Cyberhygien

Cyberhygien syftar till en flockimmunitet kring cybersäkerhet som gynnar verksamheten.

Visste du att riskerna och hoten i cyberrymden bäst bekämpas genom flockimmunitet, att er organisations förmåga avseende motståndskraft och kontinuitetsförmåga är beroende av att ni har en grundläggande cyberhygien? Förstår er verksamhet affärsnyttan med cyberhygien?

Modern cybersäkerhet handlar om riskhantering av cyberhot. Cybersäkerhet är inte synonymt med IT-säkerhet och/eller informationssäkerhet. Cybersäkerhet är samverkan av fyra områden: IT-säkerhet, informationssäkerhet, lagar och framför allt säkerhetskultur. Har ni bra kontroll över dessa områden har ni en god cyberhygien. 

Målet med en god cyberhygien blir då att arbetet med cybersäkerhet i er verksamhet syftar till att skaffa sig en ökad motståndskraft kopplat till just risker och hot i cyberrymden. Och riskerna där ute för verksamheter kan sammanfattas i bristande lagefterlevnad, ekonomiska risker, operationella och strategiska risker. Bristande riskperspektivet innebär dessutom att verksamheter enbart fokuserar på externa hot, risker och hot som kommer utifrån verksamheten och inte inifrån den. Insiderhot kostar verksamheter nästan det dubbla mot exempelvis ransomware.

Visste du att när vi pratar om cyberhygien är det inte bara er verksamhetens hygien som avses. Det omfattar dem ni gör affärer med, som ni levererar till eller som levererar till er samt deras leverantörer. Cyberhygien är därför den kollektiva digitala cybersäkerhetsförmågan, näringsliv som offentlighet. Vi måste alltså kollektivt uppnå en form av digital flockimmunitet kopplat till risker och hot i cyberrymden. Och i en verklighet där verksamheter många gånger överfört ägandeskapet för cybersäkerhetsarbetet till en extern tjänsteleverantör inom IT kommer denna cyberhygien aldrig kunna uppnås, än mindre en flockimmuniteten. Detta för att cybersäkerhet inte är en IT-fråga utan en verksamhetsfråga. En IT-leverantörer kan sällan leverera inom alla fyra områdena inom cybersäkerhet.

Låt oss måla upp ett exempel med hur vi riskhanterade Coronapandemin. Vi gjorde det med munskydd, hålla avstånd, tvätta händerna, stanna hemma vid minsta symptom och vaccin. Och effektiviteten låg i att alla gjorde detta. En tjänsteleverantör som levererar IT till er kommer endast kunna ge dig ett ansiktsskydd, be er håll avstånd eller kanske ge er instruktioner på hur ni tvättar händerna. De kan på sin höjd leverera tekniska och begränsade organisatoriska processer. Att faktiskt tvätta händerna, vara uppmärksam på symptom och ta vaccin är er verksamhets ansvar, inte deras. Leverantörerna vet detta och friskriver sig genom avtal att ni inte gör enligt best practice. De heltäckande organisatoriska processerna och själva kulturen att göra rätt, det ansvaret ligger på er verksamhet och era medarbetare. NIS2 utkräver ansvar och allvarliga påföljder för den som tror att endast munskydd och avstånd räcker. Den ställer krav på att ni faktiskt tar vaccinet, tvättar händerna och agerar vid symptom. Flockimmuniteten, vår motståndskraft, vilar på att ni och alla vi andra axlar det ansvaret och gör säkerhet varje dag.

Visste du att lagar som NIS2, DORA med flera ställer krav på att ni jobbar med risker i leverantörsleden, och jobbar med dem systematiskt? De ställer krav på detta då just leverantörskedjan är den mest eftersatta risken bland verksamheter idag, mer än två tredjedelar av alla incidenter kan härledas till just leverantörskedjan. Hotet finns även utifrån genom skadliga länkar, virus, belastningsattacker och informationspåverkan. Men största hotet är faktiskt redan på insidan eftersom verksamheter är uppkopplade till varandra som aldrig förr. Leverantörer och deras leverantörer brister i förmåga kring cybersäkerhet och därigenom har dålig cyberhygien. Därav kraven i NIS2, DORA med andra lagrum. Och lagstiftarna vet att flockimmunitet är beroende av systematik kring cybersäkerhet. Hur validerar och bevisar ni detta?


Cyberhygienens affärsnytta är direkt kopplat till förtroende för ert varumärke, er verksamhets motståndskraft. Verksamhetens anseende står på spel. Under pandemin ville ni inte samverka med individer som inte tvättat händerna, inte tagit sitt vaccin, inte använde munskydd, inte höll avstånd eller var uppmärksamma på symptom. Varför skall ni eller någon annan vilja jobba med någon som inte tar cybersäkerheten på allvar och har bristande cyberhygien?

Säkerhet måste vara lätt att göra rätt, i synnerhet då framtiden ställer krav på systematik, dokumentation och kunna bevisa cyberhygienen. Cybersäkerhet är ett maratonlopp, ett lopp alla faktiskt kan springa. Motivationen för att komma dit går genom det affärsdrivna riskperspektivet att god cyberhygien vittnar om en verksamhet som frodas och där cybersäkerheten är ett DNA.