Digitaliseringen är här – med en uppsjö nya möjligheter och tjänster. Parallellt ökar även riskerna. I en tid där utvecklingstakten går på högvarv är det dags att stanna till och ta nytt grepp om säkerheten.

– Jag älskar också internet, och allt man kan ha det till, men om vi inte har ett säkerhetstänk kommer det att inträffa incidenter som gör att allmänhetens förtroende naggas i kanten. Det har vi inte råd med om vi vill kunna åka runt i självkörande bilar och koppla upp våra hem, säger Anne-Marie Eklund Löwinder, informationssäkerhetschef på Internetstiftelsen i Sverige (IIS) och en av Sveriges främsta experter på området.

Tekniker som sakernas internet, molnet och artificiell intelligens väcker nya frågor om säkerhet. Mobila medarbetare, och det faktum att alla är uppkopplade alltid, ökar sårbarheten. Lägg till det oändliga integrationer, komplexa systemsamband och en allt snabbare utvecklingstakt så börjar bilden av det nya risklandskapet kanske klarna.

Läs också: Okej att flytta EU-data till USA? Än är det grönt ljus

Hur gör man för att skydda informationen? Som alltid – fast snabbare och mer, om vi får tro Anne-Marie Eklund Löwinder.

– I dagens komplexa och diversifierade miljöer är det omöjligt att skydda sig helt från alla tänkbara hot, men det går att värdera och hantera risker, och det är det man bör fokusera på, konstaterar hon.

Anne-Marie Eklund Löwinder menar att de fyra hörnstenarna i informationssäkerhet – konfidentialitet, korrekthet, tillgänglighet och spårbarhet – är desamma som alltid. Skillnaden ligger i den ökade komplexiteten – och i att de har blivit viktigare än någonsin.

– Man måste fortsatt förstå vilken information som är känslig och kunna upprätthålla sekretess, man måste kunna garantera att informationen är korrekt, se till att den är tillgänglig för rätt personer och spårbar, så att det framgår vem som har hanterat den.

Därtill måste man veta vilken hotbild som finns, och vilka konsekvenserna av en eventuell attack skulle kunna bli, för att i nästa steg kunna göra en korrekt bedömning av om det är värt att ta en risk eller inte.

– I riskanalysen måste man alltid väga in kostnad och effektivitet. Det kanske inte är optimalt att lägga pengar på ett skydd mot något som kanske inträffar en gång vart tionde år, eller också är det det. Det måste man värdera från fall till fall.

Digitaliseringen sätter fokus på snabbhet, flexibilitet och innovation. Det är lätt att ryckas med, men det gäller att hålla huvudet kallt, menar Anne-Marie Eklund Löwinder.

– Ju mer fokus på innovation och snabbhet, desto större blir faktiskt behovet av att ha systematik och metodstöd på plats. Men det är något många glömmer. När det gäller ny teknik beter man sig som sömngångare som går rakt in i nya saker utan att tänka efter före.

Anne-Marie Eklund Löwinder tycker att många förlitar sig för starkt på tekniska lösningar när det gäller informationssäkerhet. Särskilt som de flesta attacker idag inte bygger på teknik utan på social ingenjörskonst – genom manipulation luras människor att lämna ut information som de inte borde.

– Det är något angriparna är experter på, och för att hålla jämna steg med dem måste organisationerna bli lika bra på att förstå hur människor fungerar, och varför de gör som de gör, menar Anne-Marie Eklund Löwinder.

Hon tycker att beteendevetenskap är en kompetens som fler organisationer borde prioritera och se till att ha i huset.

– Det är ju ett kontinuerligt arbete och ett behov som inte försvinner, så kanske kan man samarbeta med HR? De som jobbar där är ofta bra på beteendefrågor. Sedan får man försöka vara uthållig, kommunicera med medarbetarna, berätta om risker och varför man har vissa regler.

