Jonas Dellenvall, Advenicas CTO, delar med sig av sin syn på det kommande säkerhetsåret. Teknikutvecklingen går i en rasande fart med utbredningen av tekniker som AI, machine learning och kvantteknologi. I Sverige stundar även en ny säkerhetsskyddslag som träder i kraft 1 april 2019.
Vi börjar med en tillbakablick på det gångna året, hur var 2018? NIS-direktivet? GDPR? Vilka är effekterna? Blev det som vi trodde?
2018 var året då informationssäkerhet på allvar blev en fråga för ledningen. Från att ha varit en detaljfråga som hanterades av IT-avdelningen, blev det en strategisk fråga både avseende intäktssidan som en möjliggörare för affären, och på kostnads/risksidan för att undvika böter på grund av t.ex. GDPR eller förlust av anseende.
Den största förändringen som GDPR inneburit är att de allra flesta har gjort en seriös uppryckning av sina processer. Samtidigt har NIS-lagen inte inneburit så stora förändringar i Sverige. Dels har NIS-lagen mest handlat om att skapa förutsättningar för kommande framtida förändringar – dels är det nog en hel del som avvaktar den nya säkerhetsskyddslagen som kommer i april.
Så, vad händer inom cybervärlden under 2019?
Hotsidan fortsätter att utvecklas så att fler och fler stater blir alltmer kompetenta med ökad förmåga och kapacitet. Inget tyder på dramatiska förändringar åt något håll – snarare en kontinuerlig tillväxt. Jag skulle tro att 2019 blir året då vi på allvar väljer hur vi skall förhålla oss till detta – skall vi acceptera att leva med riskerna – eller skall vi täppa till hålen – även om det leder till att vi får avstå från några av digitaliseringens möjligheter? Ny säkerhetsskyddslag tvingar fram ställningstaganden kring t.ex. molntjänster – när och under vilka förutsättningar accepterar vi riskerna?
En konsekvens av de ökade hoten är att vi måste börja utgå från att någon eller några attackerare kommer att lyckas ta sig in – att använda skydd som är robusta även mot sådana hot som ännu inte är allmänt kända är därför en viktig faktor. Att bygga flera lager av skydd (Defense in depth) med fysisk segmentering är exempel på sådant som försvårar för alla attackerare oavsett nivån på deras förmåga.
Vilken skulle du säga är den största cybersäkerhetsrelaterade utmaningen under 2019?
Att se till att kritisk infrastruktur återigen blir robust i meningen att den inte enkelt går att slå ut på distans. Arbetet kommer att ta flera år, men kommer igång på allvar under 2019.
Det förändrade omvärldsläget gör att prioriteringen av civilt och militärt försvar kommer att fortsätta.
Den nya säkerhetsskyddslagen kommer att spela stor roll i Sverige. Att skydda system och verksamheter som inte är hemliga men känsliga utifrån tillgänglighet är en stor nyhet som kommer att påverka t.ex. styrsystem i kritisk infrastruktur – den tidigare lagen har handlat om att skydda hemligheter.
Cyberbrotten ökar konstant. Vad behöver göras för att bryta trenden?
Orsaken till att brotten ökar är så enkel som att det fortfarande lönar sig. För brottslingarna är risken att åka fast – och konsekvensen om man gör det – mindre kännbara än utfallet vid en lyckad attack. För verksamhetsutövare kan det kosta mer att åtgärda säkerhetsbristerna än att leva med förlusterna. Den viktigaste aktören för att förändra situationen är därför den politiska – genom att förändra incitamenten för både brottslingen och verksamhetsutövaren kan vågen tippas över. Risken för brottslingen behöver ökas – men också incitamenten för verksamhetsutövarna att faktiskt höja sin säkerhet.
Som verksamhetsutövare eller underleverantör har man ett ansvar att välja robustare lösningar – även om en osäker lösning skulle vara mer lönsam på kort sikt. Genom att välja en osäker lösning är man annars med och göder en kriminalitet som i längden är kostsam för oss alla.
Vad finns det för bra metoder för att höja sin beredskap inför IT-relaterade cyberbrott?
På den fronten är det inte mycket nytt. Se till att ha fungerande rutiner för säkerhetskopiering och säkerhetsuppdateringar. Genom regelbundna säkerhets- och konsekvensanalyser kan man se till att skydda rätt tillgångar och på rätt sätt.
Cybersäkerhet är inte en checklista eller ett tillstånd – det är en process. Genom kontinuerligt och medvetet arbete kan man åstadkomma rätt nivå av skydd.
Lista dina tre bästa tips till informationssäkerhetschefen inför 2019
- Chansa inte – gör återkommande säkerhets och konsekvensanalyser så att du vet vad som är skyddsvärt och varför. Det är enda sättet att undvika både onödigt risktagande och onödiga extrakostnader.
- Utgå från att alla skydd kan fallera och bygg arkitektur därefter. Använd Defense-in-depth och fysisk segmentering där det är motiverat.
- Håll koll på den nya säkerhetsskyddslagen – det är både nya verksamheter som omfattas och nya ålägganden som ingår.