27 juni 2024 publicerade IT-kanalen denna krönika skriven av Plantvisions cybersäkerhetsexpert Magnus Rosendahl. Krönikan lyfter det viktiga ämnet att investera i sin cybersäkerhet och den tekniska skuld Sverige har och vad det ställer för krav på organisationer.
_________________________________________
Sverige har under det senaste decenniet genomgått en snabb digitalisering, vilket har skapat möjligheter med allt från hybridarbete till smidig digital handel, men även betydande säkerhetsutmaningar.
Efter Sveriges inträde i NATO och en mer omfattande geopolitisk hotbild samt nya regulatoriska krav från bl.a. NIS2-direktivet så måste organisationerna ta tag i gammal surdeg – den tekniska skulden.
Gapet mellan ofta föråldrade OT (operationell teknik) -system och moderna krav på cybersäkerhet är stor. Svenska företag riskerar att bli utsatta om vi inte prioriterar säkerheten inom både informationsteknik och operationell teknik.
Dyr nota för företagens driftstopp
Sverige har en lång tradition av innovation och tillverkning, med framstående företag som LKAB, SSAB och Sandvik, ryggraden i vår ekonomi. Både produktions- och driftstopp har betydande ekonomiska konsekvenser. De påverkar inte bara bolagen utan även vår export och BNP, särskilt när det gäller kritiska varor som medicin eller stål. En ny undersökning uppskattar att digitala driftavbrott årligen kostar de 2 000 största företagen i världen 400 miljarder dollar, vilket motsvarar i genomsnitt nio procent av deras vinst.
När företag och organisationer använder gamla och föråldrade system istället för att investera i modernare, säkrare alternativ samtidigt som både samhället och lagstiftning utvecklas i en snabbare takt uppstår en teknisk skuld. Operationell teknik är avgörande för all produktion, men inom kritiska sektorer blir effekterna mer påtagliga. Detta är särskilt problematiskt inom samhällskritiska sektorer som el- och vattenförsörjning samt medicintillverkning, där OT är central för den dagliga driften. Den tekniska skulden skapar en sårbarhet för bl.a. cyberattacker.
Utmaningen med nya regelverk
NIS2-direktivet är EU:s satsning att stärka cybersäkerheten inom samhällskritiska sektorer. Direktivet ställer höga krav på säkerhet och omfattande rapportering, men många svenska företag är inte tillräckligt förberedda. Den nuvarande tidsramen för att uppfylla kraven till den 17 oktober är utmanande.
Idag finns exempelvis cirka 2 000 vattenkraftverk spridda över flertalet kommuner i Sverige. Tillsammans står de för nästan hälften av vår strömförsörjning. Var och en av dessa måste nu navigera nya komplexa regulatoriska krav, en stor utmaning som späs på av en omfattande teknisk skuld.
”Det är nu nödvändigt för svenska företag och offentliga verksamheter att agera proaktivt.”
Bristande resurser ett stort problem för en växande teknisk skuld
Ett av de största hindren för att minska den tekniska skulden är bristen på resurser och kompetens. Många företag och verksamheter avsätter inte de ekonomiska resurser som krävs för att skapa en säker IT/OT-miljö. Detta är en utmaning som inte kan lösas över en natt och kräver långsiktiga investeringar och omfattande utbildningsinsatser. Vissa system kanske körs på operativsystem som inte längre finns, eller utdaterade versioner.
Det är nu nödvändigt för svenska företag och offentliga verksamheter att agera proaktivt. Att investera i säkerhet är inte längre bara en kostnad, utan en försäkring för framtiden. Ett av de nya kraven i NIS2 är exempelvis att styrelse eller ledning måste engagera sig i cybersäkerheten och har ett tydligt ansvar. Det hjälper oss alla att se säkerhet som en investering i vår framtid och vår nationella säkerhet. Styrelser och ledningar, inte bara IT-chefer, måste ta ansvar för cybersäkerhet och säkerställa att deras organisationer är redo för moderna krav och en ny hotbild.
Utdaterade system och en ovana att prioritera investeringar i säkerhet hotar inte bara våra företag, vår samhällskritiska infrastruktur, invånare och vår nationella säkerhet. Läkemedelsföretag, tillverkande industrier, energibolag och andra måste alla prioritera att minska sin tekniska skuld, för att minska konsekvenserna av nästa stora cyberattack eller säkerhetsintrång.