Per Lagerström
I sin roll som säkerhetsexpert på Truesec möter Mats Hultgren många bolagsstyrelser. Vad är statusen på cybersäkerhetsfrågor i styrelserummen. Är frågan högre strategiskt prioriterad, eller är det fortfarande en vit fläck?
- Min bild är att många styrelser har haft ont i magen ganska länge, säger Mats Hultgren. Skillnaden nu är att man gör någonting åt problemen. ”Ångest med handlingskraft” kanske man skulle kunna kalla läget många styrelser befinner sig i.
Men problemet är egentligen inte bristande kunskap om cybersäkerhet, menar Mats Hultgren. – Många styrelser förstår helt enkelt inte IT! Jag möter många styrelseledamöter som erkänner detta, men samtidigt tror att det kommer att ”lösa sig av sig självt” när yngre generationer tar över. Men det kommer det inte göra, säger Mats Hultgren.
Cyberresilience – bortom cybersäkerheten
För att både klara av att skydda sig mot attacker, och att återhämta sig om olyckan varit framme krävs motståndskraft. Det menar säkerhetsexperten Mats Hultgren från Truesec.
- Det behövs en ”sund paranoia”, menar han. Att helt enkelt utgå från det som kallas ”assume breach mentality” – för att organisationen skall vara på tå.
Att vara misstänksam mot eventuella hot behöver dock inte betyda att vi ska misstro våra kollegor, menar Mats Hultgren. Tvärtom. Att ställa extra kontrollfrågor till den som skickat ett oväntat mail med bilagor, handlar mer om omsorg än någonting annat.
Dessutom behövs en insikt om att cybersäkerhet varken är en IT-fråga, en HR-fråga eller en ren verksamhetsfråga. Cybersäkerhet är en helhetsfråga, säger Mats Hultgren. Och det är någonting som hela organisationen måste göra tillsammans.
- Det behövs system för både mjuka och tekniska kontrollfunktioner.
Mats Hultgren träffar många företagsledningar som tror att deras ISO27001 certifieringar gör dem immuna mot dataintrång.
- Visst är ISO227001 bra, säger Mats Hultgren, men det kan också skapa en falsk trygghet.
Stats-styrda cyberattacker
Det finns stora skillnader mellan vanlig cyberkriminalitet och cyberattacker från stater. Där privata hotaktörer är ute efter snabba pengar, kan cyberattacker från stater pågå under lång tid – utan att den som är utsatt ens märker något.
- Staters attacker är ofta vad vi kallar persistent cyberattacks, berättar Mats Hultgren, säkerhetsexpert på Truesec. Det är en enorm skillnad mellan den här typen av attacker och de som privata hotaktörer genomför. Där är det pengarna som styr, men för stater är det ofta helt andra saker. Han menar att det finns en begreppsförvirring när det pratas om ”attacker från Ryssland”. Samtidigt som det är ett faktum att en väldigt stor andel av cyberattacker kommer från individer eller grupper i Ryssland, så är de oftast inte kontrollerade av den ryska staten.
- Att säga att man blivit ”utsatt för en attack från Ryssland” låter som något man inte hade kunnat göra nåt åt. I själva verket kan det vara ett par finniga tonåringar i en rysk källare, som genomfört attacken.
Vad är det då man som företag eller myndighet skall vara rädd för när det kommer till uthålliga attacker från främmande makt? Mats Hultgren menar att vi borde sluta fokusera på det vi kallar skyddsvärt och istället fundera över vad som kan vara åtråvärt för hotaktören.
- Det kanske inte är energibolagets turbin-ritningar som är intressanta, utan företages kund-databas, som är viktigast att komma över, säger Mats Hultgren.
AI och cybersäkerhet
Idag använder både hotaktörer och säkerhetsexperter AI och även om AI påverkar både mängden och kvalitén på t.ex phishingmail, så menar Mats Hultgren, säkerhetsexpert på Truesec att det finns en överdriven tilltro till vad AI kan skapa.
- Det är klart att deep fake samtal över teams är oerhört svåra att upptäcka, säger Mats Hultgren, men tricket är att både ha hängslen och livrem i sitt cyberförsvar.
Det gäller att använda sig av fler plattformar och kanaler, säger Mats Hultgren, eller ”dual command” som säkerhetsexperterna brukar säga. Som att möta high-tech AI med mer low-tech. Att faktiskt ringa upp och dubbelkolla om det verkligen är en kollega som vill ha ett icke-planerat Teamsmöte.
Cybersäkerhetskompetens
Det är inte bara inom cybersäkerheten det råder kompetensbrist. Det gäller IT-området generellt, det menar Mats Hultgren, säkerhetsexpert på Truesec.
- Problemet nu är att många organisationer sänker sina krav. Det kan räcka med att nån ”spelat mycket data-spel” så blir den ansvarig för IT-säkerheten.
Den låga IT-kompetensen gör att många organisationer också har en låg beställarkompetens. Det är svårt att veta både vad man ska be om hjälp med, och vilka krav man kan ställa på en extern aktör.
- Det räcker inte med att man vet hur man gör upphandlingar, det krävs att man beställer och följer upp rätt saker, säger Mats Hultgren.
Att det behövs både intern och extern kompetens för att klara sin cybersäkerhet handlar om att det som krävs för att klara att hantera ett cyber-angrepp är erfarenhet. Och det får bara den som ständigt jobbar med cyberattacker.
- Vi som jobbar med att hantera cyberattacker lever i skyttegravarna, konstaterar Mats Hultgren.
Det finns dock en spetskompetens som inte går att lägga över på externa konsulter och det är förståelsen för den egna verksamheten.
- Det är bara personer i den egna organisationen som verkligen vet vad som är viktigast att skydda och få fart på igen om olyckan varit framme, säger Mats Hultgren.
Lyssna på hela avsnittet på Spotify här:
Upptäck 2025-versionen av vår kurs i informationssäkerhet för chefer här.
