Elastisys bjöd in ledande cybersäkerhetsexperter i Norrland – bland annat ansvariga för samhällskritiska tjänster, leverantörer till samhällskritiska tjänster och andra branschexperter. Under en eftermiddag diskuterades aktuella händelser, trender och krav som ställs kopplat till cybersäkerhet. Hur ser hotbilden ut? Vilka är de aktuella händelserna? Vilka krav ställs på oss som organisation? Och hur bör vi agera? I detta blogginlägg har vi samlat våra key takeaways från dessa diskussioner.
Ökad och förändrad hotbild
Det råder inga tvivel om att vi ser en växande brottslighet och en ökad hotbild vad gäller cybersäkerhet. Som svar på detta ser vi även ökade krav, genom bland annat det väldigt aktuella EU-direktivet, NIS2, som träder i kraft i oktober senare i år.
Cyberbrottsligheten ökar, dessvärre som en direkt följd av ökad digitalisering kombinerat med otillräckliga investeringar i cybersäkerhet. Våra digitala system innehåller allt mer värdefulla data och blir därmed mer lukrativa för kriminell verksamhet, vilket exemplifieras i flera av de uppmärksammade ransomware-attackerna senaste tiden. Cyberbrottsligheten sker även på ett mycket mer kommersiellt sätt och allt fler avancerade attacker erbjuds öppet på forum och marknadsplatser för cyberbrott.
En annan faktor som bidrar till den ökade hotbilden är det försämrade säkerhetspolitiska läget som råder på grund av krig i Europa. Detta har manifesterats genom flertalet attacker mot svenska samhällsfunktioner. Angreppen utförts inte av ekonomiska motiv utan för att störa och skapa oro, och i längden skada förtroendet för våra svenska myndigheter och institutioner.
Ett konkret exempel som diskuterades under kvällen var en attack som gjorde ett IT-system som hanterar skolskjutsar otillgängligt, vilket förmodligen gjordes för att sprida en osäkerhet i samhället snarare än för ekonomisk vinning.
AI, och speciellt generativ AI, är utan tvekan ett hett område som blivit aktuellt under senaste året. Ur ett cybersäkerhetsperspektiv var kvällens deltagare överens om att än så länge har dessa verktyg främst gynnat angripare. AI har flitigt använts av cyberbrottslingar både för att generera olika typer av skadlig kod och exploits men även för spear phishing – allt ifrån mer välformulerade mail till deepfakes över video. Det återstår att se hur denna teknik framgångsrikt kan användas för att även kunna öka cybersäkerheten.
Men det handlar inte bara om att vi ser en ökning i antal, utan även i omfattning. Omfattningen av den senaste tidens cyberattacker har skapat en större medvetenhet om hur dessa cyberattacker påverkar både företagen och privatpersoners vardag.
NIS2 - direktivet för ökad cybersäkerhet
Det aktuella EU-direktivet, NIS2 genomsyrade många av de dialoger som fördes under kvällen. För att överbrygga klyftan mellan vad samhället behöver och den alltför ofta förbisedda och nedprioriterade informationssäkerheten, har EU nyligen släppt direktivet NIS2. Detta som en förbättring till det tidigare NIS-direktivet – retroaktivt kallat "NIS1" – som hade ett liknande mål.
Sett från ett helikopterperspektiv syftar NIS2-direktivet till att uppnå två primära mål:
- att minska budgetklyftan, dvs. brist på investeringar i säkerhet;
- att minska intelligensklyftan, dvs. att alla organisationer är medvetna om den aktuella säkerhetsrisklandskapet och de mest effektiva åtgärderna för att minska riskerna.
Detta ser alla som något positivt och något som kommer att främja cybersäkerheten och samhället i stort. Elastisys DPO, Cristian Klein, har skrivit bloggen “All you need to know about NIS2” för de som vill djupdyka i direktivet och dess inverkan.
Hur kan vi som företag agera?
Det råder inga tvivel om att det finns områden att agera kring och att dessa typer av frågor bör och behöver arbetas med och tas i beaktning i alla delar av en organisation. Under kvällen delades diskussionen upp kring hur vi bör agera i tre olika perspektiv; på ledningsnivå, kommersiell nivå och teknisk nivå – där det blev tydligt att alla dessa aspekter spelar lika stor roll ur ett organisatoriskt perspektiv.
Aspekter på ledningsnivå
Bland kvällens deltagare rådde bred enighet om att senaste tidens händelser och allmänna läge (till slut) har gjort att cybersäkerhetsfrågor har fått ett genomslag på ledningsnivå. Detta verkar dock ofta ske ganska reaktivt. “Ojdå-insikterna” har skapat en bred känsla av att något måste göras, men exakt vad detta “något” ska vara är svårare att komma fram till.
Vanliga aktiviteter som görs idag bland deltagarna är att se över handlingsplaner, öva katastrofscenarios på ledningsnivå utifrån dessa och att träna kommunikation. Det senare gäller både interna kommunkationsflöden och extern kommunikation med aktörer som kunder, samarbetspartners och media. Med komplexa leverantörskedjor är det även viktigt att se över avtalen med sina underlevarantörer och därmed även förstå gränsdragningen och ansvarsfördelningen för informationssäkerhet.
Kommersiella aspekter
När vi ser till de kommersiella aspekterna diskuterades framför allt det faktum att det finns ett ökat krav på just cybersäkerhet och resiliens, det vill säga förmågan att kunna återhämta sig efter en attack.
Det blir även allt mer tydligt att det är svårt att motivera kostnader innan en incident har inträffat. En anledning till detta kan bland annat vara okunskap. Okunskap i den formen att det inte finns tillräckligt med insikt om vilka risker som finns i organisationen, samt vilka skyddsåtgärder som därmed är nödvändiga. För i slutet av dagen är säkerhetsåtgärder, precis som försäkringar, något man är väldigt glad att man har om eller när något händer, men som man helst inte vill behöva använda sig av alls. Hur bör organisationer då agera ur ett kommersiellt perspektiv?
