Helhetspartner: Tryggare väg till stärkt säkerhet
I en värld med många cyberhot och skärpta lagkrav måste de flesta organisationer höja sin it-säkerhetsnivå. Det är ofta en omfattande process. Atea kan bistå med hjälp i samtliga led samt vid behov även övervaka och leda säkerhetsarbetet.
Antalet cyberattacker har ökat rejält de senaste åren och nivån är fortsatt hög. Det uppger Carl-Johan Ekelund, Head of Security på Atea.
Cyberhoten har gjort säkerhet till en alltmer prioriterad fråga för i stort sett alla organisationer. Behovet är speciellt stort av lösningar som upptäcker och hindrar intrång i tid, men det behövs också systematik för att proaktivt åtgärda brister.
De uppmärksammade fallen är många, däribland ransomewareattacker där angriparen har krävt pengar för att inte släppa sekretessbelagd information till allmänheten.
– Attackerna är en lönsam verksamhet för de cyberkriminella. Hotbilden är väldigt dynamisk. Det dyker alltid upp nya sårbarheter. Till skillnad mot traditionell brottslighet kan gärningsmännen sitta på andra sidan jordklotet och relativt riskfritt attackera en kommun i Sverige. Sådant behöver vi förebygga, säger Carl-Johan Ekelund.
Nya lagar kräver kraven på it-säkerhet
Nya lagkrav i form av EU:s NIS2-direktiv, som ligger till grund för den nya svenska cybersäkerhetslagen, driver också på säkerhetsarbetet.
– Hela samhället bygger på digitala system, både nu och i framtiden. Vi kan inte bygga en cyberdomän utan någon form av byggnormer och kan heller inte skapa någon tillit om det inte är tryggt, robust och säkert, säger Carl-Johan Ekelund och tillägger:
– Den svenska cybersäkerhetsstrategin är ganska intressant och tydlig. Visionen säger att Sverige ska kunna upprätthålla samhällsviktig verksamhet under pågående intrång. Det tycker jag är ett statement. Det handlar inte om att kunna komma tillbaka snabbt, utan om att kunna fortsätta med verksamheten trots att vi blir attackerade.
Expertstöd från behov till lösning
Många organisationer har insett att de behöver höja sin it-säkerhetsnivå och hitta en plan för hur detta arbete ska gå till. Inte bara för sin egen skull, utan också för att kunna leva upp till de skärpta krav som nu gäller.
Det är en ganska omfattande process, som börjar hos ledningen men i slutändan måste nå ut till hela verksamheten. Atea bistår gärna med sin expertis.
– Atea är en helhetsleverantör. Det betyder att vi kan ta organisationen hela vägen från en juridisk frågeställning i ett styrelserum till att hjälpa till med den färdiga lösningen och se till att den matchar just din organisations behov och förutsättningar. Om du även vill ha hjälp med att övervaka eller leda arbetet med it-säkerhet kan vi också erbjuda det som en tjänst, säger Carl-Johan Ekelund.
Det allra mest grundläggande är strukturering och klassificering av data. Om du underlåter, slarvar eller fuskar med detta kan det lätt gå snett. Då blir det omöjligt att bygga en trygg, säker och tillförlitlig AI-lösning eller göra en lyckad förflyttning till molnet, betonar Carl-Johan Ekelund.
– AI är så snabb att den hittar information som inte en människa kan lokalisera. Det innebär att om informationen ligger öppen någonstans på nätverket kan AI använda den i sina språkmodeller och svar. Då kan den få med sig alla möjliga intressanta men känsliga uppgifter om enskilda personer. Om informationen går att läsa tolkas den som fri att använda.
- Lev som du lär. Det är viktigt att skapa en kultur där it-säkerheten tas på allvar. Ledningens agerande skickar tydliga signaler till medarbetarna. Om vd:n låser sin dator vid hemgång i stället för att lämna den upplåst och tillgänglig för vem som helst, blir det en vägledning för hur även alla andra bör göra.
- Ha tydliga prioriteringar. Sätt er ner och studera den egna verksamheten. Vilka prioriteringar är viktiga för er? Vad får inte hända för att ni ska kunna nå era verksamhetsmål? Det svarar också på frågan varför vissa åtgärder eller rutiner är viktiga. Tydliga förklaringar gör det lättare att motivera medarbetarna att agera rätt.
