Alla måste tänka på cybersäkerhet

När Finland började förbereda processen med att gå med i Nato så ökade cyberattackerna med utpressningshot fyra gånger om. Även i Sverige så har vi nyligen sett en stigande trend av cyber-attacker.

Robert Lingemark.

Under 2024 har det skett en ökning av Ransomeware-as-a-Service, en tjänst där hackare erbjuder sina tjänster/system och som gör cyberattacker tillgängliga för dem med minimal IT-kunskap. (Exempelvis Akira ransomewere) Dessa attacker, som i allt högre grad använder AI, är inriktade på att lamslå verksamheter genom att kryptera hela IT-system och lagrad information.

Säkerhet är inte längre ett projekt för IT-avdelningen att ta hand om, det är något som hela organisationen måste ha kunskap om och arbeta med. Det räcker inte att bara uppfylla lagliga cybersäkerhetsstandarder man måste vara proaktiv och tänka kreativt för att anpassa sig efter hur attackerna förändras. 

Robert Lingemark är vd för Sofigate Sverige, som arbetar med företag, kommuner och organisationer, både i Finland och Sverige med säkerhet och IT-lösningar. OFFENTLIGA AFFÄRER ställde några frågor till honom med anledning av rådande läge på säkerhetsområdet. Frågor och svar har förmedlats skriftligt via E-post.

Varför är det avgörande att man ser säkerhet som en del av kärnverksamheten där alla medarbetare måste vara engagerade?

På senare tid har vi sett en betydande ökning av cyberattacker i Norden. Denna eskalering av digitala hot, särskilt efter Finlands inträde i NATO vilket resulterade i en fyrfaldig ökning av cyberattacker, visar på ett paradigmskifte. Cybersäkerhet är inte en IT-fråga utan en grundläggande affärsangelägenhet. 

Idag räcker det inte med att endast uppfylla lagstadgad standard för cybersäkerhet. Vi måste betrakta cybersäkerhet som en central del av verksamheten och inte bara som en fråga för IT-avdelningen. En omfattande och strategisk cybersäkerhetsplan, skräddarsydd efter verksamhetens behov och kontinuerligt anpassad till utvecklingen av digitala hot, samt en väl fungerande operationell modell är avgörande.

Cybersäkerhet handlar lika mycket om människor som om teknik. Det är av största vikt att skapa en miljö där varje medlem i organisationen förstår vilken roll de spelar för att upprätthålla säkerheten – det är inte längre bara IT-avdelningens ansvar. Detta kräver utbildning av medarbetarna där de får lära sig att känna igen och reagera på potentiella hot.

Utbildningen bör vara kontinuerlig och uppdateras regelbundet för att vara relevant över tid. Rutiner kopplade till säkerhet i den dagliga verksamheten bör prioriteras och varje anställd ska fungera som en mänsklig brandvägg mot cyberhot. Ledningen bör föregå med gott exempel och förstärka budskapet att säkerhet är avgörande för verksamheten. Med detta sagt måste arbetet med att stärka säkerheten alltid ske utifrån kärnverksamhetens syfte och inte försvåra mer än nödvändigt för användaren. För offentliga verksamheter är det av största vikt att kunna tillgodose brukarnas behov, även om man attackeras, och detta kräver noggrann planering och träning. 

I dag läggs ett stort fokus på att leva upp till regulatoriska krav, och många organisationer har av goda skäl starkt fokus på att just leva upp till dessa. Här ska dock understrykas att det inte på något sätt finns likhet med att leva upp till regulatoriska krav och då per automatik ha en hög säkerhetsnivå. Det krävs även att man tänker kreativt och har en tydlig plan för hur organisationen ska operera sin verksamhet i olika scenarier.

