med oacceptabel risk, hög risk, begränsad risk och låg risk. För dig som arbetar med frågorna, skulle jag rekommendera dig att börja titta på den redan nu.
6. Den digitala identiteten
Alla känner vid det här laget till BankID och hur vi som privatpersoner kan identifiera oss, men i många organisationer finns system från årtionden bakåt med olika typer av inloggningsfunktioner och sätt att identifiera användare på. I den bästa av världar ska din information om dig som person bara finnas på ett ställe och du ska få tillgång till det du behöver beroende på tidpunkt, plats och allt annat som kan vara väsentligt. Nu är det inte så, vilket resulterar i allt fler organisationer driver stora IAM-projekt för att få en säkrare verksamhet, lättare samarbete med partners och minska kostnader för incidenter och helpdesk. (IAM=Identity Access Management). Det finns också en stark trend mot lösenordfria lösningar där vi slipper problem med att personer inte förstår vikten av att vara aktsamma om sina koder vilket genom tiderna varit ett av de störta säkerhetsproblemen. Vi kommer ytterligare belysa det här området i en bloggserie under säkerhetsmånaden.
7. Ransomware
Ransomware har ökat stadigt de senaste åren och är en stor risk för både affärsverksamheter, som t ex Coop som jag nämnt tidigare, men också samhällsviktiga verksamheter som t ex sjukvården. Under pandemin gick det att mäta att både dödlighet och risken för komplikationer ökade i sjukhus som utsattes. En bra utgångspunkt för att skydda sig mot ransomware är traditionell cyberhygien med uppdaterade system, bra arkitektur och användare som inte klickar på vad som helst. Men också ett fokus på att det ska finnas rutiner för att återstarta system och kopior som är fristående från systemet i drift. Vad du än gör, betala inte lösensumman för då kommer bovarna tillbaka och begär högre summa nästa gång. Ingen vill ju heller finansiera kriminella gäng.
8. DevSecOps
De flesta organisationer har gått från att arbeta i vattenfall till att arbeta med DevOps, dvs att ett team ansvarar för utveckling och drift av en viss funktion. Ur säkerhetsynvinkel är det bra eftersom fel inte ramlar mellan stolarna och man släpper hela tiden mindre uppdateringar vilket gör att inte koden trasig. Men däremot så ökar behovet av automatiska säkerhetstest och säkerhetskompetens i teamen.
9. Katastrof- och incidenthantering
Våra system, verksamheter och organisationer blir mer komplexa för varje dag som går. Det gör att antalet incidenter kommer att öka, hur duktiga vi än blir på säkerhetsfrågor.
Däremot kan vi minska effekten av dem rejält med att planera och öva inför dem. Det gäller inte bara att få igång sina viktiga processer med tillhörande system men att också ha en minst lika bra plan för att kommunicera med kunder, medarbetare, myndigheter och media.
10. Förnybar energi
Den stora energikrisen som just nu pågår i kombination med den globala uppvärmningen gör att alla branscher måste dra sitt strå till stacken. Vi genomförde därför två exjobb inom säkerhet i solceller samt tredjepartsrisker inom vindkraft. Det vi upptäckte då var att man inom solceller, som i mycket är digitala, har en väldigt liten insikt i vikten av cybersäkerhet. Problematiken var en annan inom vindkraft där de som utvecklade kontrollsystem för vindkraft utvecklade system med säkerhetstänk medan de som sedan implementerade och driftade dem hade för låg kunskap och följde inte instruktioner och anvisningar.
Den här listan kan egentligen göras mycket längre och om några år kommer vi få brottas med säkerhetsutmaningar med Augmented Reality, Metaverse och rymden. Men jag tror den viktigaste lärdomen är att våga ta risk och välja bort. Det finns tusentals säkerhetsprojekt som har stupat på att försöka lösa alla säkerhetsproblem på en gång. Vi kommer bara hinna med de absolut viktigaste.