Säkerhet på nätet måste byggas på alla nivåer
Nr 5 2022 Årgång 88Chefen för Nationellt cybersäkerhetscenter, Thérèse Naess, anser att Sveriges cybersäkerhet förbättras, men samtidigt gör vi oss hela tiden beroende av nya internetbaserade lösningar. Säkerheten måste komma i kapp och sedan vara en naturlig del av den funktionalitet som vi väljer att lägga i digitala system. Dit har vi ännu en bra bit, enligt Naess.
Någon gång under andra halvan av 1990-talet loggade de flesta av oss som var vuxna för första gången in på internet. Vi surfade på portaler, lärde oss att använda e-post och kallade @ för ”kanelbulle”. Men detta var alls inte en oskuldsfull tid för internet, innan intrång och angrepp förstörde den digitala gemenskapen. Redan från början fanns det enskilda, kriminella organisationer och stater som producerade skadlig kod, gav sig själva tillträde till nätverk där de inte var tänkta att vara och sökte information som var privat eller hemlig.
Säkerhetsskuld
Angreppen på den tiden var förhållandevis planlösa. Fann angriparen en väg in i något nätverk gav detta en möjlighet att luska och kanske också finna något som kunde användas. De strategiska tillvägagångssätten var ännu i sin linda. Men även om intrångsförsöken genomfördes på ett sätt som i dag förefaller som lite hattigt och spretigt, motiverade de redan då skyddsåtgärder. Inom exempelvis banksektorn har det funnits ett utvecklat säkerhetstänkande redan från början – de som tidigt gjorde bankärenden på nätet fick logga in med tvåfaktorsautentisering och liknande åtgärder.
Men när det är sagt – digitaliseringen med dess omtumlande möjligheter gick och går än i dag mycket snabbt. Sedan rätt många år vet vi att säkerhetsåtgärderna inte hängt med. Och de hänger ofta inte med i dag heller. Det finns massor av nätverk som aldrig fick de nödvändiga säkerhetslösningarna tillgodosedda när de skapades. Många av dessa nätverk var kostsamma och används än i dag. Många kan uppgraderas till att bli mycket bättre än vad de var från början. Men tyvärr går det inte att fullt ut kompensera för initial bristande säkerhet genom att efteråt lappa och laga. I takt med att äldre system tas ur bruk och nya skapas finns möjlighet att i grunden förbättra säkerheten.
Vad kan var och en göra?
Om vi tittar på saken från andra hållet – vad kan var och en av oss göra? Säkerhet på nätet måste byggas på alla nivåer. Ingen skulle komma på tanken att förbättra trafiksäkerheten bara genom fina vägar – den enskilde förarens körbeteende påverkar ju också hur många som förolyckas i trafiken. Även om vi lyckas komma ikapp digitaliseringsivern med goda säkerhetslösningar, måste var och en av oss ta vårt ansvar. I praktiken kan det betyda att använda goda och olika lösenord till skilda funktioner, att inte klicka på alla länkar som ser lockande ut och att köra säkerhetsuppdateringar så fort vi får tillgång till sådana.
Fyra plus tre myndigheter
Nationellt cybersäkerhetscenter har kommit till för att underlätta samverkan mellan de fyra myndigheter som står bakom – FRA (Försvarets radioanstalt), Försvarsmakten, MSB (Myndigheten för samhällsskydd och beredskap) och Säkerhetspolisen. Verksamheten bedrivs genom nära samråd med ytterligare tre myndigheter – FMV (Försvarets materielverk), Polismyndigheten och PTS (Post- och telestyrelsen).
Det är främst myndigheternas respektive uppdrag inom cybersäkerhet som omfattas i centrets verksamhet. Centret är en plattform för samverkan och utveckling.
Utifrån olika uppdrag och kompetenser har de ingående myndigheterna olika förmågor. De har samarbetat väl redan tidigare, men med hjälp av centret ska samverkan kunna tas till en ny nivå. Områden som lämpar sig för samverkan är lägesbilder, incidenthantering samt att utveckla samverkan mellan de ingående myndigheterna och svenskt näringsliv/branschorganisationer på cybersäkerhetsområdet. Samverkan är också naturlig med andra myndigheter och kan utvecklas med liknande cybersäkerhetscenter runt om i världen. Det finns ett stort intresse hos näringslivet att dra nytta av centrets arbete, och dessutom att självt bidra till verksamheten i centret.
