"It-incidenter är inte skämmigt"
– Vi måste komma bort från att det är fult att incidentrapportera, att det är nåt skämmigt med att ha en incident. Tvärtom, det kommer att bli så vanligt att ingen höjer på ögonbrynen.
Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, är en stående populär programpunkt på Konferensen Informationssäkerhet för offentlig sektor som i år firade 10 år. Hon inledde med en reflexion om it-incidenter och allt tal om attacker och angrepp från andra stater, men att vi är rätt bra på att skjuta oss själva i foten.
– Säkerhetsbrister hos Svenska kraftnät, stora brister i Trafikverkets skydd mot it-attacker, misstänkt hack mot statens lönesystem, vårdguiden osv. Inget av det här är gjort av cyberattacker utifrån från främmande makt eller kriminella, det är sånt vi är duktiga på själva. Vi borde lägga mer resurser på vilken grundskyddsnivå vi ska ha.
Informationssäkerhet är kritiskt för de flesta verksamheter och det måste få kosta pengar. Inte hur mycket som helst men tillräckligt mycket för att minska sannolikheten för att något ska hända som inte får hända. Marknadens inställning och välvilja är direkt kopplad till förmågan att skydda informationen som man har i verksamheten.
– Det är en outnyttjad konkurrensfördel hävdar jag, för säkerhet gör företag mer framgångsrika och intressanta och kan visa omgivningen att ni kan lita på oss. Tillit är hårdvaluta idag.
Informationssäkerhet ska upp på ledningsnivå.
– Det går inte att överlåta de här frågorna på it-avdelningen som man av tradition har gjort. Man skaffar sig en CIO men om man sätter den som chef för IT-avdelningen har vi fortfarande en get som trädgårdsmästare.
Nya sätt att exponera saker på nätet innebär nya sårbarheter och brister.
– 99 procent av alla intrång bygger på nätfiske, alltså social ingenjörskonst. Vi människor tänker inte alltid efter före. Vi har väldigt bråttom och framför allt gillar vi att ha roligt. Om nån skickar en länk: det här måste du se! Så tänker jag inte mer än bråkdelen av en sekund utan det är klart jag måste se dansande grisar.
Hon vill inte ha ett "blame game" och peka ut skyldiga men det ska markeras mot medvetna övertramp markeras.
– Om man bryter mot reglerna ska man för sjutton gubbar bli medveten om att man gjort det. Man ska ett samtal och kanske någon form av sanktioner om det är tillräckligt allvarligt. Vi är jättedåliga på att ta obehagliga samtal.
Finns en systematisk incidenthantering när det oönskade händer?
– Jag lärde mig tidigt att det spelar inte så stor roll att man har jättestora krisplaner med mycket information om hur man ska agera, det som är viktigast är kontaktlistor. Vem ringer man när det träffar fläkten?
När ska man eskalera? Det är superviktiga saker som man glömmer bort i ivern att dokumentera allting i minsta detalj. Det bästa kan bli det godas fiende. Är kris- eller kontinuitetsplanen jättelång och omfattande hittar man inte i den skogen heller och då blir det en risk i sig.
Underhåll är viktigt.
– Välj den säkerhetsåtgärd i er verksamhet som irriterar er mest och tänk: hur skulle jag kunna göra det här i stället? Så att det inte irriterar folk eller får dem att försöka gå runt och lös det. Så fortsätter man med ständiga förbättringar, det är faktiskt väldigt roligt. Även om det är små saker blir man lite glad varje gång.
Slutligen:
– Budet är mindre teori och lite mer praktik. Pratat har vi gjort väldigt länge, nu behöver vi ha lite mer verkstad. Säkerhet är inte en produkt, det är en process.