Cybernodens krönika
Krönikör: Johanna Parikka Altenstedt
25-06-26
Cybersäkerhet börjar med ledarskap – bankvärlden vet det
Det var intressant att i Almedalen få ta del av hur ett 205 år gammalt bankföretag, Swedbank, har gjort en snabb och imponerande utveckling inom cybersäkerhet. Swedbanks CSO och koncernsäkerhetschef Petra Klein delade med sig glimtar ur resan som banken har gjort. Banker är en del av samhällets kritiska infrastruktur, och därmed är kraven på cybersäkerhet väldigt höga, något som även EU:s cybersäkerhetsförordning för banker och finansinstitut, Digital Operational Resilience Act (DORA), understryker. Det är inte mycket som fungerar i samhället om betalningssystemen krånglar. Därför är det nödvändigt att bankerna tar sitt cybersäkerhetsarbete på stort allvar.
Några råd som Petra Klein lämnade var följande:
Cybersäkerhet är allas ansvar. Hela organisationen ska involveras i arbetet. Men oavsett om det är ett stort eller ett litet företag, så kommer medarbetare inte uppfatta att cybersäkerhet är viktigt om inte ledningen visar det med handling. Synliga symboler, som till exempel att alla – även ledningsgruppen och VD:n – ska ha sina identitetsbrickor synliga, behövs i vardagen på jobbet.
Ledningsgruppen och styrelsen ska involveras. Men för att kunna göra det, behövs det verkligt intresse, förståelse och engagemang från ledningen och styrelsen. På Swedbank ändrade man helt rapporteringssystemet så att det blev förståeligt och relevant. Exceltabeller med poängsatta hot (mallen som ofta har sina rötter i kärnkraftsverk) skrotades då varken de som rapporterade eller de som tog emot den kunde uppfatta den som bra diskussions- och beslutsunderlag för banken. I stället valdes topp fem hot som man nu följer systematiskt och rapporterar i klarspråk, och ledningen känner att de förstår frågorna.
Säkerhetskultur och kommunikation. Intresset och uppmärksamheten för cyberhot är det bästa skyddet för en organisation. För att kunna upprätthålla detta krävs det ett aktivt arbete för säkerhetskultur och kommunikation. Det innebär att man behöver beteendevetare, sociologer och kommunikatörer i sin cybersäkerhets- och säkerhetsorganisation.
Cybersäkerhet ska integreras i allt arbete som en normal del. När det gäller budgetering, är det bättre att ledningen (som kan frågorna) anger tydliga mål som olika enheter och avdelningar ska uppnå inom cybersäkerhet, men får lösa det inom sin ordinarie verksamhet. På detta sätt hamnar man inte i en situation där cybersäkerhet upplevs som en ballong utanför resten av verksamheten, och då slipper cybersäkerhetsansvariga roller tampas med obefintliga budgetar.
Mod. Framför allt krävs det mod av alla ledare som arbetar med cybersäkerhet på ett eller annat sätt. Mod att utmana styrelser, mod att ändra på sätt att arbeta och tänka, mod att minska administration och öka förståelse, och mod att dela med sig av både goda och dåliga erfarenheter för att andra ska lära sig av dem.
Några kloka ord fick vi även från Netnods Patrik Fältström under Omegapoints paneldiskussion i Almedalen. Han påpekade att det är alldeles för ofta så att IT-avdelningar talar om för verksamheterna vad de behöver och vilken säkerhetsnivå som krävs, när det istället bör vara så att verksamheterna talar om för IT-avdelningarna vad som behövs.
Naturligtvis är det så att de allra flesta företagen i Sverige är mikro-, små eller medelstora företag, vilket gör att det är svårt att anställa ett gäng specialister för att bygga säkerhetskultur, eller ens ha en CISO. Där måste olika former av synergier och partnerskap bli en lösning, något som prövas idag inom den offentliga sektorn på olika håll i norra Sverige. Alla kommuner behöver inte uppfinna hjulet utan man kan samverka och samarbeta. För det krävs dock tid, tillit och att man faktiskt känner varandra. Just nu har NCC-SE vid MSB en utlysning om medel till små och medelstora företag som vill genomföra projekt för att förbättra cybersäkerheten på olika sätt.
NCC-SE – Bidrag till små och medelstora företag för kapacitetsuppbyggnad inom cybersäkerhet (FSTP)
Oavsett om vi pratar om små eller stora organisationer, måste vi bli bättre på att dela med oss risker och hot, för att kunna lära av varandra, hjälpa varandra och försvara våra skyddsvärda intressen och verksamheter tillsammans. En organisation som har lärt sig detta genom den hårda vägen är Tietoevry. Idag berättar de öppet till alla som vill höra, vad som hände, vad de gjorde, vad som gick bra och vad som gick mindre bra. Det krävs mod för det.
Cybenoden kommer så klart fortsätta dessa intressanta teman till hösten och bjuda in talarna att berätta mer för alla er medlemmar, som inte kunde följa paneldiskussionerna i Almedalen. Men nu tar vi sommar!