Flaskhals och rivstart
Flaskhalsen så här långt har främst varit de praktiska förutsättningarna samt att hitta fungerande samarbetsformer mellan de ingående myndigheterna, exempelvis sitter vi nu i lokaler som tillhandahålls av MSB. Även om dessa utvecklas löpande och hjälpligt möter de behov centret har, är det viktigt att centret får lokaler som gör det möjligt för representanter från alla ingående myndigheter att praktiskt samverka på plats. Det ger också möjlighet för samverkande parter från näringsliv och branschorganisationer att, i förekommande fall, samsitta i centret.
Det kommer dock aldrig att bli många som har sin anställning i centret. När vi blir uppåt ett hundratal medarbetare i centret kommer de flesta att vara utsända från sina myndigheter. Vi är på väg, men har långt kvar.
Samtidigt kan man säga att centret rivstartade redan innan det var beslutat – redan i juni 2020 publicerade myndigheterna bakom centret två rapporter som på runt 30 sidor vardera nog är de mest komprimerade översikter man kan finna vad gäller hotbilden på internet och hur en verksamhet kan kickstarta ett systematiskt säkerhetsarbete (dessa rapporter kommer efter sommaren i nya och lätt uppdaterade versioner).
Systematiskt arbete
Hur skapar man då funktionalitet som inte kan hackas? Svaret är måhända nedslående – för det kan man inte. Alla system kan drabbas av intrång. Även system med god säkerhet kan saboteras genom exempelvis överbelastningsattacker med mera. Mycket av säkerhetsåtgärderna handlar därför om att kunna upptäcka och hantera ett intrång eller en attack, varefter man ska kunna återställa funktionaliteten. Att jobba med cybersäkerhet kan handla om att värdera hur känsliga ens data är, hur tillgängliga de ska vara och för vilka. Sedan anpassar man verktygen därefter. Viss funktionalitet kanske man kan behandla ganska lättvindigt, om den inte innehåller känsliga uppgifter och det inte heller gör så mycket om datauppgifterna tillfälligt skulle förvanskas. I andra änden – vissa system kan man över huvud taget inte ha i en miljö där det finns kontakt med internet. Genom ett systematiskt informationssäkerhetsarbete gör man medvetna avvägningar och anpassar de tekniska lösningarna därefter, samtidigt som man ser till att ha personal som har rätt kompetens och respekterar de regler man skapar.
Det är i en sådan anda som god cybersäkerhet skapas – olika verksamheter måste tillämpa det systematiska informationssäkerhetsarbetet utifrån sina förutsättningar.
Grundläggande är att säkerhetsarbetet sker på alla nivåer, exempelvis:
- policyer, finansiering och ledarskap på managementnivå
- kompetens, metoder och ledarskap inom it- och säkerhetsskyddsfunktionerna
- kunskap och bra beteende på medarbetarnivå.
Cybersäkerhet utifrån olika uppdrag
Andra sätt att förbättra cybersäkerheten kan vi finna hos de myndigheter som tillsammans skapar Nationellt cybersäkerhetscenter. MSB har ett brett uppdrag att bland annat ge råd och stöd till samhället i stort. FRA, Säkerhetspolisen och Försvarsmakten samarbetar utifrån sina uppdrag för att förbättra skyddet av vårt samhälles mest skyddsvärda verksamheter och bygga upp ett allt mer utvecklat cyberförsvar. Dessa verksamheter och ansvarsområden är redan väl etablerade.
Rollen för Nationellt cybersäkerhetscenter är att underlätta en fördjupad samverkan och på så sätt få ut än mer cybersäkerhet ur de ansträngningar som redan görs. Under året kommer vi också att initiera samverkan med näringslivet för att på sikt bidra till lägesbilder och rekommendationer på åtminstone branschnivå.
Sveriges cybersäkerhet förbättras alltså, men samtidigt gör vi oss hela tiden beroende av nya internetbaserade lösningar. Säkerheten måste komma i kapp och sedan vara en naturlig del av den funktionalitet som vi väljer att lägga i digitala system. Dit har vi ännu en bra bit.
Thérèse Naess
Chef för Nationellt cybersäkerhetscenter