I förra månadens krönika belystes brister i ledningens engagemang, men också det faktum att de utpekade “förebilderna” kanske inte är de bästa att se upp till. Att nu peka ut Transportstyrelsen som en viktig spelare i och med NIS-direktivet som har fokus på samhällsviktig verksamhet är väl ändå magstarkt. Transportstyrelsen, precis som livsmedelsinspektionen, har dock insikten att granska andras informationssäkerhetsarbete inte ligger inom ramen för deras profession. Hur tänkte utredaren här när detta föreslogs?
Det är alltid lätt att sparka åt någon annans håll och det faktum att sommarens fadäser bara är toppen av ett isberg gör frågan än större och än viktigare. Men, i den vanliga vardagen, där fotfolket några steg ner i näringskedjan förväntas täcka upp för tillkortakommande högre upp i organisationen, är det heller inte alltid i harmoni.
Vi har ett stående skämt internt där vi talar om next-next-next PKI:er. Dvs. hjärtat i många säkerhetslösningar har skapats av en tekniker utifrån en teknikers perspektiv utan någon som helst kunskap om kryptografi, vikten av bra slumptal, rollseparering, livscykelhantering, flerpersonskontroll (där personerna också på riktigt har identifierats) m.m. Listan kan göras lång. Här skulle nationell vägledning och kanske än hellre rekommendationer göra skillnad, men rädslan att vägledning leder i fel riktning gör att den uteblir. Jag undrar dock om det kan bli värre?
Att göra om och göra rätt är en stor påfrestning vilket i sig leder till att problematiken inte sällan sopas under mattan. Ringarna på vattnet är ofta omfattande, samtidigt som det bara behövs några droppar för att bryta den ytspänning som bär mer än vad många anar.
Detta är bara ytterligare exempel på tickande bomber. Att lösa alla dessa tillkortakommanden kräver i många fall omfattande insatser. Dessvärre är alternativen få. De riktigt stora misstagen måste åtgärdas och saker måste göras rätt. Lycksökarna kantar givetvis fortsatt vägen och visar på innovationer som kommer att göra livet enklare som genom ett trollslag. Samtidigt är det dessa lycksökare som är en bidragande orsak till att vi befinner oss där vi är.
Det är inte avsaknaden av innovation som är problemet, utan att innovatören alldeles för ofta själv är helt oförstående inför de utmaningar som denne tror sig lösa och den glade entusiasten ser sällan helheten.
Resan måste börja i den änden där värdefulla tillgångar identifieras och att dessa skyddas över tid med rätt tekniska och organisatoriska skyddsåtgärder. I sig är detta ett mycket uttjatat uttryck, men det verkar fortfarande passera alltför många öron. I ett strukturerat informations- och IT-säkerhetsarbete är detta den självklara professionella grunden.
Det är hög tid att låta det strukturerade informations- och IT-säkerhetsarbetet bli en del av den vanliga vardagen. Det är, och får aldrig bli, ett parallellt spår utan det är just en integrerad del av verksamheten. Bevisligen vittnar sanningen om att detta är långt ifrån självklarheter hos alltför många. I de verksamheter där detta redan är verklighet är det njutfullt att se hur elegant och obehindrat det rör sig fram och förbi.
Thomas Nilsson