I en ny och allt mer digitaliserad värld, så förvärras företagens och samhällets sårbarhet. Då är det dags att ta ett nytt grepp kring säkerheten.

– Förr eller senare inträffar incidenter och utan en proaktiv digital säkerhet kommer kundernas och allmänhetens förtroende att naggas i kanten. Det har vi inte råd med om vi vill fortsätta utveckla våra företag och våra samhällen, säger Anne-Marie Eklund Löwinder, informationssäkerhetschef på Internetstiftelsen i Sverige (IIS) och en av Sveriges främsta digitala säkerhetsexperter.

I takt med att vi digitaliserar och centraliserar våra kontrollmiljöer, så öppnar vi oss också för fler sårbarheter och helt nya angreppsytor.

– Just nu stirrar industri och företag sig blinda på effektivisering, utan att egentligen förstå vad digitaliseringen ska tjäna till. Det handlar faktiskt inte bara om att spara pengar, utan med digitaliseringen så förändras även våra processer och hur vi arbetar i grunden. I takt med att proces-serna optimeras måste vi också förstå vilka nya risker som därigenom skapas. Dataintrång och informella dataläckage kan bli förödande för företagen. De kriminella har redan förstått att här finns stora pengar att tjäna och vi upplever just nu en global ökning av antalet dataintrång och databrott, säger Anne-Marie Eklund Löwinder, informationssäkerhetschef på Internetstiftelsen i Sverige (IIS).

Säkerhetsmedvetandet varierar

Komplexiteten är idag så stor att det egentligen är omöjligt att helt skydda sig från alla tänkbara hot.

– Men det går att värdera och hantera risker och det är något företagen måste fokusera på, säger Anne-Marie Eklund-Löwinder.

Idag varierar den digitala säkerheten stort ute i industrin.

– Men även om det finns ett riskmedvetande, så har vi människor en förmåga att bortse från eventuella hot och att inte alltid göra de långsiktiga konsekvensana-lyser som krävs och är nödvändiga. Det kommer att kosta att bli riktigt digital. Det ligger i människans natur att hellre släcka bränder än jobba förebyggande, säger Anne-Marie Eklund Löwinder.

Digital trygghet

Själv väljer hon helst att använda begreppet digital trygghet istället för digital säkerhet.

– Det är ett talande begrepp som regeringen har lanserat. Digitaliseringen är i sig bra och det är vår strävan på Internet-stiftelsen att alla människor ska vilja, våga och kunna använda internet och att de när de gör det också ska känna sig trygga. För att nå dit jobbar vi mycket med folkbildningsinsatser, bland annat via skolan, för att höja den digitala kompetensen.

Digital trygghet är dessutom en förutsättning för en god arbetsmiljö och en säker arbetsplats.

– Om arbetsgivarna inte är tydliga mot arbetstagarna om vad de får och inte får göra, så existerar ingen personlig säkerhet och trygghet. Det är lätt för anställda att råka illa ut om de inte känner till att de gör något fel. Därför är det viktigt att skapa en gedigen känsla av digital trygghet i företagen, säger Anne-Marie Eklund Löwinder.

Samarbeta med HR

De flesta attacker idag bygger inte på teknik, utan på social ingenjörskonst. Genom manipulation luras människor att lämna ut information som de inte borde. Det är något angriparna är experter på och för att hålla jämna steg med dessa måste organisationerna bli lika bra på att förstå hur människor fungerar och varför de gör som de gör.

– Beteendevetenskap är en kompetens som fler organisationer borde prioritera och se till att ha i huset. Det är ju ett kontinuerligt arbete och ett behov som inte försvinner, så därför bör ledningarna även involvera HR i detta säkerhetsarbete. De som jobbar där är ofta bra på beteendefrågor. Sedan gäller det att också vara uthållig, kommunicera med medarbetarna och pedagogiskt berätta om risker och varför företaget har vissa regler. Det viktigaste är alltid att skapa medvetna medarbetare, som känner till vad som gäller när det kommer till regler, riktlinjer och beteenden. Det ska vara lätt att göra rätt och svårt att göra fel. Här kan även tekniken hjälpa till. Men teknik är bara ett bra komplement till de regler och riktlinjer som gäller och måste efterlevas och den kommer aldrig i sig att kunna ge ett heltäckande skydd, säger Anne-Marie Eklund Löwinder och fortsätter:

– Det handlar om att skapa en digital säkerhetskultur. Och för detta krävs resurser och tid för information, utbildningar, övningar och för införande av ett systematiskt arbete kring digital säkerhet. Räkna med att det kommer att ta lång tid, men det är ett roligt jobb när det till slut ger resultat.

Lösenordsparadox

Det är nu 2018 och ett allvarligt problem, enligt Anne-Marie Eklund Löwinder, är att en stor del av företagens information fortfarande kan nås via ett lösenord.

