Etikettarkiv: Dataintrång

Hur säkerhetsmedvetna och skyddade är vi?

Statliga myndigheter är inte så väl skyddade mot dataintrång, och säkerhetsmedvetandet bland anställda i näringsliv och offentlig sektor är överlag ganska lågt.

Hur väl skyddade anser du att statliga myndigheter är mot dataintrång?
Vilket säkerhetsmedvetande anser du att anställda i näringsliv och offentlig sektor överlag har vad gäller informations- och datasäkerhet?
Om undersökningen

Framtidens Karriär – It & Data genomförde en undersökning mot ett slumpmässigt urval av it/dataingenjörer och systemvetare 31 januari – 4 februari 2020. Statistisk felmarginal är 2,5–4 procentenheter.

Det finns ingen magisk låda som fixar säkerheten

Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS. Foto: Sara Arnald
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, IIS. Foto: Sara Arnald
Säkerhetshoten blir allt mer sofistikerade och frekventa, men lösningen är densamma. Användarna måste med på tåget och säkerhetsarbetet måste vara metodiskt.

När Anne-Marie Eklund Löwinder, som är säkerhetschef på Internetstiftelsen i Sverige, IIS, ska peka på aktuella hot, så lyfter hon fram att allt fler system numera är sammankopplade, vilket gör att angreppen får allvarligare konsekvenser.
– Idag kan du med små medel åstadkomma stor skada. Det finns gott om exempel på det, säger hon.
Hon ser hur nya dataläckage inträffar regelbundet och hänvisar till sajten www.informationisbeautiful.net.

Carolin Runnquist, Director Cyber Security på PwC. Foto: Knut Koivisto
Carolin Runnquist, Director Cyber Security på PwC. Foto: Knut Koivisto
Hoppas på privacy by design
Genom IoT kommer allt fler prylar, inte minst konsumentprodukter, att kopplas upp mot internet, och hon oroas över att ansvaret för att skydda sig läggs på den enskilde individen i allt för stor utsträckning.
Här hoppas hon mycket på komponenten ”privacy by design”, som ingår i dataskyddsregelverket GDPR.
Hon efterlyser också mer aktiviteter så att organisationer blir bättre på övervakning, och mer träning på hur man ska hantera intrång. Idag saboteras många eventuella bevis på grund av brister i hanteringen.
Det är fortfarande stora säkerhetsbrister i många webbsajter. På sajten hardenize.com kan man testa cyberhygienen på sin webbsajt.
– Det är rysligt illa ställt med säkerheten på många myndighetssajter och här ska vi med hjälp av MSB driva en kampanj för att förmå myndigheterna och andra att förbättra sig, säger Anne-Marie Eklund Löwinder.
Carolin Runnquist har titeln Director Cyber Security på konsultföretaget PwC och när hon pekar på trender i informationssäkerhet lyfter hon fram vad kunderna just nu brottas med.
– Många organisationer har problem med att förena sin allmänna riskhantering med hanteringen av cyberrisker, säger Carolin Runnquist.
Medan allmänna riskhanteringen kanske rapporterar var tredje månad, så kräver cyberriskerna en mycket frekventare rapportering.
– Det finns ramverk att tillämpa, men man måste också utbilda hela organisationen i den nya situationen.

Mer sofistikerade hot
Överhuvudtaget är hoten mycket mer sofistikerade idag än för bara ett år sedan.
– Tidigare gick man brett, medan attackerna idag är riktade. Man tar sig in och undersöker. För att minska risken för upptäckt plockar man ut lite kontanter i taget.
Enligt Carolin Runnquist sker 24 procent av alla intrång via underleverantörer. Därför är det viktigt att se till att en underleverantör har tillräcklig säkerhet.
Thomas Nilsson, som är delägare i säkerhetsföretaget Certezza, stöter ofta på en stark önskan om tekniska lösningar.
– Sanningen är att det inte finns någon magisk låda man kan köpa. Lösningen är ett strukturerat säkerhetsarbete, säger Thomas Nilsson.
Arbetet ska ge svar på vad som är värt att skydda och vad det får kosta.
– Har man inte ett strukturerat arbete och ändå klarat sig utan större incidenter vågar jag påstå att man har haft tur.
Han framhåller också vikten av att se över hanteringen av sina kryptonycklar och att ha en plan för att löpande byta ut dem.
– Ofta känns det som om jag upprepar mig och det känns mossigt. Men sanningen kanske är mossig?
Det hotfulla säkerhetsläget illustreras även genom Framtidens Karriär – It & Datas undersökning bland yrkesverksamma it-/dataingenjörer och systemvetare.
Av undersökningen framgår att 61% av it-/dataingenjörer och systemvetare bedömer att myndigheter och andra offentliga verksamheter dagligen utsätts för cyberattacker och dataintrång.

