MSB-chef om svensk it-säkerhet: ”Lite pinsamt att vi inte kommit längre”
– Sju av tio organisationer saknar de mest grundläggande delarna i ett systematiskt informations- och säkerhetsarbete. Väldigt många av dessa är kommuner, säger MSB:s generaldirektör Charlotte Petri Gornitzka.
Efter vinterns it-attacker konstaterar MSB:s generaldirektör Charlotte Petri Gornitzka att åtgärderna som föreslås nu dessvärre liknar åtgärder som föreslagits många gånger förr, såsom kontinuerliga riskanalyser och privat-offentlig samverkan. På DI:s cybersäkerhetskonferens hade hon därför med sig fem budskap om hur vi på allvar skapar ett mer cybersäkert Sverige.
– Det har sagts många gånger men tåls att sägas igen: Cybersäkerhetsfrågan är inget som snabbt kommer att lösas och försvinna. Det kan dessutom komma att bli ännu jobbigare framöver. Därför ligger detta högt upp på MSB:s dagordning, säger Charlotte Petri Gornitzka, generaldirektör, MSB, under DI:s Cybersäkerhetsevent i Stockholm.
Från handhavandefel till angrepp
Charlotte Petri Gornitzka berättar att de flesta it-incidenter i samhället som rapporterades in till och med 2022 hade med handhavandefel eller systemfel att göra. Men 2023 ändrades det.
– Då blev den vanligaste incidenten ett angrepp. Det innebär att vi måste höja den grundläggande nivån för att skydda informationssystem och tjänster.
MSB kan också se att över hälften av angreppen är indirekta, och att angriparna tagit sig in via en tredjepartsleverantör. Med den senaste omfattande attacken mot en av Sveriges stora it-leverantörer färskt i minnet, tycker Charlotte Petri Gornitzka att det pinsamt att behöva erkänna att man redan 2011 rapporterade om en liknande attack, och att åtgärderna som då rekommenderades är ungefär samma som rekommenderas nu.
– Där och då sa vi att det var viktigt att arbeta förebyggande genom ökad privat-offentlig samverkan och att lägga fokus på riskanalys och kontinuitet. Och detta kan vi alltså inte bocka av idag 2024. Nato säger att motståndskraft är lika med avskräckning. Därför är det extremt viktigt att vi investerar i detta, säger hon.
När Voister ställer frågan om huruvida Sverige är ”fredsskadat” och om det är orsaken till att vi inte verkar ha kommit särskilt långt sedan 2011, vänder hon sig mot användning av just ordet ’fredsskada’ (”det är väl snarare än styrka, att vara bra på att ha fred”), men vidhåller att även det civila försvaret har lidit av de senaste årens försvarsnedrustning.
– Vi har inte sett hur cyber och kommunikation kan användas som verktyg i krig, och har inte förstått hotbilden i tid. Det bygger vi nu tillbaka, säger hon.
Fem budskap
Charlotte Petri Gornitzka delar under sin presentation med sig av fem budskap för ett mer cybersäkert Sverige. Det första budskapet är att vi måste ha ett perspektiv på vilka konsekvenser en incident skulle ha för samhället i stort.
– Det är först då vi får med oss alla som berörs; det blir först då en lednings- och krishanteringsfråga, och inte enbart en it-fråga. Om ett vattenreningsverk blir attackerat kan följden bli folk blir sjuka av dåligt vatten, för att ta ett exempel. På den här punkten kommer NIS2-direktivet skapa en viktig struktur.
Bättre samverkan
Det andra budskapet handlar om ”förbättrad offentlig-privat samverkan”. Charlotte Petri Gornitzka exemplifierar med alla de olika instanser som upprättats, från Nationellt Cybersäkerhetscentrum (NCSC) till cybercampus på KTH, och att hon via dessa, och andra ”noder”, hoppas att näringslivet kan möta offentlig sektor.
– Att Ukraina lyckades rädda så mycket av sina data under invasionen, var just för att det privata och det offentliga hade en samverkan med förtroende för varandra.
Charlotte Petri Gornitzka under DI:s cybersäkerhetsevent.
Även det tredje budskapet rör olika EU-initiativ som Charlotte Petri Gornitzka tror kan gynna Sverige. NIS2-direktivet och cyberresiliensdirektivet (Cyber Resilience Act) är två av dem.
– Dessa kommer att tvinga organisationer till förändring. EU är redan på oss. Cybersäkerhet är för ovanlighetens skull ett område som vi inte är så duktiga på. Även för att kunna möta EU:s krav behövs samverkan.
Behov av systematik och smart digitalisering
Budskap fyra och fem handlar om behovet av systematiskt arbete respektive smart digitalisering.
För att ta tempen på hur systematiskt offentliga förvaltningar egentligen tar sig an it-säkerhet har MSB något man kallar för Cybersäkerhetskollen (tidigare Infosäkkollen) där verksamheter själva får fylla i hur man arbetar. Charlotte Petri Gornitzka beskriver det dock som ”ganska trist läsning”.
Cybersäkerhetsfrågan är inget som snabbt kommer att lösas och försvinna.
– Sju av tio organisationer saknar de mest grundläggande delarna i ett systematiskt informations- och säkerhetsarbete. Väldigt många av dessa är kommuner. Det är inte bara en fråga om brist på ekonomiska resurser utan det handlar också om ledningens engagemang.
En av de viktigaste beståndsdelarna i smart digitalisering är för Charlotte Petri Gornitzka när man inte sätter sig i knät på få, stora leverantörer.
– Att sprida äggen i flera korgar är en känd och bra metod för robusthet, vilket gör det svårare för angripare att attackera oss.
Läs mer om ämnet:
