2021-10-06

Informationssäkerhet - Prio 0 eller en eftertanke, hur ska vi digitalisera säkert? 

Ytterligare ett år har passerat sedan vi sist deltog i och bidrog till den Europeiska cybersäkerhetsmånaden som infaller i oktober varje år. Tanken är att uppmärksamma företag, myndigheter och privatpersoner på frågor som kan öka säkerheten såväl i vardagen som på en övergripande samhällsnivå. Har vi då flyttat oss framåt, blivit säkrare, under det gångna året?

Samuel Taub Informationssäkerhetskonsult

Förmodligen inte, digitaliseringen går i en rasande takt, säkerhetsarbetet går i bästa fall, framåt, men inte i närheten av samma fart och enträgenhet som ivern att förändra, förbättra och effektivisera processer och uppgifter. Den skuld som uppstår när säkerhetsarbetet åsidosätts eller prioriteras ned ökar för varje projekt som ”måste bli klart i tid – så vi hinner inte med en informationssäkerhetsanalys”, eller ny produkt som ”möjliggör effektivisering – utan att helt förstå vilken data som behövs för att uppnå den önskade effekten”. Säkerhetsskulden kommer att krävas ut, det sker redan idag. Större haverier, löpande problem i utvecklingsprojekt, och i förlängningen problem med allmänhetens förtroende för de aktörer som digitaliserar, eller digitaliseras. 

BIO 

Samuel Taub
Informationssäkerhetskonsult 

Roligast med Atea: Att få vara med och hjälpa organisationer och verksamheter med vad dom innan ser som ”oöverstigliga berg”, eller ”läskiga evighetsprojekt”. Och kunna hjälpa kunderna att ta sig an dessa utmaningar och pedagogiskt guida verksamheter framåt mot säkrare och effektivare vardagar. 

Innan Atea: Arbetade med strategisk analys av samhällets informations- och cybersäkerhet på Myndigheten för samhällsskydd och beredskap (MSB).

Utbildning: Ingen relevant för ämnet, men magisterexamen i Freds- och konfliktforskning.

Hur ska vi lösa detta? 

Vad ska vi göra för att adressera detta problem – ett ökande gap mellan digitalisering och säkerhetsarbete. Ska vi sluta digitalisera, eller digitalisera mindre? Nej, vi har på gott och ont skapat ett samhälle som kräver ständiga effektivitetsvinster, men vi måste öka säkerhetsarbetet, drastiskt. Vad är det då vi ska öka?Fler tekniska lösningar för att skydda viktiga system och information? Större och mer kraftfull övervakning? Svaret ligger nog längre ifrån tekniken än vad många tror (och vill), alla problem och alla utmaningar med digitalisering och uppkoppling rör information. Det är data vi vill dela, reproducera, effektivisera och skydda. Data som i grund och botten är information om sakernas tillstånd som behöver analyseras och behandlas som just det – information. Om vi vänder på perspektiven och istället för att diskutera vilken nytta vi ska uppnå med en AI lösning, eller hur många timmar en RPA ska spara, utan istället tittar på vilken information har vi i vår verksamhet och hur känslig är den? Vilken information kan en RPA överhuvudtaget använda? Kan vi träna en AI med de data vi har, eller är den av en sådan karaktär att det inte är lämpligt? Dessa frågeställningar hamnar i bästa fall på en rest-lista över aktiviteter som inte hunnits med, eller prioriterats under sprintar och bland deadlines.  

Så, för att vända denna skuta måste vi alltså växla upp och synliggöra de problem och kostnader undermåligt, eller icke-existerande proaktivt informationssäkerhetsarbete för med sig. Dataskyddsförordningen (GDPR) gjorde här en bra insats med att koppla brister i hanteringen av personuppgifter med en faktisk kostnad (eller risken att behöva böta). Detta resulterade i att många, nästan alla, initierade stora och ambitiösa projekt med slutdatum Maj 2018. Tyvärr har dessa hedervärda initiativ inte levt vidare, och mängden GDPR-projekt som ligger i en låda och samlar damm är dessvärre hög. För att få en liknande effekt behöver det illustreras vad kostnaden blir av att inte jobba med säkerhet från början och proaktivt. Kostnader kan uppstå på fler sätt och på flera plan, ekonomiska konsekvenser, bad-will eller i värsta fall riskera företagets existens.  

Ett sätt att kunna tydliggöra detta är att faktiskt testa, att simulera negativa effekter för att se och känna hur det känns att drabbas av incidenter utan att ha ett gediget säkerhetsarbete att falla tillbaka på. Att kontinuerligt förbättra informationssäkerhetsarbetet  kräver att man vet vad som behöver förbättras, om organisationer inte testar det man har, hur ska man då veta vad som behöver förändras? Ett fotbollslag kan inte gärna endast spela matcher och lita på att alla lagdelar fungerar direkt i skarpt läge, man måste öva, leka, för att utvecklas och bli bra. 

Säkerheten behöver vara prio 0

Så för att hitta en bra spinn på detta, vi lever i den bästa av tider, nya möjligheter och dörrar öppnas varje dag i kölvattnet av teknikutvecklingen, men för att inte skapa en bitter eftersmak måste vi tillsammans se och i ett tidigt skede adressera de säkerhetsutmaningar som följer med de nya möjligheterna. Säkerhet behöver vara prio 0 i alla nya och befintliga projekt.

Om vi gör det bra och inser vikten av informationssäkerheten så slipper vi förhoppningsvis avsätta en månad om året för att uppmärksamma människor om att de behöver tänka säkert i den digitala vardagen. För nästa generation bör det vara en självklarhet att veta vilken information som finns vart, och varför viss information inte ska delas. Det är fortfarande hoppfullt, och vi ska inte använda säkerhet och säkerhetsarbete som en bromskloss, tvärtom! Med ett genomtänkt, systematiskt och riskbaserat informationssäkerhetsarbete, och endast då, kan vi på allvar växla upp och nyttja den oerhörda kraft som digitaliseringen medför.  

Tips för att tänka säkert och bli säkrare

Börja närmast dig själv, säkerheten i din smarta telefon? - uppdatera mjukvaran och aktivera flerfaktorsautentisering för viktiga/känsliga uppgifter.

Ditt hem? – byt lösenord på din router hemma, se över miljön som du jobbar i när du jobbar från hemmakontoret.

På jobbet? – ställ kritiska frågor, utmana och se till att informationssäkerheten finns med i projekt och utvecklingsarbeten, ta reda på vem som är dataskyddsombud eller informationssäkerhetssamordnare. Fråga och fundera vad du kan göra för att minska risken att det är din arbetsgivare som hamnar i rampljuset när nästa stora incident slår till. 

Tänk säkert - I oktober arrangeras varje år EU:s informationssäkerhetsmånad. I Sverige anordnar MSB och polisen kampanjen "Tänk säkert". Syftet med kampanjen är att öka medvetenheten om informations- och cybersäkerhetsfrågor.