Cybersäkerheten löses inte med en hårdvara

Digitaliseringen av samhället går snabbare än säkerhetsutvecklingen, en sanning som utgör en röd tråd i ett antal artiklar kring cybersäkerhet den senaste tiden. Tempot i säkerhetsarbetet måste höjas väsentligt utifrån en ökad hotbild, snabbare teknikutveckling och ökad kompetensbrist.

AI-utvecklingen innebär nya risker (och möjligheter) och MSB pekar på att samarbetet mellan myndigheter och näringsliv haltar. Och med EU:s nya säkerhetsdirektiv NIS 2 som blir lag i oktober 2024 brådskar det.

MSB konstaterade nyligen att Sverige måste bli bättre på att organisera samarbetet mellan myndigheter och privata näringslivet. Vi instämmer. I årsrapporterna från Säpo, Must och MSB är den röda tråden också ganska tydlig: alla har ett ansvar att bidra till ett motståndskraftigt samhälle och se till att Sverige fungerar. I dag utmärker vi oss tyvärr inte som cybersäkerhetsland, där index från 2021 placerar oss på plats 43 av 160 länder. Det gör oss till sämst i Norden vad gäller cybersäkerheten.

Men det brådskar. 

I rapporten från Säpo står att säkerhetsskyddet i samhället måste vara starkt nog för att kunna möta dagens hotbild. Tyvärr är det inte alltid så. Brister finns även i verksamheter som ska ha ett högt säkerhetsskydd. Brister såsom att intrång i informationssystem inte upptäcks i tid, att noggranna säkerhetskyddsanalyser inte utförs, eller att säkerhetsskyddade upphandlingar inte sköts enligt kraven.

Det brådskar

I de oroliga tider vi nu lever i måste Sverige stärka både den praktiska förmågan för cyberskydd och öka samverkan med näringslivet och internationella partner. Cybersäkerhet löses inte ”plug & play” med enstaka punktinsatser eller med en hårdvara. Från myndighetshåll har man hittills konkret låtit FRA axla huvudansvaret för det nationella cybersäkerhetscentret. Detta efter Riksrevisionens rapport som bland annat pekade på undermålig informationsdelning mellan myndigheter och näringsliv under de år centret varit igång.

Och att näringslivet upplevt att man inte får tillräcklig information från det offentliga eller att myndigheterna inte tyckts intresserade av att ta emot information från dem, är förstås ett bekymmer som måste lösas. Även övrig samverkan med näringslivet har varit svår att få till enligt rapporten och regeringen har aviserat en utredning.

Men det brådskar. Den ökade digitaliseringen med fler och fler system uppkopplade mot Internet och till varandra ökar cybersäkerhetsriskerna snabbt genom att data och system kan exponeras. Även attacker genom leverantörskedjan. EU:s direktiv NIS 2 kring säkerhetsskydd som blir lag i oktober 2024 omfattar också leverantörerna till organisationer i utpekade branscher. Utöver kostsamma viten att åsidosätta den nya lagen, så kan problem hos underleverantörerna också innebära stora konsekvenser för inblandade bolag.

Ingen kedja starkare än dess svagaste länk

FRA:s tydligare roll i att göra cybersäkerhetsområdet mer sammanhållet hoppas vi innebär en bättre samverkan mellan myndigheter och privata aktörer. Alla berörda branscher och samhället i stort behöver stärka sin vardagliga motståndskraft mot både cyberattacker och rena systemfel som påverkar vitala it-systems tillgänglighet. Ingen kedja är starkare än dess svagaste länk och myndigheterna med FRA i spetsen behöver tydligt hålla i taktpinnen och visa vägen. Men alla, myndigheter som företag och enskilda, måste bidra och ta sitt ansvar.

Den nya lagen som börjar gälla i oktober nästa år bör vara riktmärke för alla inblandade parter att ha denna stärkta informationssäkerhet i samhället på plats.

Det brådskar, men tillsammans kan vi lyckas med det.