- Gör regelbundna utvärderingar. Se över din it-säkerhet med jämna mellanrum. Testa om it-säkerhetshetslösningarna fungerar som de ska eller om de måste justeras eller kompletteras, kopplat till utvecklingen i omvärlden. Upprätthåll eller stärk nivån.
- Öva. Även om it-säkerheten ser bra ut på pappret kan det vara bra att undersöka om den också fungerar i praktiken. Alltför få organisationer övar på de rutiner som de har slagit fast i sina dokument. Agerar alla som de ska eller behövs det ytterligare insatser?
- Mät och fira förbättringar. Sträva mot att ständigt bli bättre på cybersäkerhet och mät också de förbättringar som görs. Tänk att kunna säga att man är vassast i branschen! Oavsett är förbättrad it-säkerhet alltid värd att fira samt ett sätt att uppmärksamma frågan och skapa incitament bland medarbetarna.
Olika it-säkerhetsbehov ger olika lösningar
Atea förespråkar att it-säkerhetsarbetet inleds med en workshop, där verksamhetens vision, mål och planer blir tydliga för alla inblandade. Vad är särskilt viktigt för just den här organisationen? Vad får absolut inte hända? Därefter följer en analys av it-säkerhetsförmågorna.
Allt detta är viktiga pusselbitar för att reda ut hur eventuella risker bör hanteras. Slutsatserna kan skilja sig ganska mycket åt från organisation till organisation, även om de yttre omständigheterna kan verka ganska lika.
– Om du och jag går till samma personliga tränare för en analys av vår fysiska förmåga och muskelstyrka kan det visa sig att vi har exakt samma utgångsläge. Men om du ska springa maraton och jag tävla i SM i bänkpress behöver vi ändå ha olika träningsprogram, exemplifierar Carl-Johan Ekelund och fortsätter:
– Just detta glömmer många bort när det kommer till it-säkerhet. Det finns vissa gemensamma grundförutsättningar, men sedan skiljer sig behoven åt. Ett företag har kanske alla sina system lokalt, medan ett annat har alla sina system i molnet. Det leder till olika prioriteringar.
Carl-Johan Ekelund med Jonas Emilsson, Lead Architect Hybrid Platforms
Bra förarbete ger hållbara resultat
En fungerande it-säkerhetsstrategi är nödvändig för att kunna göra en förflyttning både till molnet och AI. Det är viktigt att veta vilken information du behöver skydda och vad du kan ha publikt. Utifrån detta bygger du din it-säkerhetslösning.
– AI-plattformar och molnet har i grunden samma behov när det gäller din datas tillförlitlighet och skydd. Molnet är också ett av de säkraste sätten att konsumera it, bara du vet vad du gör, säger Jonas Emilsson, Lead Architect Hybrid Platforms på Atea, och tillägger:
– AI-transformationen i Sverige är ett exempel på en nästan it-revolutionär process, men i den snabba transformationen uppstår en ganska stor omognad. Man är inte medveten om vilka beslut man tar, lite grann på samma sätt som man resonerade kring molnet första gången det var aktuellt för 15 år sedan. Det finns en okunskap kring vad det innebär och vilka riskerna är.
Grunden till ett bra it-säkerhetsarbete är att tänka först och agera sedan, slår Carl-Johan Ekelund fast.
– Ur ett hållbarhetsperspektiv är det bra att göra rätt från början och inte köpa eller använda något i onödan. Om du gör ditt förarbete väl och gör planer på längre sikt kan du skaffa lösningar som går att bygga vidare på, i stället för kortsiktiga lösningar som du måste slänga bort efter ett par år.
"Ofta målas säkerhet och hållbarhet upp som två motsatser. För att ha det ena behöver man kompromissa med det andra. Inget kan vara mer fel. Båda handlar väldigt mycket om kontroll. Om du har kontroll på din hårdvara, till exempel genom att välutvecklat asset management-system, så har du dels bättre förutsättningar för en hållbar livscykelhantering men också ett bättre skydd mot sårbarheter då du vet exakt vilka enheter som är i bruk, hur gamla de är, om de är uppdaterade osv. Detsamma gäller datan. Ju bättre klassificering, desto mer optimerad (energieffektiv) och säker användning.”
Camilla Cederqvist, hållbarhetsspecialist på Atea.
***********************
Text: Johan Bentzel
Foto: Beatrice Graalheim