– Och här finns det en lösenordsparadox - du vet att det är dåligt att använda för enkla och för korta lösenord liksom samma lösenord för alla inloggningar, men du gör det i alla fall.

Det behöver inte vara dåligt med lösenord i sig. Det finns idag väldigt få alternativ som kan konkurrera med lösenord när det gäller enkelhet och kostnader, men det ställer krav på användarna. Det är sättet vi väljer att hantera lösenorden på som är dåligt.

– Företagen kan här hjälpa sina anställda med lösenordshanterare och bättre kvalitet på valet av lösenord, öka mängden tecken och svartlista de 500 vanligaste lösenorden. Redan här reduceras riskerna radikalt. Det är svårare att komma ihåg ett längre lösenord, men för varje tecken gör du det svårare för obehöriga intrång. De verktyg som idag används för att knäcka lösenord är otroligt avancerade och mycket kompetenta och de kan knäcka för enkla koder på nåra sekunder. Här måste chefer och ledare föregå med gott exempel, det är många gånger de som är de stora syndarna.

Engagera ledning och styrelse

I dagens komplexa miljöer är informationssäkerhetsarbetet inte något som kan skötas av en ensam säkerhetsansvarig. Samarbete är A och O för att kunna möta utmaningarna.

– Det är viktigt att samarbeta över avdelningsgränser och med andra chefer. Säkerhetsfrågan måste återspeglas i strategier, i styrelsearbetet och hos ledningen. Ytterst är det alltid ledningens ansvar och därför bör den digitala kompetensen finnas även hos ledning och styrelse, säger Anne-Marie Eklund Löwinder.

En vanlig sådan roll uppbärs av en så kallad CISO (Chief Information Security Officer), som rapporterar direkt till VD.  Denne är tänkt att fungera som brobyggare mellan säkerhet, affärsverksamhet och ledning och han eller hon ska se till att skapa en bra och riskmedveten miljö.

Gör riskbedömningar

Digitaliseringen sätter fokus på snabbhet, flexibilitet och innovation.

– Det är lätt att ryckas med, men det gäller att hålla huvudet kallt. Ju mer fokus på innovation och snabbhet, desto större blir faktiskt behovet av att ha systematik och metodstöd på plats. Det är något många glömmer. När det gäller ny teknik är det lätt att bete sig som en sömngångare genom att gå rakt in i nya saker, utan att ha tänkt efter innan, säger Anne-Marie Eklund Löwinder.

Därför är det av stor vikt att hela tiden göra digitala risk- och sårbarhetsanalyser för att på det viset måla upp en bild av vilka hot företaget står inför, liksom vilka prioriteringar som behöver göras och vilka åtgärder som behöver sättas in. I riskanalysen måste alltid faktorer som kostnader och effektivitet vägas in.

Upprätta en beredskapsplan

Med analysen som grund skapas sedan en beredskap med rutiner, processer och en fungerande kommunikationsplan om och när en incident inträffar.

– Det är viktigt att berätta för sina kunder när något går fel. Använd exempelvis sociala medier om plattformen ligger nere. Då är det lättare att få förståelse från kundernas sida. Och fortsätt att öva och testa olika scenarier – den som inte övat har ingen plan. Det brukar var mycket lärorikt för organisationen och det bidrar till att öka säkerhetsmedvetandet och korta ned omställningstiderna.

Det här med att hantera risker och försöka se långt in i framtiden är inte lätt. För att lyckas bör det, enligt Anne-Marie Eklund Löwinder, vara högt i tak, där fantasin får fritt spelrum och inga förslag är dumma förslag.

– Vår fantasi har nämligen sina begränsningar. Vi kommer aldrig att kunna tänka lika ondskefullt som en angripare gör. Analysera risker och motverka effekten av dem är något vi behöver lära oss allihop. Företagen måste förstå vilken information som är viktig och känslig, de måste kunna garantera att informationen är korrekt, se till att den är tillgänglig för rätt personer och att den är spårbar, så att det framgår vem som har hanterat den. Dessutom måste de kartlägga alla existerande hotbilder och konsekvenserna av dessa innan de i nästa steg försöker göra en korrekt bedömning om det är värt att ta en risk eller ej.

ISO 27001 täcker allt

Därefter är det dags att certifiera anläggningen eller företaget enligt ISO 27001, som är standard för ett ledningssystem för informationssäkerhet. I många länder är det ett krav från myndigheterna att en sådan certifiering finns för att få drifta vitala infrastrukturer, som till exempel elnät, VA, fjärrvärme/kyla och så vidare.

– I ISO 27001 finns alla nödvändiga krav med och det bör integreras med övriga ledningssystem, så att inte varje nytt system upplevs som en börda för de som jobbar med detta. Det bör vara en del av affärs- och affärsutvecklingsprocessen att systematiskt jobba med detta, slutar Anne-Marie Eklund Löwinder.