IT-säkerhet

Dålig IT-säkerhet leder till dåliga affärer

De goda nyheterna: De nordiska länderna är bland de bästa i världen på att ta vara på digitaliseringens möjligheter. De dåliga: Vi ligger långt efter andra delar av världen när det kommer till att hantera dess risker.

Termen “information technology”, eller ”IT”, myntades ursprungligen i en artikel i tidskriften Harvard Business Review 1958. Under rubriken ”Management in the 1980’s” berättade forskarna Harold J. Leavitt och Thomas L. Whisler storögt om ett framväxande teknikfält. Ett fält som i deras mening hade potential att bli ”revolutionerande”.

Det är intressant läsning. Men inte för att artikeln på sina håll är bedårande naiv (författarna föreställde sig att företagsledningar i framtiden skulle fatta affärsbeslut med hjälp av datorspel) utan för att den med knivskarp precision förutspår hela den digitaliseringsresa som världen har genomgått under de senaste decennierna.

Men den som idag söker upp den 63 år gamla visionen får också syn på något oroväckande. Nämligen att vår kollektiva förståelse för IT-området inte tycks ha utvecklats särskilt mycket sedan dess. Vi är fortfarande besatta av teknikens omedelbara affärsnytta.

44%

anser att man investerar för lite inom IT-säkerhet.

- Enligt analysföretaget Radars enkäter.

Bra digitalisering - dålig cybersäkerhet

Vår syn på IT och digitalisering som en transformativ, nästan magisk kraft har förstås skapat enorma värden. Den har berett väg för en utveckling som i dag har placerat de nordiska länderna i en digital spjutspetsposition.

Ta Sverige som exempel. Enligt Portulans Institutes årliga jämförelse Network Readiness Index är landet bäst i världen på att ta vara på digitaliseringens möjligheter. Enligt analysbyrån Radars mätningar investerade svenska bolag 207 miljarder kronor i IT förra året. Samtidigt visar deras undersökningar att investeringar i digitalisering är den enskilt viktigaste IT-strategiska prioriteringen i dag.

Men det räcker med att kasta ett öga på en annan topplista för att inse att den snabba utvecklingen har ett pris. I Internationella teleunionens Global Cyber Security Index rankas de länder som har kommit längst med sin cybersäkerhet. Där kommer Sverige först på 26:e plats. Samtidigt visar Radars enkäter att 44 procent av de svenska beslutsfattarna inom IT anser att man investerar för lite inom området.

Porträtt av Dennis Karlsson, Group CISO, Dustin

Vi ser cybersäkerhet och digital utveckling som två saker som står i motsats till varandra.

Dennie Karlsson, Group CISO på Dustin.

Det blir dyrt med så dålig IT-säkerhet

Ett liknande gap mellan digital utveckling och eftersläpande cybersäkerhet syns i hela Norden. Vi har helt enkelt satsat stort på initiativ som har lett till kortsiktiga digitala vinningar – och inte lika mycket på långsiktig digital säkerhet.

Nu riskerar gapet att leda oss mot en negativ utveckling.
– Den här skillnaden utsätter oss i dag för en förstorad attackvektor. Vi måste väga in den ökade sårbarheten som digitaliseringen medför. Annars kommer kostnaderna till slut att överstiga nyttan, oavsett hur fantastiska digitala funktioner vi skapar, säger Dennie Karlsson, Group CISO (Chief Information Security Officer) på Dustin.

Han menar att dagens synsätt leder till digitala funktioner som fungerar hur bra som helst dag ett. Men i takt med att vi flyttar över allt större värden till det digitala blir våra samhällen också mer sårbara.

– Anledningen till att vi befinner oss i den här situationen tror jag beror på att vi inte ser cybersäkerhet och digital utveckling som lika självklara delar av digitaliseringen, utan som två saker som står i motsatsförhållande till varandra. Det perspektivet måste vi förändra.

Porträtt av Freddie Rinderud, Senior advisor, Radar.

Ju mer beroende vi blir av digitala verktyg för att samhället ska fungera, desto större värden står på spel.

Freddie Rinderud, senior rådgivare på Radar.

Svårt att sätta ett pris på säkerhet

En annan viktig förklaring till att vi befinner oss i denna situation är kostnaden. Det har helt enkelt varit för svårt att sätta ett pris på utvecklingen.