Organisationer med en stark operationell förmåga investerar ofta i följande: 

  1. Att rekrytera, utbilda och behålla talangfulla medarbetare.
  2. Teknologi och digitalisering: Att investera i den senaste teknologin för att digitalisera verksamhetsprocesser, öka effektiviteten, förbättra kund- och medarbetarupplevelsen.
  3. Cybersäkerhet: Förstärkning av cybersäkerheten för att skydda företagets data och IT-infrastruktur mot cyberhot och dataintrång. Ha en god bild av operationella flöden vilket är avgörande i en tid av ökade cyberattacker.
  4. Försörjningskedjans motståndskraft: Diversifiering av leverantörer och investeringar i försörjningskedjans motståndskraft för att minimera riskerna med leveransavbrott. Detta kan innefatta att ha flera leverantörer, lagerhållning av kritiska komponenter och användning av teknologi för att förbättra synligheten i försörjningskedjan.
  5. Företagskontinuitet och riskhantering: Utveckling av robusta planer för företagskontinuitet och riskhantering för att hantera oväntade händelser och kriser, inklusive naturkatastrofer, ekonomiska nedgångar och andra externa händelser.
  6. Hållbarhet och socialt ansvar: Investeringar i hållbara affärssystem och initiativ som stöder miljöskydd, social rättvisa och etiskt företagande. Detta förbättrar inte bara företagets image utan bidrar också till långsiktig hållbarhet.

Vad bör man tänka på när det gäller säkerhet och vid upphandling av tjänster?

Svaret är direkt kopplat till verksamhetens syfte och till den tjänst som ska upphandlas. Det finns många fall där organisationer lägger alldeles för mycket fokus på försöka minimera risker men missar då även vilka risker man tar. Ett exempel är när organisationer börjar återgå till att ha tjänster på den egna IT-infrastrukturen i stället för att ha dem i molnet.  

 Antag att en upphandling av en tjänst ska ske som rör en primärprocess för organisationen i fråga. Då är följande checklista en bra utgångspunkt:

  1. Riskbedömning: Innan upphandling – identifiera och analysera risker relaterade till den tjänst som ska upphandlas och risker relaterade till vald leverantör. Det inkluderar leverantörens säkerhetshistorik och förmåga att hantera data säkert. Överväg potentiella cyberhot och dess sannolikhet samt konsekvenser.
  2. Samarbete mellan IT och inköp: Inköpsavdelningen bör samarbeta nära IT- eller IT-säkerhetsavdelningen för att säkerställa att tekniska och säkerhetsmässiga aspekter inkluderas i beslutsprocessen. Detta säkerställer att upphandlade tjänster är både kostnadseffektiva och säkra. Kanske är detta en av de viktigaste delarna!
  3. Utbildning och medvetenhet: Höj medvetenheten om cybersäkerhet inom organisationen genom regelbunden utbildning för alla anställda. Detta bör omfatta hur man känner igen och hanterar cyberhot som nätfiske. Simulerade cyberattacker kan användas för att förbättra personalens förmåga att hantera hot.
  4. Uppdatering och underhåll: Upprätthåll regelbundna uppdateringar och underhåll av alla system. Detta bör ingå i serviceavtal med leverantörer, med krav på regelbundna säkerhetsuppdateringar.
  5. Hållbarhetsprinciper: Integrera hållbarhetsprinciper i upphandlingen för att inte bara bidra till miljön utan också förbättra cybersäkerheten. Återbrukad eller robust utrustning kan exempelvis vara mindre sårbar för angrepp.
  6. Framtidsorientering: Med snabba teknologiska framsteg, särskilt inom AI och maskininlärning, måste organisationer ständigt uppdatera sina cybersäkerhetsstrategier för att skydda sig mot nya hot. Detta inkluderar investering i avancerade säkerhetslösningar som kan förutse och neutralisera hot innan de orsakar skada. Det är alltså viktigt att få en bild av hur leverantören jobbar med just denna fråga.

Berätta gärna om den utveckling som sker inom området cybersäkerhet.

Investeringar i säkerhet och cybersäkerhet kommer fortsättningsvis vara i fokus. De teknologiska framstegen, såsom artificiell intelligens (AI), maskininlärning och Internet of Things (IoT), erbjuder nya verktyg för både försvar och angrepp, vilket driver fram en dynamisk utveckling inom cybersäkerhet. Men just automatisering och att på ett kostnadseffektivt sätt stärka den operationella förmågan är prioriterat. Detta gör att operationella modeller och förståelse för dessa samt utbildning kommer att prioriteras.