Stefan Grinneby, Sveriges IT-incidentcentrum, Sitic, var inte ensam om att måla upp en skrämmande hotbild när MSB i slutet av augusti anordnade den första konferensen om informationssäkerhet.

Alla medverkande från säkerhetsexperter till generaldirektörer och politiker vittnade om hur skralt det är ställt med landets informationssäkerhet. Kanske är det tur att denna lätt alarmistiska bild inte slagit igenom i det allmänna medvetandet. I mer gripbara sammanhang skulle den sannolikt utlösa panik.

Samtidigt finns saker att göra. Stefan Grinneby och Robin Blokker från Försvarets radioanstalt berättade om vanliga risker, men också hur informationssäkerheten kan förbättras. Båda har också hjälp att erbjuda. På Sitic finns ett Computer emergency response team, Cert, som få tycks känna till.

– För mig är det lite fantastiskt. Jag har en kader av hyfsat svåranställda tekniska experter som jobbar med internet dagarna i ända, är gratis och ändå ringer ni inte mig hela tiden.

Cert är en funktion med snabb operativ förmåga dit vem som helst kan vända för att rapportera och få hjälp vid IT-incidenter.

– Ring oss, dygnet runt. Har ni problem med en applikation, ta kontakt med oss. Vi kan på ett anonymt sätt förhandla med leverantören så att de fixar problemet. Det har vi gjort några gånger, säger Stefan Grinneby.

Riksdagsledamoten Desirée Liljevall (s) ansåg att Sverige skulle kunna utsättas för en massiv IT-attack liknande den som drabbade Estland 2007 och Stefan Grinneby håller med.

– Ingen går säker för resursstarka överbelastningsattacker, de är svåra att skydda sig mot. Men vi skulle klara oss mycket bättre. Vi har robusta nät, duktiga människor och bra kultur vid kriser. Vi samverkar och skulle återhämta oss snabbt.

Robin Blokker tog upp informationssäkerhetschefens svåra roll.

– Det är ett nytt område ochinformationssäkerhetschefens uppgift är att se till att organisationen hanterar risk på ett rimligt sätt. Det är ett jättesvårt jobb, man ska ta resurser från och styra hela organisationen utan att ha ett supermandat.

Att ha en säkerhetspolicy är viktigt, men den ska följas upp och överträdelser ska helst få konsekvenser.

– Vill du att din policy ska ha effekt, se till att du har någon form av övervakning. Har du uppföljning och övervakning visar du att du bryr dig. Det kan hända att säkerhetschefen kommer och hälsar på om man busar med sin dator.

Att ha en korrekt lägesbild är mycket viktigt och utan fungerande incidentrapportering är man blind. Skydda inte allt, klassa informationen och skydda det riktigt skyddsvärda hårt. Höj säkerhetsmedvetandet genom utbildning.

– Min rekommendation att man inför återkommande säkerhetsutbildningar för anställda där man påminner dem om vad säkerhetspolicyn innebär för deras roll i organisationen.

Liksom Sitic står FRA till förfogande om en organisation har problem och testar sårbarheten i IT-system.

FRA har tagit fram en utbildning för systemansvariga med fokus på enkla, konkreta lösningar som ger stor utdelning.

– Vi lär ut hur man utnyttjar säkerhetsfunktioner som finns men inte används. Hälften av användarna utnyttjar bara tio procent av de inbyggda säkerhetsfunktionerna.

Det är en två-dagars-kurs och nästa anordnas i månadsskiftet november-december.