– De senaste åren har vi sett uppmärksammade cyberattacker mot bland andra Gunnebo, Maersk, Synsam och Coop. Svenska flygplatser har fått stoppa sin flygtrafik eftersom systemen ”inte fungerar”. Trots alla de här tecknen förstår vi inte allvaret. Vi förmår inte vända blicken inåt och titta på vad just vi har för digitala affärsrisker.

– Det finns en utbredd oförmåga i samhället att förstå vad det innebär att ha den ackumulerade digitala risk som vi har i dag, och att inte kunna hantera den på ett seriöst sätt, säger Freddie Rinderud, senior rådgivare på analysbyrån Radar.

Han menar att situationen blir mer problematisk för varje år som går.
– Glappet mellan hotaktörernas förmåga att attackera oss och vår förmåga att skydda oss blir bara större och större. Ju mer beroende vi blir av digitala verktyg för att samhället ska fungera, desto större värden står på spel. Det här har vi som samhälle inte riktigt förstått än.

IT-säkerhet och affär är samma sak

Analytikerna på Radar får medhåll av andra experter. De menar att vår bristande cybersäkerhet bygger på ett grundläggande missförstånd om vad IT är. Många bolag lever kvar i den antika föreställningen att det är en separat disciplin.

– All mänsklig aktivitet förutsätter på ett eller annat sätt ett IT-stöd i dag. Det gör att den digitala risken är lika närvarande som alla andra risker, vad du än sysslar med.

– Alla bolag förstår hur man kvantifierar ekonomisk risk för att använda det som underlag när man fattar affärsstrategiska beslut. Det många fortfarande inte förstår är i vilken grad vi är exponerade för digitala risker – och hur dessa i sin tur påverkar affären, säger Mats Hultgren, som leder IT-säkerhetsföretaget Truesecs Cybersecurity Incident Response Team.
– Vi måste inse att IT-säkerhet och affär i praktiken är samma sak.

Företaget och IT-avdelningen pratar olika språk

Många som ansvarar för IT-säkerhet har svårt att motivera investeringar. De har svårt att förklara riskerna på ett sätt som verksamheten kan ta till sig. Det beskriver Radar i sin nya rapport ”Från IT-säkerhet till digital affärsrisk".

Porträtt av Mats Hultgren, Head of Cybersecurity Incident Response Team, Truesec.

Det många inte förstår är i vilken grad vi är exponerade för digitala risker och hur dessa påverkar affären.

Mats Hultgren, Head of Cybersecurity Incident Response Team på Truesec.

Verksamheterna beskriver i sin tur att de inte riktigt förstår vad IT-området försöker säga.
– Anledningen till att vi hamnade i den här situationen är att IT historiskt har fungerat som en egen organisation. Från ledningshåll har man sett IT som någonting unikt och speciellt. Med egna spelregler. Det är en beskrivning som IT-området under lång tid har varit ganska bekvämt med, kanske för att det är tacksamt att ha egna spelregler. Det där har vi fortfarande inte riktigt kommit ifrån, säger Freddie Rinderud och fortsätter:

– Inom IT jobbar vi med IT-specifika ramverk som aldrig någonsin används någon annanstans. Företagsledningar hanterar IT som om det vore någonting separat från verksamheten. Det är det inte. För att upprätthålla vår ledande ställning, och täppa till de växande luckorna i vårt digitala försvar, behövs nya perspektiv.

– Dagens ledningar ser ofta de förväntade vinsterna med digitalisering. Detsamma måste hända inom säkerhet. Vi måste ge säkerhetsområdet verktyg som gör att man klarar av att visa på effekterna av att inte investera i cybersäkerhet. Det är väldigt få CIO:er eller CISO:er som kan förklara det här på ett tillfredsställande sätt i dag.

Närbild på en mobil på ena halvan och en människa med hoodie där man inte ser ansiktet på, i andra halvan.

Vi måste ge säkerhetsområdet verktyg som gör att man klarar av att visa på effekterna av att inte investera i cybersäkerhet.

Freddie Rinderud, senior rådgivare på Radar.

