Vem bär ansvaret? Nya cyberhot blottlägger farliga kunskapsluckor

Undersökningen visar också att 26 procent av cheferna i svenska bolag inom EU-klassade kritiska sektorer är osäkra på om deras egen organisation räknas som samhällsviktig. Hit räknas verksamhet inom energi, transport, vatten, sjukvård och finansiella tjänster.

– Många verksamheter inom kritisk infrastruktur är privatägda eller privatdrivna. De behöver inte bara säkra sin egen verksamhet och hantera incidenter som alla andra företag, utan också inse att ett cyberintrång i deras system får långtgående konsekvenser för samhället, säger Mikael Lagström, Team Leader for Application Security på DNV Cyber.

Han varnar för att många företagsledare riskerar att underskatta sin roll i helheten.

– Företag ska inte tro att nationell digital motståndskraft kan lämnas till någon högre makt att hantera, säger han.

Även bland allmänheten är osäkerheten och oron påtaglig. Sex av tio svenskar tror att landet kommer att drabbas av en större cyberincident inom två år, och var femte uppger att deras vardag redan har påverkats av cyberincidenter under det senaste året. Samtidigt anser hälften av de tillfrågade att de själva inte kan påverka cybersäkerheten i kritisk infrastruktur. Detta trots att vardaglig teknik i hemmen kan utgöra ingångspunkter för attacker mot exempelvis elnätet.

Varför råder det sådan osäkerhet kring vad som ryms i begreppet kritisk infrastruktur?

– Traditionellt kopplas begreppet kritiskt infrastruktur till vatten, avlopp och energi, medan exempelvis finanssektorn inte ses som det. Detta är fel, då konsekvenserna av omfattande störning eller avbrott på våra finansiella ekosystem ger mycket skadliga effekter. Incidenten som Coop drabbades av för några år sedan är ett tydligt bevis, säger Peter Hellström, Head of Cybersecurity Management Consulting på DNV Cyber till Techtidningen.

– Om en koordinerad attack slår ut flera livsmedelskedjor samtidigt på liknande sätt, blir tillgången på förnödenheter mycket begränsad väldigt snabbt. I vår undersökning ser vi dessutom en växande osäkerhet bland ledare i sektorer som ligger i leverantörskedjan till kritisk infrastruktur, såsom tillverkningsindustrin, där man inte direkt driver samhällsviktiga funktioner men är avgörande för att de ska fungera. Samma sak gäller för branscher som hanterar kritiska data snarare än fysiska tillgångar, exempelvis offentlig förvaltning. Många branscher är mer samhällskritiska än de själva inser.

När både företagsledare och medborgare upplever att ansvar och kontroll saknas, växer stödet för att staten ska kliva fram tydligare. Undersökningen visar ett brett stöd för hårdare reglering och ökad informationsdelning kring cyberrisker. Mer än hälften av företagsledarna är positiva till långtgående åtgärder som övervakning av offentliga data, och bland allmänheten anser nära två tredjedelar att myndigheter bör få större befogenheter att stoppa cyberattacker, även om det kan påverka den personliga integriteten.

För staten innebär detta ett dilemma. Den nationella cybersäkerhetsstrategin pekar själv på utmaningen i att säkra kritisk infrastruktur som i stor utsträckning ägs och drivs av privata aktörer.

– Vi måste alla ta ett större ansvar för att skydda Sveriges kritiska infrastruktur. Regeringar kan sätta förväntningar, säkerställa ansvarstagande, dela underrättelser, främja samarbete och bygga medvetenhet. Men de kan inte direkt säkra infrastruktur som de inte äger, säger Peter Hellström.

Är cybersäkerhet fortfarande en it-fråga snarare än en fråga för ledningsgrupper?

– I mångt och mycket ses det nog fortfarande som en it-teknisk fråga, men allt fler ledningsgrupper tar frågan på helt annat allvar idag jämfört med tidigare. Olika beroende på bransch och ledningsgrupp så klart men de, på senare år, stora omtalade incidenterna har helt klart påverkat. Det finns dock fortfarande ett enormt stort mörkertal i antal incidenter som aldrig offentliggörs. Nya lagar som exempelvis NIS2 påverkar även uppmärksamhet från ledningsgrupper, och kartläggningen och kravställningen i företagets leverantörsled är inte en teknisk it-fråga som sådan, säger Peter Helllström.

Vilka konkreta tips har du till en ledningsgrupp som vill skruva upp cybersäkerheten inom sin organisation?

– Hoten förändras ständigt och organisationer befinner sig på olika nivåer i sitt säkerhetsarbete. Men ska man börja någonstans är det här mina tre övergripande tips:

* Börja med att förstå riskbilden. Cybersäkerhet handlar i grunden om att veta vad man måste skydda och mot vem. Kartlägg organisationens kritiska tillgångar, tekniska svagheter och de hot som är mest sannolika. Utan en tydlig riskbild är det svårt att prioritera rätt och bygga ett försvar som faktiskt fungerar i verkligheten.

* Sätt riktning och driv arbetet som en del av verksamhetsstyrningen. En säkerhetsstrategi ska inte vara ett it-dokument, utan ett ledningsbeslut. Bestäm vad som ska uppnås, vem som ansvarar för vad och vilka resurser som krävs. Säkerställ också att tekniska åtgärder, förbättringsplaner och proaktiva initiativ faktiskt genomförs. Cybersäkerhet blir effektiv först när den integreras i det löpande verksamhetsarbetet, inte när den lämnas som en sidouppgift till it.

* Öva som om en attack vore oundviklig. När en incident väl sker är det för sent att börja fundera på roller och beslut. Genomför därför regelbundna övningar, från enklare scenariodiskussioner i ledningsgruppen till fullskaliga simulerade attacker som involverar hela organisationen. Målet är att skapa intuitiva rutiner och handlingskraft när det verkligen gäller. Här kan en partner som DNV Cyber bidra med realistiska och verksamhetsnära övningar som påtagligt höjer organisationens motståndskraft, säger Peter Hellström.