På ISACA-dagen 2023, ett evenemang som sammanför experter inom IT och informationssäkerhet, sken strålkastarna extra starkt på Birgitta Landelius, som belönades för sitt framstående examensarbete. I detta blogginlägg delar Birgitta med sig av sitt arbete, de utmaningar hon mött och dess betydelse för framtiden inom informationssäkerhet. Vi dyker också ner i dagens höjdpunkter och de insikter som framkom, från AI:s dubbla egg till dataskyddets finstilta.
På ISACA-dagen den 23 november 2023 tog Birgitta Landelius emot pris för årets bästa examensarbete inom informationssäkerhet. ISACA-dagen är en traditionell konferensdag som hålls av ISACA Sweden Chapter under hösten varje år, där målet är att erbjuda möjlighet till nätverkande mellan medlemmar och en mix av spännande föredrag från gästtalare. Från Cybersäkerhet och juridik, representerades Knowit på plats av Birgitta Landelius och mig själv.
I den här bloggposten berättar Birgitta om sitt examensarbete, dess utmaningar och framtidsutsikter. Mer därtill sammanfattar vi även lite höjdpunkter från dagen och våra key take-aways.
Sedan 1969 har ISACA varit en drivkraft i att främja kunskap och bästa praxis inom IT-styrning, riskhantering och informationssäkerhet. Dagen ger uttryck för ISACA:s omfattande bidrag till vår bransch och erbjuder en unik möjlighet för den professionella världen att sammanstråla, dela insikter och utvecklas. Under ISACA-dagen arrangeras en rad presentationer kring högaktuella teman av experter inom respektive område. Mer om dessa senare, nu ska vi ställa några frågor till Birgitta:
Hej Birgitta! Kan du berätta lite övergripande om vad ditt examensarbete handlar om?
Mitt arbete handlar om uppföljning och utvärdering av informationssäkerhet inom de svenska myndigheterna. Mer specifikt valde jag att avgränsa mig till att undersöka våra beredskapsmyndigheter. Genom att analysera regleringsbrev levererade till myndigheterna och årsredovisningar skrivna av myndigheterna själva, tillsammans med intervjuer från ett antal myndighetsrepresentanter skapade jag en bild av hur uppföljning går till rent praktiskt, men även hur styrningen av arbetet fungerar. Utan att avslöja för mycket visar arbetet på att det främst är styrningen som är i behov av att förbättras.
Vad var den främsta inspirationen till ditt examensarbete?
Först och främst vill jag ju tacka Knowit och Åsa Schwarz som föreslog ämnet. Därefter modifierade jag detaljerna för att det skulle passa mina intressen och tidsram. När jag väl satte mig in i ämnet och insåg den problematik som finns med uppföljning och utvärdering av informationssäkerhet, speciellt för våra myndigheter växte en ingivelse fram i att försöka belysa myndigheternas situation. Det är lätt att som icke-insatt tro att myndigheter gör ett dåligt jobb, men så är inte fallet. Jag hävdar att det snarare är deras förutsättningar som är begränsade i form av tid och resurser. Om inte de förutsättningarna finns är det inte lätt att utföra ett så pass komplext arbete som uppföljning och utvärdering kan vara när det inte finns tydliga instruktioner kring hur det ska genomföras i praktiken.
Kan du berätta om några av de utmaningar du stötte på, och hur du övervann dem?
En utmaning var att bearbeta all dokumentation jag samlade in. I slutändan resulterade analysen i närmare 200 dokument där jag plockade ut relevant data baserat på kriterier. Det var det absolut mest tidskrävande momentet under arbetets gång. Men det jag tar med mig därifrån är att det var en väldigt lärorik process eftersom jag kunde skapa mig en bra förståelse kring informationssäkerhetsarbete i stort men även skillnader och likheter mellan olika organisationer. Med tanke på att det visade sig att insatsen belönades med ett ISACA-stipendium var det värt det.
Hur ser du att ditt examensarbete kan tillämpas i verkliga scenarion, och har du några planer för att vidareutveckla dina idéer eller forskning?
Eftersom resultatet och slutsatserna av mitt arbete stämde väl överens med Riksrevisionens rapport om regeringens informationssäkerhetsarbete tror jag att arbetet kan ligga till grund för att öka förståelsen kring vikten av uppföljning av informationssäkerhet. Uppföljning och utvärdering är bevisligen utmanande och därför behöver området uppmärksammas för att styrningen av uppföljning ska kunna bli mer enhetlig och förståelig.
För att avrunda Birgittas tankar kring sitt examensarbete, talar jag nog för hela Knowit när jag säger att vi är extremt stolta över Birgittas pris, och ser det som ett erkännande för den typ av spetskompetens som vi strävar efter att leverera.
