Politiker och myndigheter måste ta sitt ansvar genom att utveckla regelverk, offentlig krisberedskap och infrastruktur, skriver Johan Malmliden i sydsvenskan.
Daniel Byström, ansvarig för it-företaget Quobyte i Norden, föreslår att Sverige inför en form av värnplikt för it-säkerhet (Aktuella frågor 15/5). Han menar att både näringsliv och offentlig sektor måste stärka sin cybersäkerhet för att skydda viktiga samhällsfunktioner och den nationella säkerheten. Men att lägga ansvaret på enskilda individer är problematiskt – det är inte lösningen.
Byström identifierar användarna som den svagaste länken i Sveriges digitala säkerhet. Hans idé är att stärka denna länk, men det är där det går fel. Människor kommer alltid att utgöra en risk, oavsett om det handlar om privatpersoner utsatta för nätfiske och bedrägerier eller anställda som riskerar sina arbetsgivares it-säkerhet.
It-system ska inte vara så sårbara att deras motståndskraft hänger på att enskilda medarbetare eller andra inte blir lurade att klicka på en länk. Men detta tankesätt genomsyrar många organisationer. Det är inte bara en naiv inställning till en fråga som är central för Sveriges förmåga att hantera och återhämta sig från cyberattacker, det är också skadligt eftersom det hindrar organisationer från att ta itu med de strukturella problem som verkligen kan förbättra it-säkerheten.
Bedrägerier är redan idag förknippade med skam och skuld. Om mer ansvar för it-säkerhet läggs på individer riskerar dessa stigman att förstärkas istället för att motverkas.
Det huvudsakliga ansvaret för att stärka samhällets och näringslivets motståndskraft mot it-attacker bör ligga på företagsledningar, politiska beslutsfattare och myndigheter. Att införa värnplikt för it-säkerhet är ingen bra idé.
Politiker och myndigheter måste utveckla regelverk, offentlig krisberedskap och infrastruktur.
Näringslivet behöver vidta åtgärder och anta strategier för att skydda sig mot cyberattacker; det är viktigt att systemen är så robusta att den mänskliga faktorn – som Byström påpekar är den svagaste länken – inte kan orsaka allvarliga skador.
En nyckel för att stärka den digitala motståndskraften och förmågan att snabbt återhämta sig från störningar är att se cybersäkerhet som en integrerad del av hela säkerhetsarbetet, inte bara som en it-fråga.
Idag delegeras ofta ansvaret för it-säkerheten till it-avdelningar och konsulter. Men det finns också positiva exempel på ökat ansvarstagande från företagsledningar, styrelser och politiker.
Ett exempel är regeringens vårändringsbudget som innehåller 60 miljoner kronor för att stärka Sveriges cybersäkerhet, vilket signalerar ökad medvetenhet och konkreta satsningar från politiskt håll.
Ett annat exempel är EU-direktivet NIS2 som ställer högre krav på ledningars engagemang i organisationers cybersäkerhetsarbete.
Det nya förslaget till svensk cybersäkerhetslag, som ska implementera direktivet i Sverige, presenterades nu i maj. Den nya lagen ställer högre krav på företag, myndigheter och andra verksamheter.
Ett tredje exempel kommer från Svenska bankföreningen som nyligen föreslog olika åtgärder för att stärka individers skydd mot bankbedrägerier.
Det finns många goda initiativ som visar att Sverige är på rätt väg för att stärka sin cybersäkerhet. Att lägga mer ansvar på individen är inte ett av dem.
0 kommentarer