Fördelningen mellan teknik å ena sidan, och å andra sidan styrning, administration och ledning bör vara 20–80, tycker Anne-Marie Eklund Löwinder.

– Det viktigaste är alltid att man har medvetna medarbetare som känner till vad som gäller när det kommer till regler, riktlinjer och beteenden, säger hon.

– Tekniken finns där för att se till att det inte inträffar en katastrof om någon skulle göra fel. Den är ett bra komplement, men den ger inte ett heltäckande skydd.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

I dagens komplexa miljöer är informations­säkerhetsarbetet inte något som kan skötas av en ensam säkerhetsansvarig. Samarbete är a och o för att kunna möta utmaningarna, menar Anne-Marie Eklund Löwinder.

– Man måste samarbeta över avdelningsgränser och med andra chefer. Säkerhetsfrågan måste återspeglas i strategier, i styrelsearbetet och hos ledningen. Ytterst är det alltid ledningens ansvar, och därför är det viktigt att man får in kompetensen i ledning och styrelse, konstaterar hon.

Cio:ns roll är i sin tur att fungera som en brobyggare mellan säkerhet, affärsverksamhet och ledning.

– Cio:n ska se till att man har en bra miljö där man är medveten om vilka risker som finns och regelbundet följer upp hur det ser ut, genomför utbildningar och så vidare.

– Cio:n har en väldigt viktig roll i att se till att människor är riskmedvetna. Det gäller egentligen inte bara it utan hur man pratar med folk när man är ute och reser, hur man hanterar sin telefon och sådant. Mycket av det som rör säkerhet hänger ju ihop.

På IIS, där Anne-Marie Eklund Löwinder är säkerhetschef, har man delegerat ansvaret för säkerheten så att de som är produkt- eller tjänsteägare också har ansvaret för tjänstens informationssäkerhet.

Själv har Anne-Marie Eklund Löwinder en mer koordinerande och stöttande roll.

– Jag jobbar mycket med utbildning, information och preventivt arbete. Sedan går jag också in vid internrevisioner för att se till att vi uppfyller kraven. Eftersom vi är certifierade enligt den internationella standarden ISO 27001 kommer det också externa revisorer och kontrollerar att vi uppfyller kraven i den.

Tidigare satt Anne-Marie Eklund Löwinder med i ledningsgruppen, men den har hon lämnat nu, eftersom hon anser att det är viktigt att informationssäkerhetsrollen är fristående och neutral.

– Jag tycker också att det är självklart att informationssäkerhetsrollen ligger utanför it-avdelningen. Annars måste man rapportera till en chef som kanske har motstridiga intressen och då blir det väldigt svårt att hävda sin kunskap och sina resultat när det gäller riskhantering, säger hon.


Fem tips från Anne-Marie Eklund Löwinder

1. Skaffa insyn i styrelse och ledning. Ha gärna en allierad i styrelsen och se till så att du får komma dit någon gång per år och berätta vad ni jobbar med, och vilka problem ni ser. Ta reda på vad styrelsen intresserar sig för och utnyttja det i kommunikationen för att väcka intresse.

2. Skaffa utblick. Omvärlds­bevakning är otroligt viktigt. Det duger inte att sitta på sin kammare och polera på sina ledningssystem och sina dokument. Man måste ha en väldigt bra uppfattning om vad som händer i världen för att vara relevant.

3. Skaffa kontakter inom alla delar av verksamheten. Det gäller att försöka komma in i de olika teamen och diskutera säkerhetsfrågor på ett tidigt stadium.

4. Var påläst. Du behöver inte kunna all teknik som teamen arbetar med, men du måste förstå vad som pågår. Var inte rädd att fråga om det är något du inte förstår.

5. Gör dig hörd. Som den som har det övergripande säkerhets­ansvaret måste du vara noga med att prata om vad som går att göra istället för att bara tala om vad som inte går att göra. Var lösningsfokuserad.