För att kunna skydda sig mot hoten i det föränderliga landskapet behöver beslutsfattarna på våra offentliga verksamheter förstå cybersäkerhetens kritiska plats i verksamheten och arbeta mer med sin säkerhetsmognad.
Det kan räcka med ett enda klick på en länk för att slå ut hela system och därmed läcka information som kan hota såväl medborgarnas förtroende som den nationella säkerheten.
För ett tag sedan kunde vi läsa om att Kalmar kommun drabbats av en omfattande cyberattack, där hackare fick tillgång till samtliga 7 000 anställdas användarnamn och lösenord – en av den senaste tidens många attacker mot offentlig verksamhet. Om inte kommunen lyckats stänga ute den hotande aktören hade händelsen kunnat få förödande konsekvenser.
Under mina år i branschen har jag ofta märkt att verksamheter har svårt att orientera sig inom cybersäkerhet. I en undersökning som gjorts gällande cybersäkerhetsmognad i offentlig sektor svarar nästan sju av tio, 67 procent, av de tillfrågade att de har bristande kompetens inom säkerhet. Bristfällig cybersäkerhet handlar ofta om brist på tre saker: förståelse, kompetens och inte minst pengar.
Endast hälften, 50 procent, av verksamheterna inom offentlig sektor anser att cybersäkerhet är en av de viktigaste prioriteringarna för verksamheten. Samtidigt ökar mängden cyberangrepp, under 2023 rapporterades 334 incidenter – nästan lika många som under 2021 och 2022 tillsammans.
De som ansvarar för kritisk infrastruktur och viktiga samhällsfunktioner behöver ha viss kompetens inom säkerhet för att kunna identifiera och agera på hot. Det är viktigt att skapa medvetenhet kring vilka konsekvenser en potentiell attack kan få. Vad händer om vi blir utsatta för en cyberattack och våra offentliga verksamheter slås ut? Helt plötsligt kan samhällskritiska funktioner som sjukvård, äldrevård, skola och energiförsörjning stå på spel.
När jag träffar en offentlig aktör som vill bygga upp sitt cybersäkerhetsskydd är det viktigt för mig att förstå hur de har bedömt sin nuvarande säkerhetsförmåga, samt förstå vilka behov och utmaningar den enskilda organisationen står inför.
Nedan är några inledande saker att ha koll på för den som arbetar inom offentlig sektor med ansvar för cybersäkerhet:
- Förstå att cybersäkerhet inte enbart kan vara en it-fråga. Cybersäkerhet är en fråga som måste upp på styrande nivå. Vi hör ofta om it-avdelningar på offentliga verksamheter, som söker stöd både finansiellt och strukturellt från ledningen, för att öka förståelsen och samtidigt kunna arbeta mer proaktivt. Det styrande och operativa arbetet bör ligga i linje med varandra för ökad beredskap genom hela värdekedjan. Cybersäkerhet behöver även vara en del av hela ledningens riskhantering, speciellt när nya lagar som NIS2 driver på framflyttningen.
- Hur ser säkerhetsmognaden ut? Bedöm nuläget. Hur ser beredskapen ut i dag – kan det dagliga arbetet fortsätta vid en eventuell attack? Verksamheter, oavsett privat eller offentlig, behöver känna till såväl svaga som starka punkter, och veta vad som är extra viktigt att prioritera i händelse av en kris. Utan denna kunskap riskerar verksamheter att både förlänga och fördjupa krisläget. Vi kan se att verksamheter som är mer säkerhetsmogna ofta prioriterar det strategiska perspektivet före det tekniska behovet.
- Prioritera att stärka cybersäkerhetsnivåerna strukturellt och maskinellt. Åtgärder och prioriteringar behöver diskuteras. Vilken kompetens bör finnas internt och vad kan externa resurser hjälpa till med? Vad är viktigt att börja med och hur mäter vi att vi uppnått önskvärd effekt? Här behövs ofta extern hjälp för att analysera rätt och göra rätt prioriteringar. Mitt tips är att ta in experter som har tillgång till aktuell information om hot och har en bredd i både kunskap och erfarenhet. Det är nämligen här cybersäkerhetsbehoven kopplas samman från två perspektiv, verksamheten med det tekniska.
För att bygga upp ett starkt skydd mot cybersäkerhetsangrepp behöver man ofta hjälp, men du som är ansvarig behöver också se till att din verksamhet har en grund att stå på och kan hantera den egna beredskapen. Först när man har en tydlig bild av sitt nuläge och beredskapen finns på plats, kan man börja se över om och var man behöver hjälp. För även om det alltid bör finnas teknisk intern kunskap och beredskap som ett paraply ovanpå verksamheten, är cybersäkerhet ett samhällsproblem som kräver ett kollektivt ansvar. Ni tar hand om samhället – men vem tar egentligen hand om er?
Kåre Nordström
Sverigechef
Orange Cyberdefense
Kommentatorerna ansvarar för sina egna kommentarer