Vid en fördjupad analys av rapporten Svenskt IT-säkerhetsindex, som utfördes under perioden juni-september 2016, identifierades en grupp som angett ”medel eller hög risk för skador på samhällskritisk infrastruktur” (SKR). Denna grupp är högintressant av flera skäl:
- Deras nyckelroll inom samhället
- Mer troligt mål för cyberattacker
- Utökad infrastrukturkomplexitet med drift- och IT-miljö
Resultatet av analysen kan ni läsa här: IT-säkerhetsindex med bäring på samhällskritiska risker
Med tanke på ovan kan man anta att behovet av en aktiv tillsynsmyndighet är påtaglig för att hjälpa dessa organisationer att lyckas med sin uppgift att minska risken för störningar i deras drift. Många av kritisk infrastruktur-leverantörerna finns inom kommunal verksamhet eller drivs av varianter av privata leverantörer med mer eller mindre kommunalt engagemang. Dessa organisationer har en historik, kultur och ekonomiska förutsättningar som sätter ramarna för deras ambition att cybersäkra sina tillgångar.
En observation eller kommentar som kan dras utifrån rapporten är huruvida dessa verksamheter verkligen får det stöd som de behöver? MSB gör en mängd olika insatser för att samla in information, utbilda och driva forskning på området. Men som det så ofta är ”det man mäter, det får man”. Det kanske är så att MSB eller någon annan myndighet behöver se över hur man på ett objektivt sätt uppnår den informations- och driftsäkerhet som förväntas och kan accepteras beroende på typen av verksamhet. Detta kan bestå i olika mätetal såsom kombinationer av till exempel antal försvarszoner på djupet, informationspolicy som är implementerad och graden av aktivt utförda revisioner.
