Åke Holmgren, chef för cybersäkerhet och säkra kommunikationer vid MSB, svarar på frågor om skydd mot dataintrång, säkerhetshot och säkerhetsmedvetandet bland anställda.
Hur väl skyddade anser du att statliga myndigheter är mot dataintrång?
– Det finns statliga myndigheter med ett väldigt högt skydd mot dataintrång och sedan finns det även myndigheter som har en bit kvar i sitt arbete. Det går inte att dra alla över en kam. Eftersom den digitala utvecklingen går så snabbt kan man inte heller slå sig till ro bara för att man idag har ett bra skydd.
Vilka brister anser du att det finns?
– Det brister i det grundläggande, systematiska informationssäkerhetsarbetet. Man har för dålig koll på sin information, var den skyddsvärda informationen finns och hur vi gör för att skydda den. Det är även så att man inte tänker på informations- och cybersäkerhet när man startar nya projekt, utan får lägga till efteråt.
Varifrån kommer de största hoten?
– De kvalificerade angriparna är ständigt ett hot som man måste räkna med. I många organisationer kan det vara svårt att göra den typen av riskbedömningar, och här kan man vinna på att införa grundläggande skyddsåtgärder som skyddar brett. Fortfarande står mänskliga felhandlingar och tekniska fel för en stor del av de it-störningar som vi ser i samhället.
Vilka råd vill du ge till myndigheterna för att förbättra sina skydd mot dataintrång?
– Ta ett helhetsgrepp, börja i toppen och skapa ett systematiskt sätt att jobba. Satsa sedan på att öka medvetenheten hos all personal. Bygg en säkerhetskultur i organisationen. Se till att utbilda och öva. Förr eller senare kommer organisationen att drabbas av en it-incident eller ett cyberangrepp – det är då viktigt att det finns en plan B.
Hur anser du att säkerhetsmedvetandet är hos anställda inom näringsliv och offentlig sektor?
– Det skiljer det sig väldigt mycket åt mellan olika branscher och organisationer. Överlag anser jag att informations- och cybersäkerhet inte tas på tillräckligt stort allvar. Digitaliseringen av samhället går väldigt fort och i många sammanhang kommer funktionalitet före säkerhet – istället för att de går hand i hand.
På vilka sätt brister säkerhetsmedvetandet anser du?
– Många gånger slarvar man för att vinna tid, men hamnar då endast i ett ännu mer pressat läge när man måste lägga på säkerhet i slutfasen. Bristerna kan vara på användarsidan, men det kan även vara så att säkerhetsorganisationen inte tillhandahåller ett användbart stöd eller förstår verksamhetens behov.
Hur kan säkerhetsmedvetandet höjas?
– Skapa en bild över var de stora riskerna finns och anställ en bra CISO (Chief Information Security Officer) som får mandat och resurser. En ledning som är engagerad och införstådd med verksamhetsnyttan med informations- och cybersäkerhetsarbetet skapar förutsättningar för en hög säkerhetsmedvetenhet i hela organisationen.