”Chefer som brister i it-säkerhet kan avsättas”

Pluskund

Svenska chefer är för dåliga på it-säkerhet och förstår inte vikten av att skydda sina verksamheter mot cyberattacker och digitala sammanbrott. Det visar både undersökningar och de allt fler it-haverierna i verkliga livet. ”Det finns en medvetenhet, men jag uppfattar den som selektiv”, säger MSB:s Johan Turell.

Krisledarskap
Publicerad
Johan Turell. Porträttfoto: Melker Dahlstrand
Johan Turell. Porträttfoto: Melker Dahlstrand

Sent på kvällen 19 januari angreps IT-leverantören Tieto Evrys svenska datacenter av den Rysslandskopplade hackargruppen Akira, med katastrofala följder för ett stort antal företag och verksamheter.

Bland annat förlorade Rusta 120 miljoner kronor i försäljning, medan Tandvårds- och läkemedelsförmånsverket blev av med hela sitt diarium.

Och det är bara ett av många omfattande it-haverier som drabbat svenska organisationer på senare tid, både på grund av angrepp utifrån och interna olyckor och slarv.

När Myndigheten för samhällsskydd och beredskap (MSB) analyserar situationen med hjälp av årliga undersökningarna it-säkkollen och infosäkkollen, landar man i att sju av tio organisationer i offentlig förvaltning saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete.

”Där finns i vissa fall bara finns en enda medarbetare som på halvtid förväntas utföra allt informations- och cybersäkerhetsarbete – inte bara i den egna kommunen, utan även i grannkommunerna.  Då blir det inte mycket som händer.”

”Resultatet visar även på bristande engagemang från organisationernas ledningar”, slår MSB fast.

”Ett tydligt problem är att det i många organisationer är så få som arbetar med säkerhetsfrågorna, vilket gör att de faktiska effekterna uteblir”, säger Johan Turell som är chef för strategi och samordning på avdelningen för cybersäkerhet och säkra kommunikationer på MSB.

Johan Turell. Foto: Melker Dahlstrand

Läget är allvarligt inte minst i våra mindre kommuner, påtalar han.

”Där finns i vissa fall bara finns en enda medarbetare som på halvtid förväntas utföra allt informations- och cybersäkerhetsarbete – inte bara i den egna kommunen, utan även i grannkommunerna.  Då blir det inte mycket som händer”, säger Johan Turell.

Han fortsätter:

”Även i verksamheter som avsätter hyggligt med tid, har de som jobbar med säkerhetsfrågorna ofta ett svagt genomslag, litet mandat och ingen eller begränsad access till ledningen. MSB och andra myndigheter kan ge stöd, men det bygger på att det finns mottagare i andra änden som är beredda att höja sin kompetens, nyttja verktygen kring säkerheten som vi tillhandahåller. Finns inga sådan person, fallerar konceptet.”

Varför finns inte en större riskmedvetenhet bland chefer och i ledningsgrupper, efter alla cyberangrepp och it-säkerhetshaverier?

”Det finns en medvetenhet, men jag uppfattar den som selektiv. Seniora ledare slängs ofta mellan olika dagsaktuella frågor, och dit hör inte säkerheten om det inte inträffar någon större, it-relaterad händelse med direkt negativ påverkan på verksamheten. Är man inte med om något sådant, finns i regel alltid incitament att fokusera på annat. Då blir det inte mycket till medvetandehöjning.”

En cyberincident kan bli ytterst kostsam, säger Johan Turell från MSB.

Vi i Sverige brukar säga att vi är världens mest digitaliserade land. Hur rimmar det med den låga nivån på it- och cybersäkerheten?

”Till att börja med är jag inte säker på om vi längre är i världstopp då det gäller digitalisering. Oavsett vilket, är det förstås oerhört problematiskt att lägga så stora resurser på it-utveckling som vi gör, utan att samtidigt säkra de digitala system vi gör oss beroende av. Sårbarheterna riskerar därmed att bli betydligt större än med tidigare analoga lösningar.”

”Statliga myndigheter omfattas visserligen av föreskrifter för it- och cybersäkerhet, men någon tillsyn har aldrig förekommit och inte heller några sanktioner. Kommuner och regioner har inte ens föreskrifter. För kommun med begränsade resurser, blir då prioriteringarna lätt sådant som medborgarna ser och uppskattar, som en ny simhall, snarare än ett systematiskt säkerhetsarbete som inte märks utåt.”

Nya EU-lagar om cybersäkerhet

  • Genom direktivet om nät- och informationssäkerhet (NIS2) införs nya regler för att främja en hög gemensam nivå av cybersäkerhet i hela EU, för både företag och länder.
  • Det stärker också kraven för medelstora och stora organisationer inom kritiska sektorer som energi, transport och bankverksamhet.
  • De som inte följer NIS2 riskerar omfattande ekonomiska påföljder baserade på verksamhetens omsättning.
  • Direktivet är godkänt av EU-parlamentet, kommer att bli svensk lag och förväntas träda i kraft 1 januari 2025.

Källa: Europaparlamentet, PwC

Vilket är ditt budskap till Sveriges chefer och ledare kring it- och cybersäkerheten?

”Att en incident kan bli ytterst kostsam, vilket vi sett gång på gång och inte minst nu i kölvattnet av cyberattacken mot Tieto Evry. Dels sker ett inkomstbortfall medan incidenten pågår, dels krävs ofta stora investeringar för att återställa systemen efteråt. Med kommande EU-regleringar [se faktaruta] tillförs en sanktionsregim som är omfattande. Med höga sanktionsnivåer. Och med möjlighet för tillsynsmyndigheten att temporärt avsätta chefer som inte inför tillräckliga säkerhetsåtgärder.”

Borde staten hjälpa organisationerna mer med it-säkerheten?

”Det kan bli aktuellt med mer direkta operativa stödinsatser, på EU-nivå finns sådana initiativ. Men i det ligger en moralisk risk: ju mer billigt stöd som finns att tillgå från staten, desto mindre drivkraft för egna satsningar. Vi vill inte hamna i ett läge där organisationerna uppfattar det som acceptabelt avstå från eget säkerhetsansvar, och förvänta sig att staten alltid ska komma rusande till räddning i efterhand.”

Redan PLUSkund — Logga in

Bygg vidare med fler tjänster

Nå nästa nivå med

Chefakademin+

Få de viktigaste insikterna, handplockade nyheter, och ledarskapsutveckling – på ett sätt som fungerar i din vardag.

Endast 349:- / mån*
  • Omvärldsbevakning – senaste ledarskapsnyheterna och -forskningen, samt andra ämnen som direkt rör chefsrollen.
  • Tidningen Chef – tidningen hem i brevlådan 11 gånger per år och tillgång till hela tidningsarkivet.
  • Digitala masterclasses – upskill med tillhörande workshopsmaterial som du kan använda på din arbetsplats.
  • Ljudboksbibliotek – ett digitalt bibliotek där du kan lyssna på sammanfattningar av de viktigaste ledarskapstitlarna!

*Faktureras halvårsvis eller årsvis. Tjänsten förnyas automatiskt om den inte sägs upp före sista giltighetsdatum.
Läs villkoren
Läs om Chefakademin+