Allt som kan bli uppkopplat mot internet kommer förr eller senare att bli det. Samtidigt som det pågår krig på många ställen i världen har det sedan länge även pågått olika kodkrig.
Det låter kanske som ett utdrag ur en historiebok från framtiden där slutet inte är skrivet än. Givet mänsklighetens oförmåga att lära sig av historien ser det inte lovande ut. Det är en pessimistisk syn men med historien som rådgivare, är tyvärr svaret uppenbart. För ett antal år sedan stod jag på en scen och hävdade att 2015 skulle vara ett säkrare år än 2016 och 2016 bättre än år 2017 osv, ur ett cybersäkerhetsperspektiv. Anledningen var då som idag, väldigt enkel; sårbarhetsytan blir bara större och större i dagens miljö och den kommer att dessvärre fortsätta att växa.
Se bara på vad bilen är idag? Det är inte mer än en smartphone på hjul. Jag skulle idag inte köpa en fullt uppkopplad bil. Jag skulle inte vilja kliva in i bilen på väg akut till BB och få ett meddelande ”Betala lösensumman för att kunna starta din bil”. Med ett konstant uppkopplat samhälle kommer vi se nya sårbarheter som utnyttjas. Ditt kylskåp kanske redan idag är en källa till en attack på ett lokalt sjukhus. Det låter som fantasier men tyvärr är cyberdomänen en obegränsad sandlåda där inte ens fantasin kan sätta gränser. Lägg därtill samma hot dyker upp i nya skepnader samtidigt som det är ett faktum att cyberattacker är enklare än cyberförsvar.
Bristande kompetens och styrning leder till konsekvenser för samhället, företag och organisationer
Riskerna har nu slutligen seglat upp på agendan bland företags och organisationers högsta agenda givet att konsekvenserna börjat bli eller kan komma att bli synliga på både resultat- och ryktesfronten. Vi kommer att se en ökad cyberkrigsföring, så kallad ”vapenkodifiering” där vapnen är cirkulära. Aktörerna är inte enbart land mot land, utan land mot företag, och företag mot länder. Vi ser politiker och experter löpande prata om bristen på kompetens inom området samtidigt som varken företag eller organisation verkar satsa på de kompetenshöjande åtgärderna som finns lättillgängliga.
USA lanserade nyligen en cybersäkerhetsstrategi där mycket fokus ligger på utbildningar, samma fokus ser vi inte i Sverige. Här ser vi bara ett par hundra personer som har en eller flera av de globalt erkända certifieringarna oavsett om det gäller cybersäkerhet, styrning av IT, riskhantering eller IT revision. Det om något tyder på att företag och organisationer inte sett anledning nog att investera i sin personals löpande kompetensutveckling på området. För att navigera utmaningarna krävs fokus på löpande god intern styrning, kontroll och uppföljning. Det handlar om strategisk planering för en osäker framtid. Ju bättre ledning och styrning desto mer affärsrisker kan därefter verksamheten också ta.