Security made in Sweden? - Samarbete över gränserna

För någon vecka sedan skrev jag ett inlägg om samhällets sårbarhet när det kommer till överbelastningsattacker. Om det är något vi borde ha lärt oss, är det att vi behöver rusta samhället för framtiden - attackerna kommer bara bli fler och större. Frågan är hur utsikterna för det ser ut.

Idag råder en utbredd brist på arbetskraft med IT-säkerhetskunskap. Det är dessutom ett behov som kommer att växa under de kommande åren. Enligt undersökningen “Global Information Security Workforce Study” som utfördes 2017 av (ISC)², kommer man i EU sakna 350.000 personer med denna kompetens år 2022. Vi som startup har redan märkt av svårigheten i att hitta rätt kompetens, och konkurrensen om talangerna lär alltså knappast minska. Både privat sektor och statlig verksamhet kommer därmed med stor sannolikhet ställas inför betydande utmaningar. Hur ska företag och myndigheter kunna rekrytera för att bygga sin egen kompetens inom IT-säkerhet framöver?

De senaste veckornas rubriker kring överbelastningsattacker mot SJ, Västtrafik, Trafikverket, Skolverket och Transportstyrelsen - som medialt varit ganska begränsat till att tjänsterna inte är tillgängliga - väcker våra funderingar kring hur man kompetensmässigt och tekniskt resonerar kring situationen (utöver funderingen om någon illasinnad aktivt testar beredskapen). Ska var och en, enskilt bygga sina egna rutiner och skydd?

Givetvis finns det hjälp att tillgå, privat sektor har i många år varit en strategisk leverantör av outsourcing och kompetens, i många fall samexisterar organisationer från båda parter. Genom MSB:s informationssäkerhetsråd finns en modell baserad på Privat-Offentlig samverkan, syftet är att aktualisera ett ökat samarbete mellan marknaden och offentlig sektor för att utveckla och hantera hotbilden. Relevansen för ett gemensamt forum är större än någonsin, när samhället är så beroende av den digitala världen drabbas alla av incidenter. Frågan är inte hur vi skapar det som redan finns, utan hur vi fortsätter att bygga vidare på formatet så att fler kan ta del av det?

Det borde ligga i allas intresse att Sveriges säkerhetsmässiga kondition är god. Det påverkar mig, dig, våra kollegor, vänner och familj. Vare sig det rör sig om inställda tåg, att skolan inte kan kommunicera med elever och föräldrar eller att svenska tidningar inte kan få ut samhällsviktig information. Det är inte första, och definitivt inte sista, gången samhället som vi bor och verkar i påverkas. På lång sikt riskerar det skapa oro och påverka tilltron gentemot dess institutioner och infrastruktur.

Ansvaret ligger hos alla, men det behöver inte innebära att alla ska göra allt på egen hand.

När IT-säkerhetskompetens är en bristvara i en tid av ökande cyberhot, innebär det en svårlöst ekvation. Tusentals svenska verksamheter ställs dessutom snart inför, i skuggan av GDPR, nya krav på it-säkerhet. Kommande NIS-direktiv visar på att även EU är oroade över samhällets sårbarhet inför cyberhotet. Frågan är bara hur verksamheterna kan förväntas genomföra de säkerhetshöjande åtgärderna inom loppet av några få månader, när kompetens, samordning och branschöverskridande samarbeten ofta saknas, en utmaning som uppmärksammas av bland andra Jonas Dellenvall, CTO på Advencia, i en artikel från tidigare i år (”Regeringens utredning om it-säkerhet riskerar att missa målet”).

Vi vill i och med detta lyfta frågan och behovet av “Security made in Sweden”. Genom att samla resurser och intressenter på en gemensam plattform, skulle vi bättre kunna bemöta digitaliseringens utmaningar och använda och ta till vara på den kompetens som finns i landet. I andra Europeiska länder finns redan utbredda samarbeten mellan statlig och privat sektor, till exempel i Luxemburg (SECURITYMADEIN.LU) eller Storbritannien med sitt National Cyber Security Centre (NCSC). Tekniken är inte längre en begränsning, alla byggstenar finns för att skapa ett bredare forum. Vi står redo att bidra med vår kompetens till en kunskapsbank för internethot; en som förhoppningsvis kan leda till en hög gemensam nivå av säkerhet i nätverk och informationssystem i Sverige.

“As the world is increasingly interconnected, everyone shares the responsibility of securing cyberspace.” ― Newton Lee, Counterterrorism and Cybersecurity: Total Information Awareness