Experternas 9 råd för att öka svensk cybersäkerhet

2018-09-14 06:00  

Ska digitaliseringen kunna fortsätta måste cybersäkerheten i Sverige öka. Ny Teknik har bett tre experter ge sina råd till nästa regering.

Efter valet: Den nya regering som Sverige får hamnar mitt i flera avgörande teknikomställningar. Enligt experter krävs politiska insatser för att Sverige inte ska hamna efter. Ny Tekniks redaktion listar fem teknikskiften som en politisk ledning måste ha koll på.

Del 1: Elproduktionen

Del 2: Fordon

Del 3: Klimatutsläpp

Del 4: Cybersäkerhet

Del 5: Artificiell intelligens
______

Förra sommaren stod Göteborgs hamn plötsligt still – efter en cyberattack i Ukraina. Angreppet fick namnet Notpetya och skakade företag världen över. Det påminde om hur digitaliseringen knutit ihop it-system.

– Antalet incidenter kommer antagligen att öka rejält de närmaste åren eftersom vi kopplat ihop allting. All offentlig verksamhet och alla företag är helt beroende av it, samtidigt som säkerheten inte riktigt hunnit med, säger Åsa Schwarz som är it-säkerhetsexpert på konsultfirman Knowit.

Därför skulle hon vilja se en satsning på att hjälpa företag och myndigheter när olyckan är framme eller angreppet sker. Kanske genom att ge Myndigheten för samhällsskydd och beredskap, MSB, en utökad roll.

– Vi måste få en bra incidenthantering på plats i Sverige som ett stöd för våra företag och myndigheter när det händer något. Någon som både tar in information om alla incidenter och ger råd utifrån det – och som operativt kan hjälpa till när det blir problem, säger Åsa Schwarz.

Läs mer: Så går det till när hackarna knäcker ditt lösenord

En fråga som nästa regering kommer att få på sitt bord är den nya europeiska Cybersäkerhetsakten. Den går bland annat ut på att skapa en gemensam certifiering för att säkerställa hög säkerhet i den mjukvara och hårdvara som används till samhällkritiska tjänster – som elnätet, vattenförsörjningen och järnvägen.

– I dag har Sverige inget sätt att ställa tydligt författningsreglerade krav på produkter som ska placeras i kritisk infrastruktur, säger Richard Oehme som är expert på cybersäkerhet och skydd av samhällskritiska tjänster på revisionsbyrån PWC.

”Använd gdpr som föredöme för att öka säkerheten”

När EU väl klubbar Cybersäkerhetsakten kommer nästa regering få en möjlighet att åtgärda detta.

– När Cybersäkerhetsakten kommer ska man säkerställa att det blir ett skarpt regelverk, och ge en myndighet i uppdrag att ansvara för att det regelverket efterföljs, säger Richard Oehme.

Albin Zuccato är chef för affärsområdet säkerhet på konsultbolaget Atea som levererar it-tjänster till många svenska kommuner och myndigheter. Han tycker att nästa regering borde använda gdpr som ett föredöme för att öka säkerheten. Tydliga krav – och hårda straff för företagen som bryter mot dem.

– Jag brukar jämföra med fortkörning. Det är väl fint att sätta upp vägskyltar med hastighetsbegränsning, men det krävs fartkameror och böter. Annars kör folk ändå som man vill, säger Albin Zuccato.

Han jämför med det så kallade Nis-direktivet som trädde i kraft den första augusti. Det ställer krav på att organisationer och företag som har hand om kritisk infrastruktur ska hålla hög säkerhetsnivå. Men den svenska implementeringen med ett maxstraff på 10 miljoner kronor i böter kallar han ”tandlös”.

– Aktörerna på det här området är stora företag, och tio miljoner är i vissa fall mindre än vad det kostar att hålla säkerhetssystemen igång ett år. De kan ta böter en gång om året och ändå komma billigare undan, säger Albin Zuccato.

Läs mer: Han lägger cybersäkerheten i statens händer

Han är tydlig med att en sådan omställning kommer att kosta pengar, och kan göra att digitaliseringen slår av på takten. Men menar att det är nödvändigt att satsa på säkra och pålitliga it-system. Vare sig hotet kommer från hackare eller dåligt skriven kod.

– Men vi får inte glömma att säkerhet kostar pengar, säger Albin Zuccato. Jag förstår att kommuner tvekar när de måste välja mellan att lägga en miljon på it-säkerhet i stället för på äldrevård eller förskola. Det är en svår avvägning, och jag förstår varför man väljer bort säkerhet om inte pengarna är öronmärkta eller det ställs tydliga krav.

Cybersäkerhetsreformen i Europa

EU håller just nu på att skissa på den så kallade Cybersäkerhetsakten som ska stärka medlemsländernas it-säkerhet, den så kallade Cybersäkerhetsakten. Den har två huvudsakliga spår:

1. Skapa en EU-gemensam certifiering för cybersäkerhet som kan användas för att säkerställa att företag och myndigheter som ansvarar för kritisk infrastruktur använder säkra produkter.

2. Att ge den europeiska byrån för nät- och informationssäkerhet, Enisa, ett permanent mandat, mer inflytande och att ge byrån i uppgift att stötta medlemsländerna i frågor som rör cybersäkerhet.

I juni presenterade Europarådet ett förslag på hur Cybersäkerhetsakten kan se ut. Just nu pågår förhandlingar mellan Europarådet och Europaparlamentet om hur lagen ska utformas. Ett färdigt förslag kommer förmodligen att presenteras under 2019, och ska sedan godkännas av både Europaparlamentet och Europarådet.

Här är experternas 9 råd till nästa regering

Richard Oehme, PWC

1. Möt kompetensbristen inom it- och informationssäkerhet med yrkesutbildningar, fler utbildningsplatser och insticksutbildningar i cyber- och informationssäkerhet på universitetsnivå.

2. Använd den så kallade Cybersäkerhetsakten för att ställa hårda krav på att offentlig sektor och privata företag som sköter samhällskritisk infrastruktur ska använda sig av säkra it-system och it-produkter.

3. Verka för ökad samverkan i säkerhetsarbetet mellan offentliga och privata aktörer.

Åsa Schwarz, Knowit.

1. Se till att incidentrapporteringen sker till en central myndighet som också kan hjälpa myndigheter och företag med att hantera it-incidenter.

2. Skriv in i regleringsbreven till myndigheter att de ska återrapportera sitt arbete på it-säkerhetsområdet.

3. Skapa en slags "AT-tjänst" för nyutexaminerade studenter som vill träna upp sig till säkerhetsexperter.

Albin Zuccato, Atea

1. Skapa ett tydligt regelverk för när och hur offentliga aktörer får använda sig av molntjänster.

2. Ställ tuffa krav på att företag och offentliga verksamheter ska höja sin it-säkerhet.

3. Ge ekonomiskt stöd till offentliga verksamheter som investerar i säkra it-system.

Simon Campanello

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt