2018-01-30

Kommunerna rankas sämst på säkerhet

”Den kommunala sektorn sticker ut åt det dåliga hållet. Och då är det här deras egna svar, hur de ser på sig själva”, säger Nils Molin, analytiker på Radar och ansvarig för konferensen Radar Security Conference 2018.

Det var fullt hus när Radar hade säkerhetskonferens – populärt under hashtaggen #radarsecurity – på Birger Jarls konferenscenter i Stockholm. Drygt 270 personer trängdes i lokalerna.

Nils Molin presenterade resultatet av Radars mätning IT-säkerhetsindex. Utifrån omkring 300 svarande går det att dra en mängd slutsatser, som presenterades under Radar Security.

Ganska uppseendeväckande är jämförelsen mellan olika branscher. Bank och försäkring ligger mycket bra till, liksom telekom, IT och media. Landstingen har en hög hotbild, men tillhör också de branscher som klarar sig bäst i mätningen. Den kommunala sektorn hamnar däremot klart sist.

Det finns fler slutsatser att haja till inför:

* 10 procent av storbolagen – med fler än 1 500 anställda – saknar en IT-säkerhetspolicy.

– Det är förvånansvärt, kommenterar Nils Molin.

* Hos hälften av organisationerna är den digitala strategin inte hopkopplad med säkerhetsstrategin.

– Vi har lång väg att gå innan vi kan införa digitaliseringen på ett säkert sätt, säger Nils Molin.

  • Militärt perspektiv

    Jonas Dellenvall på Advanica pratade om militär teknologi för att klara dagens säkerhetsläge. Radars Nils Molin modererade.

  • Början på dagen

    Vid lunchtid var det lugnt, men redan vid ettiden var det fullt upp att checka in alla besökare.

  • Mycket för pengarna

    “Vi måste göra mer med mindre precis som alla andra”, erkänner Johan Ohlén på Microsoft.

  • Över 270 personer

    När dagens moderator Nils Molin öppnade Radar Security var det fullpackat med folk i stora salen.

  • Logisk eller fysiskt?

    Enligt Advenicas CTO Johan Dellenvall går det inte att dela upp. “Logiskt separerat VLAN är bra, men inte tillräckligt! Du måste också ha en fysisk separation”, sade han.

* En tredjedel av företagen har IT-säkerhet som en del av styrelseagendan. Radar anser att siffran borde upp till 75–80 procent.

* 25 procent uppdaterar säkerhetspolicyn mer sällan än vartannat år.

– Då är den troligen inte värd mer än pappret, säger Nils Molin.

* För att säkerhetspolicyn ska få effekt måste personalen utbildas årligen och verksamheterna behöver komplettera det med ett batteri av tester. Det gör få. 30 procent gör årliga utbildningsinsatser, en bit under 20% gör tester.

– Det är per definition trist läsning, anser Nils Molin.

Under halvdagskonferensen deltog en rad talare och en mängd ämnen avhandlades. Många återkom till GDPR. Ytterligare ett tema var IoT. Janne Haldesten, ordförande i organisationen SIG Security, lyckades väva in båda.

– Samsungs smarta klockor hanterar personuppgifter. GDPR rör dem också. Vårt problem är om någon kommer åt personuppgifterna i de uppkopplade prylarna, säger Janne Haldesten.

Jonas Dellenvall, CTO på Advenica, lyfte att det just nu kommer mycket ny lagstiftning som hjälper till att göra Sverige säkrare. GDPR, så klart, men också NIS-direktivet och till början av 2019 planeras en ny svensk Säkerhetsskyddslag.

– Säkerhetsskyddslagen blir ett superset av NIS. Tar man höjd för Säkerhetsskyddslagen slipper man göra arbetet två gånger, påpekar Jonas Dellenvall.

Många lyfte också säkerhet i samband med molntjänster.

– Generellt sett höjer vi säkerheten med molntjänster, anser Stefan Schörling, CTO på Lumagate.

Det anser också Johan Ohlén, säkerhetsspecialist på Microsoft.

– Molnet ger mer tid att fokusera på det som är viktigt. Dessutom är molntjänsterna oftast byggda för att prata med varandra, säger Johan Ohlén.

Andra insikter är att företag alltmer kopplar upp sig i kedjor med varandra. Ett tydligt exempel är tillverkande företag som hakar ihop sig med logistikföretag. Då gäller det att ha koll inte bara på sin egen säkerhet…

En tydlig trend i Radars rapport Cybersecurity 2018, som vi släppte för lite sedan, är att informationsklassificering och behörighetskontroll ökar i betydelse. Pensionsmyndigheten gav ett praktiskt exempel på det, som lockade över 70 personer till en helt fullpackad sidosession under eftermiddagen. Myndigheten hade tidigare en omständlig halvmanuell process för informations- och behörighetskontroll, IAM, med Excelark och mycket handpåläggning. 2015 påbörjade man ett byte mot ett IAM-system som har förenklat väldigt mycket och nu är Pensionsmyndigheten klar. 80 procent av alla tidigare behörigheter har till exempel gått att ta bort.

– Om två år vill vi jobba mer åt AI-hållet. Till exempel mönster som avgör var du är i organisationen, så att du inte alltid behöver en chefs godkännande. Samma sak med automatisk borttagning av behörigheter, säger Mats H Petersson, CISO på Pensionsmyndigheten.



Sverker Brundin
Content Manager/Analyst
sverker.brundin@radareco.se
Mob +46 736 79 91 47