Säkerhetsexperten: ”Det finns ingen silverbullet”

Minst lika viktigt som att hålla koll på hotbilden och skydda sig mot attacker är att snabbt kunna återhämta sig när något väl händer. Enligt Klas Bergwall är det något förvånansvärt många organisationer missar.

– Man tittar för mycket på hot och för lite på recovery och business continuity. Men det är avgörande att snabbt kunna komma upp i drift igen, säger han.

Säkerhet måste med från start

Klas Bergwall har varit CSO på Advania i två år och ansvarar för bolagets samlade säkerhetsarbete – från cyber- och informationssäkerhet till fysisk säkerhet och personalsäkerhet. Rollen omfattar även kunddialog, upphandlingar och arbete med att bygga förtroende i affärsrelationer.

Han är också en ofta anlitad expert och föredragshållare, inom ett område som på senare år blivit alltmer affärskritiskt.

– Det jag uppskattar mest är bredden, att säkerhet spänner över både affär och organisation och teknik, säger han.

Hans återkommande budskap är att säkerhet måste byggas in tidigt i alla lösningar och processer. Och att ansvaret är gemensamt, inte något en enskild säkerhetsfunktion eller it-avdelning kan bära på egen hand.

– Säkerhet ska finnas med i arkitektur, design och kodning, inte läggas på som ett plåster när en lösning redan är färdig.

Att komma in för sent blir ofta både dyrt och ineffektivt. Samtidigt skapar säkerhet i grunden förutsättningar för affärer och innovation.

– Ytterst ska säkerhet vara en möjliggörare, inte en bromskloss.

Säkerhetsexperter har länge pekat på att informationssäkerhet ska vara en ledningsfråga och del av verksamhetens riskhantering. Men det är först på senare år som insikten har fått genomslag på bredare front.

Regelverk skärper kraven – men AI förändrar spelplanen

Enligt Klas Bergwall är det framför allt de riktade attackerna mot organisationer som Miljödata, Coop och Collins Aerospace – i kombination med ett förändrat geopolitiskt läge – som kraftigt höjt medvetenheten. Allt från företagsledningar och offentliga aktörer till politiker och tillsynsmyndigheter har växlat upp cyberberedskapen och skärpt kraven på rapportering.

Den 15 januari träder den nya svenska Cybersäkerhetslagen i kraft i Sverige, som ett svar på EU:s skärpta NIS2-direktiv. För många organisationer innebär det tydligare ansvar, högre krav på styrning och rapportering samt risk för betydande sanktionsavgifter. Bland andra EU-regelverk som påverkar säkerheten finns DORA, AI Act och EUCS, för att nämna några.

Förra året handlade i hög grad om att rusta för alla de nya reglerna. I år är det dags att lyfta blicken och fokusera på det faktiska säkerhetsarbetet, anser Klas Bergwall.

Högaktuellt är utvecklingen inom AI och autonoma AI-agenter, som stöper om cybersäkerhetslandskapet i grunden. Det pågår en kapprustning där både angripare och försvar använder AI för att ta kontroll över data.

Det kommer nya AI-verktyg för övervakning, analys och kontroll. Samtidigt har cyberkriminella fått en helt ny vapenarsenal.

– Angriparna behöver inte ens vara särskilt skickliga längre när AI kan genomföra riktade attacker åt dem.

AI attackerar AI

Enligt Klas Bergwall används AI redan nu i uppåt 80 procent av ”social engineering”-attackerna, om vi får tro rapporter från EU:s cybersäkerhetsmyndighet Enisa.

Snart kan siffran bli ännu högre, befarar han.

Det rör sig inte längre om enskilda verktyg, utan om hela attackkedjor som till stor del kan genomföras utan mänsklig inblandning.

– AI kommer att styra framtidens attacker. Det är AI som attackerar AI.

Han hänvisar till exempel där statligt sponsrade aktörer har genomfört avancerade attacker helt autonomt, med olika AI-agenter för scanning, intrång, lateral rörelse och dataexfiltrering.

Social engineering blir allt svårare att upptäcka

Även mer vardagsnära hot blir alltmer sofistikerade. Röstkloning och trovärdig social ingenjörskonst gör det svårare än någonsin att avgöra vad som är äkta.

– Snart är det inte längre en metallisk robotröst som talar. Det är någon med lokal dialekt som ringer upp dig, men det är en AI.

Med publika tjänster för röstkloning räcker några sekunders ljud för att imitera en person. Samtidigt har språkmodeller gjort phishingmejl nästintill felfria.

Återhämtning kräver övning och träning i grupp

Klas Bergwall återkommer till vikten av ”business continuity”, det vill säga förmågan att inte bara stå emot attacker, utan att snabbt kunna återställa verksamheten om olyckan är framme.

– Det räcker inte med planer på papper. Organisationen måste öva, träna och ha inbyggda rutiner i hela verksamheten, inklusive kommunikationen.

Utan regelbunden träning riskerar återhämtningen att dra ut på tiden, med stora konsekvenser för både affär och förtroende.

Hela organisationen behöver vara involverad, men också partners och leverantörer, påpekar han.

– Samverkan är avgörande. Business continuity måste man träna tillsammans.

Kunderna känner sin verksamhet och sin mest kritiska information bäst. Men leverantören har ett stort ansvar för säkerheten i sina system, och kan också bidra med ”business impact-analyser” på ledningsnivå.

– Då kan vi hjälpa till med att identifiera vad som är mest skyddsvärt och prioritera rätt.

Säkerhetskulturen avgör

Tekniken är nödvändig, men inte tillräcklig. För Klas Bergwall är det tydligt att människan fortfarande är både den största risken och den viktigaste resursen.

– Det är beteendet som är nyckeln till en stark säkerhetskultur.

Finns det en risk att säkerhetsåtgärder blir så krångliga att de får motsatt effekt och underminerar skyddet?

– Ja, om säkerheten upplevs som ett hinder kommer människor att försöka ta genvägar. Då har man förlorat, säger Klas Bergwall.

Och här är vi tillbaka till verksamheten, riskanalysen och den gemensamma kulturen.

På Advania finns en dedikerad Security Culture Officer som arbetar med utbildningar, simuleringar, mål och KPI:er för att förändra beteenden över tid.

– De flesta vill göra rätt. Då gäller det att ge dem förutsättningarna och kompetensen att faktiskt kunna göra rätt.