För bolag som tillhandahåller digitala tjänster diskuterades flera intressanta säkerhetsaspekter från ett kundperspektiv, bland annat hur man motiverar kostnader för att säkra system mot slutkunderna hur ett bolag kan hantera kunder som av kostnadsskäl vill köpa en mindre säker (men billigare) variant av tjänsten. Många upplever en problematik liknande den som finns gällande försäkringar - det är bra att ha en försäkring, men svårt att bedöma exakt vilket skyddsnivå som behövs, detta då risknivån är mycket svår att uppskatta vad gäller cybersäkerhet.
Det diskuteras även vilka typer av motkrav man som tjänsteleverantör kan ställa på kunder ur ett säkerhetsperspektiv. För leverans av mer komplexa tjänster är just gränsdragningen av säkerhetsansvar mellan leverantör och kund mycket viktig. Men överlag gör dagens allvarliga situation att kundernas krav på cybersäkerhet och resiliens ökar.
På samma tema ser deltagarna utmaningar med att budgetera för säkerhet på ett bra sätt internt. Detta då kostnader och aktiviteter kopplat till detta ofta sträcker sig långt bortom gränserna för IT-avdelningen och därför snarare blir en ledningsfråga än en IT- eller säkerhetsfråga.
Tekniska aspekter
Det råder i stort en kultur bland utvecklare att säkerhetsarbete är en tidstjuv och incitament saknas då det är svårt att bygga en ingenjörskarriär på att skapa säkrare kod. Denna typ av roll innebär ett stort ansvar och känns ofta otacksam då säkerhet både är ett omfattande område och dessutom svårt att mäta och utvärdera proaktivt. Om ett system är tillräckligt säkert går inte att säga med tillförsikt, men motsatsen kan lätt bevisas vid intrång och andra typer av säkerhetsincidenter.
Därtill finns det även många tillkortakommanden vad gäller kompetensutveckling, medvetenhet och träning hos många organisationer. De flesta framgångsrika attacker börjar med att man lurar någon anställd, exempelvis att klicka på en länk i ett mail. Vilket visar den sårbarhet som faktiskt finns hos organisationer. Hur kan vi då agera ur ett tekniskt perspektiv för att öka cybersäkerheten?
En rad olika tekniska aspekter och skyddsmekanismer diskuterades, bland annat hur penetrationstestning kan belysa svaga punkter i ett system men även ha mjuka fördelar i form av exempelvis ett ökat ägarskap bland ingenjörsteam. Andra tekniker som belystes inkluderar sårbarhetsscanning för att detektera sårbara versioner av källkod i både systemutveckling och drift, applikationsbrandväggar, skydd mot överbelastningsattacker, nätverkssegmentering och analys av komplexa mjukvaruberoenden.
Två saker att börja med är att minska risken för attacker baserade på mänskliga faktorn och att öka förmågan att återställa efter incidenter. Ett flertal verktyg fokuserar på just detta, genom att exempelvis återkommande testa anställda med olika typer av fiktiva phishing-attacker, kombinerat med gamification för att öka anställdas motiv att delta i denna typ av utbildning.
Slutligen diskuterades backuper och dess centrala funktion för incident-återställning. Detta ses som välkänt sedan många år men det slarvas dessvärre ofta i praktiken. Dessa backuper är vitala och det krävs att de finns tillgängliga efter attacker – gärna genom att lagras i skrivskyddad form för att säkerställa tillgängligheten även efter att data har krypterats av ransomware. Tillgång till backuper är dessutom bara användbart om det kombineras med förmågan att faktiskt återställa från en backup. Den senare är en färskvara som måste övas återkommande, och då i allt mer komplexa scenarier där det kompletta tillståndet i ett system återställs.
Slutsatser
Även om läget är allvarligt med ökad hotbild vad gäller cybersäkerhet bör detta ses som en möjlighet, en möjlighet till förbättring, förändring och en ökad medvetenhet. Det är idag mer aktuellt än någonsin att som organisation investera i ökad cybersäkerhet. Den ökade medvetenheten överlag om området gör det dessutom enklare att införa ytterligare säkerhetsåtgärder, exempelvis en så simpel åtgärd som tvåfaktorsautentisering för tryggare inloggningar. Dessa typer av skyddsmekanismer kan i brist på medvetenhet i ett företag mötas av motstånd och betraktas som en omständlig process som försämrar den digitala arbetsmiljön och bromsar innovationstakten. Detta ställer då krav på dig som jobbar med dessa frågor att skapa en organisationsöverskridande förståelse för vikten av en implementering och av dessa faktorer – för organisationens cybersäkerhet är inte bara en ifylld checkbox i en lista, utan ett ständigt pågående arbete.
Avslutningsvis betonar kvällens cybersäkerhetsexperter även vikten av samarbete inom branschen, exempelvis i form av nätverksträffar liknande kvällens evenemang. Kunskapsdelning och ökat samarbete i alla former är viktigt för oss som jobbar med cybersäkerhet. Det finns redan omfattande samarbete bland invilliga aktörer. Det är därför hög tid att även vi som vill skydda informationstillgångar börjar samarbeta mer effektivt för att överbrygga den kunskaps- och resursbrist som råder inom området, främst i mindre organisationer.
Deltagande:
Jonas Westling (Vitec Software Group), Daniel Cronström (Nordlo Elevate AB), Nils Undén, (Clavister), Edwin Carroll (Umeå Energi), Markus Örebrand (Omegapoint), John-John Markstedt (Nasdaq), m.fl.