Reflektion – för vilka är IT-säkerheten akut?

Publicerad 2021-09-30 | Författare Johan Nilsson


DN publicerade i veckan denna artikel som jag tycker är värd att reflektera över då den belyser något viktigt men utelämnar en del.

I rubriken lyfter författaren upp uttalandet ”Det är ganska akut nu” om IT-säkerhetsläget i Sverige och jag kan inte annat än hålla med, jag tror alla som blivit utsatta för någon form av intrång håller med… men alla andra då? Alla som hittills inte blivit utsatta? Dessvärre ser ”hack-ekonomin” (ja, idag är det en blomstrande business med komplett supply chain som vilken legitim business som helst!) ut sådan att det kommer bara vara en tidsfråga innan ni blir utsatta, om ni är en organisation som tjänar eller har pengar det vill säga!

Sen glider författaren in på att prata om att ”det finns sådana punkter i samhället: om det går fel på ett ställe påverkar det väldigt mycket” och refererar till bland annat Coop-attacken i somras och förrförra veckans attack som fick flera lokaltidningars webbplatser att ligga nere och så pratar man om särskilt känsliga tjänster, exempelvis Bank-id, där störningar skulle leda till massiva konsekvenser. Och ja, detta är självklart ett problem, men jag tror snart inte det finns några sådana plattforms/tjänsteleverantörer (av större dignitet i alla fall) kvar på marknaden som inte tar IT-säkerhet på allvar och därmed bygger robusta tjänster. Det som bekymrar mig mycket mer är alla kunder till dessa leverantörer som i bästa fall tänker IT-säkerhet i sina tjänster på så vis att dom tror att de som bygger deras e-handel, app, IoT-lösning eller vad det nu är vet vad dom gör ur ett IT-säkerhetsperspektiv. I sämsta fall tänker dom inte IT-säkerhet överhuvudtaget men ärligt talat så är skillnaden inte särskilt stor. Nu generaliserar jag naturligtvis, det finns IT-leverantörer som är duktiga på att bygga säkra tjänster men problemet är att dom bara levererar till kunder som förstår att dom har ett behov av att hålla uppe säkerheten, som kravställer på det och därmed också har medel till det. De organisationerna är i det stora hela väldigt få till antalet.

Vidare i artikeln ställer författaren frågan ”hur företagen ska ha råd att satsa på IT-säkerhet” och här svarar experten ”Saker som på lång sikt inte skapar värde för ägarna eller andra intressenter, ska inte genomföras. På plussidan kan säkerhet möjliggöra nya affärsmodeller, mindre produktionsbortfall, starkare varumärke och därmed större marknadsandelar” vilket är ett bra och riktigt svar. Men jag saknar utvecklingen av det svaret, så det kommer här istället:

Som jag insinuerade i början av texten så ser verkligheten ut sådan att är ni en organisation som tjänar eller har pengar så är ni i riskzonen för att bli utsatta för intrång. Det är ganska många fler organisationer som gör det än som förstår att man har ett behov av att hålla uppe säkerheten och därmed har budget till det.

Men om nu alla som tjänar pengar, förr eller senare kommer att bli utsatta för ett intrång och få produktionsbortfall, skadat varumärke etc, varför har då inte alla de implementerat åtminstone ”rätt nivå” av säkerhet i sina lösningar?

Enligt mig är svaret enkelt: Förmågan att förstå vad rätt nivå av säkerhet är, vad det får kosta för att det ska finnas en affär i det och sedan faktiskt hitta någon som har förmågan att leverera just den nivån till den kostnaden är svårt, nästintill omöjligt.

Som tur är, är det inte helt omöjligt. Vi på Promobility har specialiserat oss på just det här, att hjälpa kunder som inte har säkerhet högt upp på agendan eller kanske inte med det alls, att faktiskt få det och ha råd med det. Vi hjälper till att definiera den digitala affärsrisken genom att göra en kvantitativ riskanalys, därefter hjälper vi till att få på plats rätt nivå av affärsdriven digital säkerhet.

För att förtydliga vad jag menar låt mig göra en liknelse som jag tror alla kan förstå. En digital lösning, en e-handel, webbapplikation, app eller annat får liknas vid en byggnad. Beroende på vem vi är som äger byggnaden så har vi ju olika behov av skalskydd. Är vi en privatperson så räcker det oftast att ha en ytterdörr och att ytterdörren har ett lås som är låst när vi vill att det ska vara låst. Har man dessutom dyra, fina tavlor på väggarna eller annat extra stöldbegärligt ja då kan vi ju faktiskt kosta på oss ett hemlarm också. Är vi en gammal hederlig bank som hanterar kontanter då har vi ju helt andra krav på både dörrens, låsets och larmets utförande. Det stora problemet som vi springer på om och om igen är att som kund tror och förutsätter man att husleverantören levererar huset med åtminstone dörr och lås men så är tyvärr inte fallet de flesta gånger!

I denna liknelse så hjälper vi på Promobility alltså privatpersonen att förstå att dom behöver en dörr med ett lås och att det också kan vara bra att vi ser till det är låst när det ska vara det. Vidare hjälper vi till med att se om det är så att det finns ett värde i att betala den extra pengen det kostar att ha ett hemlarm, om det behövs utryckning från vaktbolaget när larmet går, hur många kameror som faktiskt behövs och så vidare.

Låt mig avsluta med en öppen fråga: Vet du om din digitala lösning har en dörr, har dörren ett lås och är den låst?

Det vet vi på Promobility. Vi är säkra på vår sak.

 

Läs mer

Reducera digital affärsrisk – 5 tips för hållbar digital säkerhet

Strategi och riskhantering

 

 

 

 

 

Promobility är en IT-partner inom mobilitet och digital säkerhet. Vi arbetar med teknisk och strategisk rådgivning inom Mobile Device Management (MDM), Enterprise Mobility Management (EMM), Unified Endpoint Management (UEM), IT-säkerhet, iOS och Android-utveckling m.m. Vi är baserade i Stockholm och Karlstad men arbetar över hela Sverige och Skandinavien.

Integritetspolicy

© Copyright 2021 Promobility