”Chefer som brister i it-säkerhet kan avsättas”

Sent på kvällen 19 januari angreps IT-leverantören Tieto Evrys svenska datacenter av den Rysslandskopplade hackargruppen Akira, med katastrofala följder för ett stort antal företag och verksamheter.

Bland annat förlorade Rusta 120 miljoner kronor i försäljning, medan Tandvårds- och läkemedelsförmånsverket blev av med hela sitt diarium.

Och det är bara ett av många omfattande it-haverier som drabbat svenska organisationer på senare tid, både på grund av angrepp utifrån och interna olyckor och slarv.

När Myndigheten för samhällsskydd och beredskap (MSB) analyserar situationen med hjälp av årliga undersökningarna it-säkkollen och infosäkkollen, landar man i att sju av tio organisationer i offentlig förvaltning saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete.

”Resultatet visar även på bristande engagemang från organisationernas ledningar”, slår MSB fast.

”Ett tydligt problem är att det i många organisationer är så få som arbetar med säkerhetsfrågorna, vilket gör att de faktiska effekterna uteblir”, säger Johan Turell som är chef för strategi och samordning på avdelningen för cybersäkerhet och säkra kommunikationer på MSB.

Läget är allvarligt inte minst i våra mindre kommuner, påtalar han.

”Där finns i vissa fall bara finns en enda medarbetare som på halvtid förväntas utföra allt informations- och cybersäkerhetsarbete – inte bara i den egna kommunen, utan även i grannkommunerna.  Då blir det inte mycket som händer”, säger Johan Turell.

Han fortsätter:

”Även i verksamheter som avsätter hyggligt med tid, har de som jobbar med säkerhetsfrågorna ofta ett svagt genomslag, litet mandat och ingen eller begränsad access till ledningen. MSB och andra myndigheter kan ge stöd, men det bygger på att det finns mottagare i andra änden som är beredda att höja sin kompetens, nyttja verktygen kring säkerheten som vi tillhandahåller. Finns inga sådan person, fallerar konceptet.”

Varför finns inte en större riskmedvetenhet bland chefer och i ledningsgrupper, efter alla cyberangrepp och it-säkerhetshaverier?

”Det finns en medvetenhet, men jag uppfattar den som selektiv. Seniora ledare slängs ofta mellan olika dagsaktuella frågor, och dit hör inte säkerheten om det inte inträffar någon större, it-relaterad händelse med direkt negativ påverkan på verksamheten. Är man inte med om något sådant, finns i regel alltid incitament att fokusera på annat. Då blir det inte mycket till medvetandehöjning.”

Vi i Sverige brukar säga att vi är världens mest digitaliserade land. Hur rimmar det med den låga nivån på it- och cybersäkerheten?

”Till att börja med är jag inte säker på om vi längre är i världstopp då det gäller digitalisering. Oavsett vilket, är det förstås oerhört problematiskt att lägga så stora resurser på it-utveckling som vi gör, utan att samtidigt säkra de digitala system vi gör oss beroende av. Sårbarheterna riskerar därmed att bli betydligt större än med tidigare analoga lösningar.”

”Statliga myndigheter omfattas visserligen av föreskrifter för it- och cybersäkerhet, men någon tillsyn har aldrig förekommit och inte heller några sanktioner. Kommuner och regioner har inte ens föreskrifter. För kommun med begränsade resurser, blir då prioriteringarna lätt sådant som medborgarna ser och uppskattar, som en ny simhall, snarare än ett systematiskt säkerhetsarbete som inte märks utåt.”

Vilket är ditt budskap till Sveriges chefer och ledare kring it- och cybersäkerheten?

”Att en incident kan bli ytterst kostsam, vilket vi sett gång på gång och inte minst nu i kölvattnet av cyberattacken mot Tieto Evry. Dels sker ett inkomstbortfall medan incidenten pågår, dels krävs ofta stora investeringar för att återställa systemen efteråt. Med kommande EU-regleringar [se faktaruta] tillförs en sanktionsregim som är omfattande. Med höga sanktionsnivåer. Och med möjlighet för tillsynsmyndigheten att temporärt avsätta chefer som inte inför tillräckliga säkerhetsåtgärder.”

Borde staten hjälpa organisationerna mer med it-säkerheten?

”Det kan bli aktuellt med mer direkta operativa stödinsatser, på EU-nivå finns sådana initiativ. Men i det ligger en moralisk risk: ju mer billigt stöd som finns att tillgå från staten, desto mindre drivkraft för egna satsningar. Vi vill inte hamna i ett läge där organisationerna uppfattar det som acceptabelt avstå från eget säkerhetsansvar, och förvänta sig att staten alltid ska komma rusande till räddning i efterhand.”