Verktyg för att räkna på digital affärsrisk

Radars rapport lanserar ett möjligt sådant verktyg. En ny modell för att räkna på vad digital affärsrisk egentligen kostar. Den kombinerar traditionella investeringskalkyler för exempelvis finansiell risk, med IT-områdets mer tekniska beskrivningar av risk.

– Vi måste bygga en gemensam förståelse för att säkerhet och affär hänger ihop, annars kommer vi aldrig att nå en högre digital mognadsgrad. Säkerhet måste vara med på ett annat sätt när man fattar strategiska beslut i ledningen. Det ska inte bara vara en kontrollfunktion, utan någonting som driver affärer, säger Dennie Karlsson.

På Radar hoppas man att modellen ska fungera som ett slags gemensamt språk som låter IT och ledning kommunicera med varandra på riktigt. För det är först när vi förstår digitaliseringens risker som vi på allvar kan börja prata om att dra nytta av möjligheterna.

– När man i dag kallar upp sin CISO eller CIO (Chief Information Officer) till ledningsgruppen för att be dem förklara vilken risk man måste hantera får man en verklighetsbeskrivning som är baserad på IT-ramverk. Det kan inte styrelsen ta till sig. Däremot förstår styrelsen etablerade ramverk för att hantera andra typer av risk, som finansiell risk. Det vi gör med vår modell är att visa hur vi kan utgå ifrån ett traditionellt ramverk, men utveckla det så att det även kan hantera digital affärsrisk, säger Freddie Rinderud.

CISO behöver tänka affär

Ansvaret för att överbrygga gapet i dialogen ligger inte bara på företagsledningen. Ansvaret vilar precis lika tungt, om inte tyngre, på IT. De måste bli bättre på att förklara.

– Många ser inte affär och säkerhet som två pusselbitar som hör ihop, utan som två ”strömmar” där man kan satsa på det ena eller det andra. Framöver måste vi hitta en balans där man kan bygga upp ett digitalt försvar samtidigt som man planerar för att ta nya marknadsandelar. För de där sakerna hänger ihop.

Vi måste vi hitta en balans där man kan bygga upp ett digitalt försvar samtidigt som man planerar för att ta nya marknadsandelar. Det hänger ihop.

Dennie Karlsson, Group CISO på Dustin.

– Din CISO behöver tänka affär i större utsträckning, samtidigt som verksamheten behöver förstå att investeringar i digitala initiativ troligtvis kostar mer än vad ni först tror, säger Dennie Karlsson på Dustin.

Mellan 20 och 40 miljoner kronor. Så mycket uppskattar experter att den genomsnittliga kostnaden är för det företag som drabbas av ett lyckat cyberangrepp. Exakt hur mycket en attack kostar beror dock på vem du är och vilken typ av verksamhet du bedriver.

– Hos ett byggföretag med fem medarbetare kostar den digitala risken sannolikt mindre än 20 miljoner kronor. Ett större bolag däremot, kommer sällan under den summan, säger Freddie Rinderud.

Hemmakontor med dator och skärm.

Digitala risker baserade på rätt analyser

Vi behöver inte bara nya verktyg för att undvika kostsamma attacker. Verktygen behövs också för att vi ska bli mer bekväma med att acceptera den risk som finns. Det leder nämligen till bättre affärer.

– Det är så vi kommer åt det faktum att många verksamheter i dag upplever IT-säkerhet som en bromskloss för digitala investeringar. Med ett riktigt beslutsunderlag kan vi räkna på digital affärsrisk och avgöra om den är värd att acceptera. Det låter oss i vissa fall genomföra projekt som annars hade avfärdats som för riskabla. Så här jobbar bolag redan med alla andra typer av risker, och det är hög tid att vi tar oss an digital affärsrisk på samma sätt, säger Freddie Rinderud.

Så här jobbar bolag redan med alla andra typer av risker, och det är hög tid att vi tar oss an digital affärsrisk på samma sätt.

Freddie Rinderud, senior rådgivare på Radar.

Gör vi inte det spelar det ingen roll om vi fortsätter att vara bäst i världen på digitalisering. Den ackumulerade affärsrisken kommer till slut att bita oss i svansen.

– Vi måste fortsätta att digitalisera snabbt. Den typen av initiativ är bra. Men vi får inte göra det okontrollerat. Vi ska våga ta digitala affärsrisker, men vi ska göra det baserat på riktiga analyser.

27 december 2021

Taggar