Hur ofta tror du att myndigheter eller andra offentliga verksamheter utsätts för cyberattacker eller dataintrång?

Om undersökningen
Framtidens Karriär – It & Data genomförde en undersökning mot ett slumpmässigt urval av it/dataingenjörer och systemvetare 27 december 2018 – 2 januari 2019. Statistisk felmarginal är 2,5–4 procentenheter.

Säkerhet kräver engagerad ledning

Margareta Palmqvist, chef för Enheten för systematiskt informationssäkerhetsarbete vid MSB.
Margareta Palmqvist, chef för Enheten för systematiskt informationssäkerhetsarbete vid MSB.
En engagerad ledning är förutsättningen för ökad säkerhet och bra säkerhetsarbete i alla organisationer. Det hävdar Margareta Palmqvist, som är enhetschef på Myndigheten för samhällsskydd och beredskap, MSB.

Hennes påstående har stöd i myndighetens egen undersökning och i en undersökning som gjorts av tidningen Framtidens Karriär – It & Data 2018. Av den undersökningen som gjorts bland tidningens läsare, som är yrkesverksamma ingenjörer i it-branschen och systemvetare, framgår att 52 procent av de tillfrågade anser att statliga myndigheter har ganska lågt eller mycket lågt skydd och beredskap mot dataintrång.
Av undersökningen framgår också att 75 procent av it- eller dataingenjörer och systemvetare anser att kunskapen i ledningsgrupper i stora företag och offentliga organisationer är ganska liten eller mycket liten.

Ledningen har stort ansvar
Margareta Palmqvist, vars formella titel är chef för Enheten för systematiskt informationssäkerhetsarbete vid MSB, är inte förvånad över resultatet i undersökningen.
– Vår egen undersökning från 2014 uppvisar ett liknande resultat. Ett resultat som inte är så bra som man skulle önska, säger Margareta Palmqvist.
Hon pekar framför allt på brister hos ledningarna, som den främsta orsaken till brister i säkerhet och i säkerhetsarbetet.
– Ledningen måste tydliggöra roller i säkerhetsarbetet och ge tillräckligt med resurser. Dessutom måste ledningen ge resurser för kompetensutveckling i de här frågorna.

Utvecklar metodstöd för alla
Flera statliga myndigheter har samlat vägledning på den gemensamma hemsidan, www.informationssäkerhet.se. Här finns mängder av kunskap att hämta för den som vill förbättra informationssäkerheten.
– Snart lanserar vi också det vi kallar metodstöd för informationssäkerhetsarbetet och det riktar sig till både myndigheter och privata organisationer. Det här metodstödet kommer att uppgraderas kontinuerligt och här kan man få hjälp oberoende av var man befinner sig i det arbetet.
Även här framhåller man vikten av ledningens engagemang.
– Ledningen måste skapa förutsättningar för arbete med säkerheten och att integrera dem med andra frågor. Det kan till exempel vara att integrera dem i kvalitetsarbetet eller att använda organisationens metod för riskanalys.
Hon framhåller också vikten av att återkommande göra omvärldsanalyser.
– Hotbilden som finns är föränderlig och nya hot tillkommer ständigt.

Hur stor kunskap anser du att ledningsgrupper i stora företag och offentliga organisationer i Sverige har om data- och informationssäkerhet?

Hur bra skydd och beredskap anser du att statliga myndigheter har mot dataintrång?