Advokaten 1
GÄSTKRÖNIKA byggas på alla nivåer bersäkerhetscen
ter runt om i världen. Det finns ett stort intresse hos näringslivet att dra nytta av centrets arbete, och dessutom att självt bidra till verksamheten i centret. FLASKHALS OCH RIVSTART Flaskhalsen så här långt har främst varit de praktiska förutsättningarna samt att hitta fungerande samarbetsformer mellan de ingående myndigheterna, exempelvis sitter vi nu i lokaler som tillhandahålls av MSB. Även om dessa utvecklas löpande och hjälpligt möter de behov centret har, är det viktigt att centret får lokaler som gör det möjligt för representanter från alla ingående myndigheter att praktiskt samverka på plats. Det ger också möjlighet för samverkande parter från näringsliv och branschorganisationer att, i förekommande fall, samsitta i centret. Det kommer dock aldrig att bli många som har sin anställning i centret. När vi blir uppåt ett hundratal medarbetare i centret kommer de flesta att vara utsända från sina myndigheter. Vi är på väg, men har långt kvar. Samtidigt kan man säga att centret rivstartade redan innan det var beslutat – redan i juni 2020 publicerade myndigheterna bakom centret två rapporter som på runt 30 sidor vardera nog är de mest komprimerade översikter man kan finna vad gäller hotbilden på internet och hur en verksamhet kan kickstarta ett systematiskt säkerhetsarbete (dessa rapporter kommer efter sommaren i nya och lätt uppdaterade versioner). SYSTEMATISKT ARBETE Hur skapar man då funktionalitet som inte kan hackas? Svaret är måhända nedslående – för det kan man inte. Alla system kan drabbas av intrång. Även system med god säkerhet kan saboteras genom exempelvis överbelastningsattacker med mera. Mycket av säkerhetsåtgärderna handlar därför om att kunna upptäcka och hantera ett intrång eller en attack, varefter man ska kunna återställa funktionaliteten. Att jobba med cybersäkerhet kan handla om att värdera hur känsliga ens data är, hur tillgängliga de ska vara och för vilka. Sedan anpassar man verktygen därefter. Viss funktionalitet kanske man kan behandla ganska lättvindigt, om den inte innehåller känsliga uppgifter och det inte heller gör så mycket om datauppgifterna tillfälligt skulle förvanskas. I andra ADVOKATEN NR 5 • 2022 änden – vissa system kan man över huvud taget inte ha i en miljö där det finns kontakt med internet. Genom ett systematiskt informationssäkerhetsarbete gör man medvetna avvägningar och anpassar de tekniska lösningarna därefter, samtidigt som man ser till att ha personal som har rätt kompetens och respekterar de regler man skapar. Det är i en sådan anda som god cybersäkerhet skapas – olika verksamheter måste tillämpa det systematiska informationssäkerhetsarbetet utifrån sina förutsättningar. Grundläggande är att säkerhetsarbetet sker på alla nivåer, exempelvis: l policyer, finansiering och ledarskap på managementnivå l kompetens, metoder och ledarskap inom it- och säkerhetsskyddsfunktionerna l kunskap och bra beteende på medarbetarnivå. CYBERSÄKERHET UTIFRÅN OLIKA UPPDRAG Andra sätt att förbättra cybersäkerheten kan vi finna hos de myndigheter som tillsammans skapar Nationellt cybersäkerhetscenter. MSB har ett brett uppdrag att bland annat ge råd och stöd till samhället i stort. FRA, Säkerhetspolisen och Försvarsmakten samarbetar utifrån sina uppdrag för att förbättra skyddet av vårt samhälles mest skyddsvärda verksamheter och bygga upp ett allt mer utvecklat cyberförsvar. Dessa verksamheter och ansvarsområden är redan väl etablerade. Rollen för Nationellt cybersäkerhetscenter är att underlätta en fördjupad samverkan och på så sätt få ut än mer cybersäkerhet ur de ansträngningar som redan görs. Under året kommer vi också att initiera samverkan med näringslivet för att på sikt bidra till lägesbilder och rekommendationer på åtminstone branschnivå. Sveriges cybersäkerhet förbättras alltså, men samtidigt gör vi oss hela tiden beroende av nya internetbaserade lösningar. Säkerheten måste komma i kapp och sedan vara en naturlig del av den funktionalitet som vi väljer att lägga i digitala system. Dit har vi ännu en bra bit. Thérèse Naess Chef för Nationellt cybersäkerhetscenter 25