Ett utmärkt initiativ som alla säkerhetsintresserade bör läsa

Under 2019 aviserade regeringen i sina regeringsförklaringar att man planerar för ett nationellt center för att öka informations- och cybersäkerheten som ska ge stöd för hur verksamheter i privat och offentlig sektor kan skydda sig mot cyberattacker. På så vis vill man ”stärka Sveriges samlade förmåga att förebygga, upptäcka och hantera antagonistiska cyberhot mot Sverige och minska cybersårbarheterna”. Låter det trist? det är det inte.

Ett förslag till handlingsplan är inlämnat från Myndigheten för samhällsskydd och beredskap (MSB), Försvarets radioanstalt (FRA), Försvarets materielverk (FMV), Försvarsmakten, Post- och telestyrelsen (PTS), Polismyndigheten och Säkerhetspolisen. Tanken är att centret ska vara i full gång 2025.

För oss som arbetar med teknisk säkerhet är detta högaktuellt och det finns mycket intressant att läsa. Jag kan rekommendera två rapporter som tagits fram av dessa myndigheter: Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden samt Cybersäkerhet i Sverige – Rekommenderade säkerhetsåtgärder. Det är faktiskt väldigt intressant läsning, med flera verkliga fall som du nog känner igen.

Mycket handlar om ett rent it-säkerhetsperspektiv, men den traditionella säkerhetsbranschen och IT-branschen smälter nu ihop när allt fler säkerhetsprodukter är IP-baserade och informationen lagras digitalt i allt högre utsträckning.

Några intressanta reflexioner

Den första är att det blir väldigt tydligt att detta är något som hela vår bransch måste agera på. Frågorna berör i högsta grad både privata och offentliga verksamheter och vänder sig till dig som arbetar med cybersäkerhet, men är även intressant för andra beslutsfattare och företagsledningar.

För Sveriges del är skyddet av vårt land i centrum, där rapporten ger en inblick i de hot som finns och vad de innebär. Jag koncentrerar mig här mer på det som berör privat och offentlig verksamhet, inte de militära säkerhetshoten. De är dock reella och allvarliga, vilket rapporten visar. MSB och Försvarsmakten har varit mycket tydliga med att de cyberförsvarsåtgärder man kommer inrätta inte är tänkta att kunna försvara hela samhället. Om våra brottsbekämpande myndigheter och försvarsmakten skall lyckas i sina uppdrag bygger det på att vi inom det privata näringslivet tillsammans med kommuner och privatpersoner tar vårt ansvar för att undvika att bli lätta byten eller lämpliga ingångar för intrång som kanske inte bara syftar till ett angrepp på det enskilda företaget eller kommunen utan även syftar till samhällsomstörtande störningar.

Kunskap och innovation

Sverige är byggt på innovation och det gör att t ex företag, organisationer och akademi blir intensivt uppvaktade av aktörer som försöker komma över kunskap illegalt. Men det rör sig även om stater som helt enkelt försöker stjäla bankers pengar. Trycket ökar konstant och vi får inte vara naiva i dessa frågor.

Människan är ett hot

Det vi i säkerhetssektorn traditionellt arbetat med har varit individer som försökt bryta sig in och stjäla värden. När värdena blir digitala och allt svårare att angripa via internet så inriktar man sig på att få någon från insidan att föra in skadlig kod. Det kan exempelvis vara via mobiler och USB-minnen. Eller man rekryterar helt enkelt någon för att få tillgång till känslig information. Då krävs att teknisk säkerhet och IT-säkerhet arbetar sömlöst för att skydda värdena. Majoriteten av alla säkerhetsbrister står vi människor fortfarande för och de flesta fallen är inte speciellt sofistikerade, vilket tyvärr ger en tråkig bild över hur lättpåverkade vi är som människor. Samspelet mellan tekniska åtgärder och robusta interna processer kommer att vara nyckeln för att göra det lättare att göra rätt och inte bli en del av problemet.

Det saknas struktur i säkerhetsarbetet

Det visar sig att cybersäkerheten i Sverige inte är på topp, och när man genomför granskningar så lever man inte upp till ställda krav. Man pekar i rapporten på att effektiviteten av ett säkerhetsarbete till stor del beror på ledningens inställning. Vilket vi känner igen även från den traditionella säkerhetsbranschen – och man slår fast att säkerhetsarbete är en dynamisk process som aldrig blir klar.

Svårt att klara kraven för en enskild organisation

En annan viktig aspekt, som givetvis vi på STANLEY Security stöder, är att ”Det är svårt för vissa verksamhetsutövare att på̊ egen hand uppfylla de krav som ställs på säkerhet. En lösning för dessa verk­samheter kan vara att utkontraktera sina behov till en tjänsteleverantör som har bättre möjligheter att möta säkerhetskraven. Genom att utkontraktera dessa delar av verksamheten kan verksamhetsutövarna lägga ett större fokus på sin kärnverksamhet samtidigt som cybersäkerheten blir bättre”.

Risker i praktiken– och rekommenderat arbetssätt

I rapporten med åtgärder beskriver man de praktiska riskerna och säger att ”På samma sätt som organisationen t ex har larm i sina lokaler och bevakning för att upptäcka inbrott eller brand, behöver organisationen ha åtgärder för att upptäcka intrång och oavsiktliga händelser i sin IT-miljö”.

Man rekommenderar också ett arbetssätt som vi på STANLEY Security är väl bekanta med, nämligen att: ”Organisationen bör skaffa sig förmågan att upptäcka säkerhetshändelser i IT-miljön så tidigt som möjligt. Detta sker ofta i form av en funktion som utför säkerhetsmonitorering, även kallad SOC (Security Operations Center). Detta kräver att det finns personal som har till uppgift att övervaka händelser i IT-miljön. Övervakningen kan ske genom egen personal eller genom att avtala tjänsten med en leverantör”.

I vår satsning på nordiska hostingtjänster så är detta grunden för vårt erbjudande. Att kunna vara en partner som tar ansvar för helheten och gör det både effektivare och säkrare än den egna organisationen. Ett annat skäl är att vi kan erbjuda certifierade experter med lång erfarenhet. Det råder en stor brist på kompetens inom cybersäkerhetsområdet, och den ser ut att hålla i sig i många år framöver.

Jag avslutar med ett citat från rapporten: ”Det är bättre att börja smått och göra framsteg än att känna sig överväldigad av uppgiften och inte göra någonting”. 

Jag kunde inte ha uttryckt det bättre.

 

Tom Vetterlein.jpg

Tom Vetterlein  
Product Manager SOC Services