Cybersäkerhetsexperten: Sverige halkar efter när hoten accelererar

Samtidigt konstaterar myndigheten att utvecklingen i stort sett stått still sedan föregående år, trots ett försämrat säkerhetspolitiskt läge och ökande cyberhot.

Det är en bild som delas av Pernilla Rönn, affärsområdeschef för cybersäkerhet på HiQ.

– Jag håller med om den starka formuleringen. Jag möter många organisationer och företag där ute och upplever att man står och stampar inom flera områden kopplade till cybersäkerhet. Det blir extra allvarligt med tanke på omvärldsläget, där cybersäkerhet används som ett vapen i konflikter och påverkar hela omvärlden. Jag tycker att det är oroväckande, särskilt eftersom utvecklingen går så långsamt, säger hon till Techtidningen.

AI förändrar både attackerna och försvaret

Enligt Pernilla Rönn har utvecklingen inom AI förändrat förutsättningarna för både angripare och försvarare.

– Tiden för att identifiera och exploatera sårbarheter har blivit mycket kortare. Då måste även vi på försvarssidan agera snabbare. Det blir särskilt utmanande inom OT och industriella system, där förändringar, patchning och säkerhetsuppdateringar ofta tar lång tid eller i vissa fall knappt går att genomföra. Gapet mellan den snabba attackerande sidan och den trögare försvarande sidan blir väldigt stort, säger hon.

Tror du att många organisationer känner sig överväldigade av mängden hot, teknikskiften och geopolitiska förändringar?

– Ja, absolut. Det är väldigt mycket på en gång. Det handlar både om teknik och politik, och organisationer ska samtidigt prioritera, hantera resurser och förstå väldigt komplexa frågor.

– Jag träffade exempelvis nyligen en organisation som sa att de inte längre hade tid att satsa på cybersäkerhet eftersom de nu skulle fokusera på AI. Men det fungerar inte så. Ska man satsa på AI behöver man snarare satsa ännu mer på cybersäkerhet.

Enligt henne används AI redan aktivt av hotaktörer för att automatisera och effektivisera cyberattacker.

– Angriparna använder redan den här tekniken väldigt effektivt. Då måste vi också använda AI för att stärka våra försvarsförmågor.

Samtidigt ser hon att allt fler organisationer börjar tänka mer långsiktigt kring AI-användning.

– Vi får allt fler frågor om hur AI kan implementeras på ett säkert sätt eller hur man granskar lösningar som redan har införts. Där märks det att medvetenheten börjar öka.

Organisationer pressas från flera håll samtidigt

Utöver den direkta hotbilden påverkas it-branschen även av en bredare geopolitisk osäkerhet.

Leveranskedjor, energiförsörjning, hårdvarupriser och internationella beroenden påverkar nu företagens strategiska vägval.

Pernilla Rönn beskriver ett läge där många organisationer upplever att förändringstakten blivit svår att hantera.

– Det handlar både om teknik och politik samtidigt. Organisationer ska prioritera mellan väldigt många komplexa frågor på en gång.

Hon menar att cybersäkerhet länge har betraktats som en separat fråga, men att den nu blivit alltmer central för hela verksamheten.

– Säkerhetsfrågan ligger mycket högre upp på ledningars och styrelsers agenda än tidigare. Allt fler organisationer omfattas dessutom av säkerhetsskyddslagstiftning eller hanterar säkerhetskänslig information.

Riskerna ökar i de digitala leveranskedjorna

Rapporten visar också att sju av tio organisationer saknar grundläggande skydd i sina digitala leveranskedjor.

Det är en utveckling som enligt Pernilla Rönn blir allt mer problematisk i takt med att organisationer bygger in fler externa tjänster och AI-lösningar i sina verksamheter.

– Först och främst måste man ha koll på sina kritiska tillgångar och förstå vilken information som är säkerhetskänslig. Därefter behöver man veta vilka leverantörer som hanterar den informationen, säger hon.

Samtidigt ser hon en växande diskussion kring digital suveränitet och beroendet av utländska moln- och AI-leverantörer.

– Vi ser tydligt att fler organisationer börjar bygga egna miljöer för att hantera säkerhetskritisk information. Diskussionen om alternativa lösningar till amerikanska molnleverantörer kommer upp oftare, särskilt i våra grannländer.

OT-säkerheten pekas ut som särskilt eftersatt

Ett område som återkommer flera gånger i rapporten är bristerna inom OT-säkerhet. Där bedöms läget vara särskilt allvarligt.

– Det är våra mest samhällskritiska funktioner som hanteras i de här miljöerna – energiförsörjning, livsmedelsproduktion och medicintillverkning till exempel, säger Pernilla Rönn.

Problemet är enligt henne att många OT-miljöer ursprungligen byggdes för att vara isolerade och inte uppkopplade.

– Nu kopplas de upp för att skapa affärsvärde genom data och AI, och då uppstår helt nya attackytor.

Samtidigt beskriver hon en kompetens- och ansvarsglapp mellan traditionell it-säkerhet och OT-miljöer.

– It-säkerhetsorganisationen kan ofta inte OT-miljön och de som arbetar i OT-miljön kan inte cybersäkerhet. Då blir det lätt att ingen riktigt äger frågan fullt ut.

Cybersäkerhet måste bli en del av verksamheten

Enligt Pernilla Rönn är ett av de största problemen att cybersäkerhet fortfarande behandlas som ett separat projekt snarare än en integrerad del av verksamheten.

– Många ser det fortfarande som ett complianceprojekt kopplat till exempelvis NIS2 eller Dora. Men det måste bli ett systematiskt arbetssätt som genomsyrar hela organisationen.

Hon menar att säkerhet behöver byggas in redan från början – i produkter, system och processer.

– Det gäller allt från inköp och systemutveckling till personalprocesser och företagsförvärv. Annars kommer vi inte att mäkta med det, varken resursmässigt eller organisatoriskt.

Samtidigt lyfter hon fram behovet av att öva mer praktiskt på incidenthantering och cyberförsvar.

– Man måste träna kontinuerligt och testa sina planer och system i praktiken. Precis som efter en riktig incident måste organisationer dra lärdomar och bli bättre över tid.

Trots den mörka bilden ser hon ändå tecken på att frågan börjar få större genomslag.

– Medvetenheten ökar och frågan hamnar på ledningsgruppers och styrelsers bord på ett helt annat sätt än tidigare. Det är där det måste börja om utvecklingen ska ta fart på allvar.