Sverige är ett av världens mest digitaliserade länder. Vi ligger i framkant när det kommer till att implementera och utveckla digitala lösningar för alla delar av samhället.
Trots det ligger våra cybersäkerhetslösningar långt efter. För att åtgärda problemet har ett myndighetssamarbete för ett nationellt cybersäkerhetscenter initierats, men initiativet i sin nuvarande form är otillräckligt och kräver både mer resurser och tydligare riktlinjer.
World Economic Forum placerade redan 2019 cyberattacker som en av de tio största globala riskerna för det kommande decenniet. Samtidigt som den pågående pandemin accelererar digitaliseringen och beroendet av distanslösningar för arbete utanför kontoren, öppnas fler dörrar in till organisationers och företags infrastruktur.
Sedan utbrottet har den cyberkriminella verksamheten dessutom ökat med 51 procent. Men den svenska debatten har främst kretsat kring fördelarna av ökad digitalisering, utan att ta hänsyn till riskerna det medför.
För större företag och hela länder är cyberattacker ett enormt hot. Många är väldigt sårbara och statistik från IBM visar att snittkostnaden för ett dataintrång uppgår till 36,5 miljoner kronor.
Sverige är i dag oförberett som land, men åtgärder för att ändra på det börjar nu komma. Under 2020 ska ett nationellt cybersäkerhetscenter etableras. Det är ett myndighetssamarbete mellan Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Försvarsmakten, Myndigheten för samhällsskydd och beredskap (MSB), Polismyndigheten, Post- och telestyrelsen (PTS), samt Säkerhetspolisen.
Centret ska huvudsakligen dimensioneras för att öka skyddet för skyddsvärd verksamhet. Initiativet är naturligtvis helt nödvändigt och bör uppmuntras. Om den grundläggande säkerheten inte är på plats kan vi inte skydda våra invånare.
Men det är sent. Våra grannländer ligger långt före med inrättade nationella cybersäkerhetsmyndigheter sedan en tid tillbaka och där diskuteras frågan på riksdagsnivå.
Den norska säkerhetsmyndighetens budget var under fjolåret nästan fyra gånger så stor som det svenska cybersäkerhetscentrets budget förväntas vara 2025. För att Sverige ska kunna etablera ett säkerhetscenter som når upp till en betryggande nivå krävs betydligt större resurser.
En etablering av den här typen är ett väldigt omfattande uppdrag, som ska ske på kort tid och kommer att kräva mängder av specialkompetens. Kompetenser som inte bara saknas i Sverige. Runt 2,5 miljoner experter inom cybersäkerhet efterfrågas globalt.
I IBMs nysläppta undersökning Cyber Resilient Organization Report, där över 3 400 it-experter i elva olika länder deltagit, ansåg 61 procent att rekrytering av kompetent personal var den främsta anledningen till att de blivit mer motståndskraftiga. Likaså var bristen av kompetent personal den främsta anledningen till att motståndsförmågan inte ökat, vilket 41 procent angav.
Utan rätt expertis kommer de processer som sätts upp och den teknik som implementeras inte vara användbar. Det går inte att köpa färdiga cybersäkerhetsverktyg, det måste finnas personer som kan hantera systemen löpande och fortsätta utveckla verksamheten. De myndigheterna som står bakom samarbetet behöver ta höjd för en större rekrytering, tydligare identifiera vilket typ av kompetens som krävs och se över hur finansieringen för det ska gå till. Deras ambition bör ligga mer i linje med våra grannländers om säkerhetcentret ska kunna stå emot dagens cyberkriminella.
Utöver behovet av ökade resurser måste riktlinjerna för hur säkerhetscentret ska fungera som stöd till de skyddsvärda verksamheterna också preciseras.
Den uttalade strategin för ett tätt samarbete med privat sektor, delvis för att skydda företag men också i syfte att gemensamt utveckla verksamheten, är helt nödvändig för att lyckas. Näringslivet besitter en högre sakkunnighet på området och kan i många avseenden hjälpa myndigheterna att skydda befolkningen. Men det är viktigt att ta tillvara på deras sakkunnighet i utformandet av riktlinjer för när cyberattackerna väl sker.
IBM:s undersökning visar att investeringar i formell planering för hur man svarar på angrepp lönar sig. Bland de organisationer som hade tydligt formulerade riktlinjer var det bara 39 procent som genomgått betydande avbrott jämfört med de som saknade formell planering där samma siffra låg på 62 procent under de två senaste åren.
Bristen på en tydlig planering för hur stödet ska tillämpas är oroväckande. Cybersäkerhet är inget som kan adderas i efterhand. Det är något som måste byggas in i de system och den struktur vi skapar. Det måste integreras tidigt i it-infrastrukturen och, som tidigare nämnt, finnas personer på plats som kan hantera systemen löpande.
Därför krävs en hög kännedom om verksamheternas olika säkerhetssystem, skräddarsydda riktlinjer och utöver en tät dialog, ett tydligt ledarskap.
Vi uppmanar till ett samarbete med experter inom den privata sektorn, inte bara i form av rådgivning, utan också för att säkerställa så fler får bättre förutsättningar att stå emot cyberattacker genom en grundlig planering och strategi.
Det är lätt att nödvändiga beståndsdelar går förlorade i ett läge där mycket i vår omvärld hotas eller redan har förändrats. Övergripande finns det behov av ett större engagemang, en mer konstruktiv diskussion och ett större ansvar än att klistra på några kortsiktiga lösningar på ett inarbetat system.
Ett nationellt cybersäkerhetscenter är ett steg i rätt riktning, men då måste vi ta vara på alla de resurser vi har och grundligt planera för att involvera alla delar av samhället – annars kommer det aldrig vara tillräckligt.
Kaja Narum,
business Unit Leader Nordics, IBM Security