Nu till dagen i övrigt som inleddes starkt med en presentation av Staffan Truvé, en av grundarna till Recorded Future – ett företag som specialiserat sig på AI-driven hotanalys. Den tekniska kapplöpningen mellan ”goda” och ”onda” aktörer inom AI-applikationer var ett centralt tema. Samtidigt som Staffan var tydlig med en rad potentiella risker med AI-utvecklingen var han försiktigt skeptisk till en reglering som ger de ”onda” en fördel. Logiken här är enkel, en kraftfull reglering är bara effektiv för de den träffar och för dem kommer AI-utvecklingen sannolikt att sakta ned, samtidigt som den fortsätter oförtrutet för övriga aktörer. Resultatet är ett ojämnt spelfält med fördel för de med potentiellt ”onda” avsikter.
Sedan kom Max Kollberg från Stratys och Johan Engdal från Delphi upp på scen för att hålla ett föredrag om dataskydd. Max inledde lite skämtsamt med kommentaren ”PuL var kul, men GDPR är roligare”. Lite senare fortsatte Johan, som är advokat, på det lättsamma spåret med kommentaren att han var väl medveten om att AI snart kommer att ta hans jobb. Mer allvarlig var observationen kring hur tillsynsmyndigheternas fokus ligger på strikt efterlevnad med relativt lite hänsyn till den riskbaserade approach som ofta premieras av både av konkreta föreskrifter och kompetenta konsulter.
Det var gott om pauser för att nätverka och fika. Några goda samtal och en kaffe med kaka senare var det dags för Jan Karlsson från Secure State Cyber att ta plats på scen för att tala om NIS2. Jan presenterade det vi vet om NIS2 så här långt, men kom även med nya insikter. Bland annat gällande att det med NIS2 kommer ske en förflyttning mot tillgänglighet av data, snarare än konfidentialitet kopplat till CIA-triaden. Det märktes att NIS2 är ett ämne som engagerar, när det öppnades upp för frågor var det många händer i luften och frågorna rörde allt från hur tredjepartsleverantörer ska hanteras, till hur Sverige kommer att applicera lagstiftningen i förhållande till andra medlemsstater.
Efter lunch slog Chris Dancy ned som en bomb på scen. Han kallas ibland för världens mest uppkopplade person, och han gav en fantastisk presentation med titeln ”Talking to deities: What happened when I created a God with my data”. Om man inte har sett Chris presentera innan så är det lätt att tappa hakan i den virvelvind av djup kompetens blandat med personliga anekdoter och finurliga slutsatser som levereras med en hänförande presentationsteknik. Det var svårt att med en mening eller två sammanfatta Chris presentation, och vi rekommenderar att se honom live. Underhållningsvärdet var högt och han lämnade oss med en hel del att tänka på kring big-data, privacy och vår roll i detta.
Som kontrast tog Alex Miller från Mazars därefter över med sin datadrivna och matematiska analys. Hennes slutsatser visualiserades med hjälp av bubbel-diagram á la Hans Rosling, som hon för övrigt nämnde som en stor inspirationskälla. Några intressanta punkter som Alex upplyste oss om var de geografiska skillnaderna över var i världen social engineering-attacker är vanligast att råka ut för. Hon tog även upp det faktum att ransomware-attacker är, och fortsatt kommer att vara det största hotet för företag och att vi sannolikt bara sett början. Här tog även Peter ton och ställde frågan kring mörkertalet för ransomware, att det sannolikt är ett ännu större problem än vad officiell statistik visar.
Dagen avslutades av Mark Thomas från Escoute Consulting som pratade om digitalt förtroende. Detta är ett synnerligen hett ämne som jag berört i tidigare blogginlägg som du kan läsa här. Vi diskuterade konceptet och gjorde ett försök till en svensk översättning av definitionen för digitalt förtroende som:
Förtroendet för integriteten hos relationer, interaktioner och transaktioner inom ett digitalt ekosystem. Det omfattar förmågan hos individer, organisationer, processer, information och teknik att skapa och upprätthålla en pålitlig digital värld
Mark flaggade även för det något försenade men högt efterfrågade ramverket för digitalt förtroende som utvecklas av ISACA. Ramverket kallas ”Digital Trust Ecosystem Framework (DTEF)”, och efter att ha fått en tjuvtitt på innehållet och upplägget så är förväntningarna lika stora som habegäret.
Efter en trevlig och lärorik dag återvänder vi till Göteborg. Det vi tar med oss är att dagen bjöd på blandade insikter – det fanns något intressant och användbart att ta del av för alla. Med det sagt kan vi inte urskilja en tydlig trend bland ämnena som presenterades – vilket vi ser som något positivt då det på så vis blev mer av allt. Vad vi är slående överens om är hur nöjda vi är med dagen i sin helhet, och att vi gärna kommer tillbaka nästa år för att lära oss nya saker och nätverka med trevliga branschkollegor.