Om du känner dig själv och din motståndare behöver du inte oroa dig för utgången av hundra strider. Om du känner dig själv, men inte din motståndare kommer du för varje seger lida ett nederlag. Om du varken känner dig själv eller din motståndare, kommer du i varje strid finna dig besegrad.
Ungefär så kan en del av Krigskonsterna av Sun Tzu översättas. Budskapet är inte kryptiskt – för att bli framgångsrik på slagfältet är det inte tillräckligt att ha en god kännedom om egna förmågor och svagheter, utan du behöver även känna till din motståndares styrkor och svagheter. Något som kan framstå som väl så utmanande när du känner till vem din motståndare är. När motståndaren är höljd i dunkel blir analysen betydligt svårare.
Steget från Krigskonsterna till säkerhetsskyddslagen (2018:585) kan te sig mer eller mindre långt. Men oavsett om upphovsmakarna till säkerhetsskyddslagen inspirerats av Sun Tzu eller inte, så utgår en säkerhetsskyddsanalys från samma grundprincip. Inledningsvis ska den egna verksamheten kartläggas och de egna skyddsvärdena identifieras. Därefter ska säkerhetshot identifieras och sårbarheter bedömas, och slutligen säkerhetsskyddsåtgärder vidtas utifrån resultaten av de föregående aktiviteterna. Arbetet är dock inte färdigt för att en första säkerhetsskyddsanalys är genomförd, utan arbetet måste ske kontinuerligt och analysen uppdateras utifrån förändringar i verksamheten och omvärlden.
Oavsett om säkerhetsarbete sker utifrån säkerhetsskyddslagen, andra lagkrav som t.ex. NIS och dataskyddsförordningen, eller verksamhetsskydd kan det framstå som kostnadstungt och det kan vara svårt att identifiera en tydlig “avkastning”. Har säkerhetsarbetet å andra sidan fått den avsedda effekten kommer avkastningen kanske aldrig ens att identifieras: kostnader som undvikits genom att säkerhetsåtgärder förhindrat att hot har realiserats är svårt att kvantifiera. När hot realiseras kan dock kostnaderna bli kännbara. Brittiska National Health Services drabbades 2017 av utpressningstrojanen (ransomware) WannaCry, där kostnaderna beräknas uppgå till totalt £92 000 000. Kvartalsrapporten för Q3 2017 kan vara avgörande för den säkerhet som en verksamhet har i Q2 2024.
Utöver att säkerhetsarbetet måste ske kontinuerligt är det även ett arbete som kan ta lång tid. Det kan innefatta moment som att helt och hållet lägga om verksamhetens processer för att anpassa sig till ett riskbaserat informationssäkerhetsarbete. Som problemen vid säkerhetskontrollerna vid Arlanda har visat är det för sent att köpa brandsläckare när det redan börjat brinna. Om inte säkerhetsarbetet skalas upp i tid kan man ställas inför valet att begränsa verksamheten för att klara säkerheten eller att göra avsteg från säkerheten för att klara verksamheten. Som säkerhetskontrollerna vid Arlanda också visar kan snabba förändringar i omvärlden föranleda att det uppstår brister på resurser som är nödvändiga för ett fungerande säkerhetsarbete. Flygplatsen Helsingfors-Vanda valde att använda resenedgången under pandemin till att installera modern skanningsteknik i säkerhetskontrollerna som fördubblade kapaciteten, och dras nu inte med samma problematik som Arlanda.
Pandemin och Rysslands invasion av Ukraina är två omvärldshändelser som i närtid snabbt förändrat hur vi ser på omvärlden samt hot mot och risker i vårt samhälle. Båda händelserna visar tydligt på att vi fick skörda frukten av beslut som fattats flera år tidigare, och svårigheterna att på kort tid vidta genomslagskraftiga säkerhetsåtgärder. Samtidigt som arbetet måste fortsätta med att åtgärda de säkerhetsbrister som identifierats utifrån dessa händelser måste även arbetet med att hantera morgondagens hot ske.
Om det är höljt i dunkel vem morgondagens motståndare är, kan arbetet i vart fall ta sin utgångspunkt i vad som är och vad som kan komma att bli kritiskt för den egna verksamheten. Görs det arbetet bör vi åtminstone vinna en seger för varje nederlag.
Linus Kilander Xu