Det har aldrig varit så oroligt i modern tid som det är nu. För många är den vardagliga oron att EU:s adekvansbeslut för att överföra personuppgifter till USA upphör att gälla, och oförmågan att ta sig ur de inlåsningseffekter som många amerikanska molntjänster leder till. Lugn, just här finns det hopp!
Det är fullt möjligt att navigera dataskyddsförordningen utifrån de registrerades perspektiv och där tillhörande relevanta skyddsåtgärder ur ett konfidentialitets- och riktighetsperspektiv – även utan ett adekvansbeslut. Tillgängligheten till uppgifterna löses dock inte, oavsett om det finns adekvansbeslut eller inte. Givet den turbulens som nu råder behöver fokus flyttas.
En ny dimension att beakta är att länder som förlorar i demokratiindex också skapar egna narrativ som inte alltid är desamma som den sanning vi har för vana att anförtro oss till. Vi ser också hur verktyg som tullar och handelshinder används som maktmedel av sällan skådad art. Ett rimligt utfall i en riskanalys torde vara att hämta hem informationstillgångarna från oroshärdarna och placera dem i ett bättre förvar.
Samtidigt har det visat sig att när det blåser ordentligt finns det än större anledning att sprida riskerna. Rysslands fullskaliga invasion av Ukraina har visat att informationstillgångar som utkontrakterats för teknisk bearbetning och lagring i fler fall har varit rätt beslut och möjliggjort fortsatt åtkomst till uppgifterna, trots att landet befinner sig i krig.
Kriget i Ukraina har också visat på en enorm teknikutveckling – en teknikutveckling som innebär att stora delar som har setts som en naturlig del i en återuppbyggnad av ett försvar och det materiel som sedan länge förådsställt är passé. Informations- och cybersäkerheten har aldrig varit viktigare än nu. Att drönarna flyger med fiberanslutning talar sitt tydliga språk.
I ett par av våra krönikor och artiklar senaste tiden har vi belyst det faktum att asymmetriska algoritmer som RSA och ECC har ett allt tydligare bäst-före-datum. Händelseutvecklingen i vår omvärld innebär sannolikt inte att algoritmerna får ett senare bäst-före-datum. Sannolikt kommer inte heller de kvandatorsäkra algoritmerna ha samma livslängd som exempelvis RSA (~50 år). Vi behöver således bygga förmåga att vara kryptoagila och upprätta en CBOM (Cryptographic Bill Of Materials).
Detta ska ses i ljuset av att det föreslås att vi ska livscykelhantera certifikat var 47:e dag och det i en verklighet där många organisationer använder wildcard-certifikat (*.domännamn.tld) där alla också delar på samma nyckelmaterial där nycklarna har långt från det skydd som hindrar en hotaktör. Gapet är stort!
Listan kan göras lång. Det visar sig inte minst när en organisation mäter sig mot exempelvis genomförandeakten av NIS2 för att bilda sig en uppfattning om nuläget och vilka insatser som är nödvändiga för följsamhet mot direktivet.
Faktum är att det inte bara handlar om att följa reglering från EU såsom NIS2, GDPR, AI-förordningen eller svensk reglering som säkerhetsskyddslagen (2018:585). Det handlar framför allt om att bedriva ett systematiskt och riskbaserat säkerhetsarbete för att långsiktigt kunna bemästra vår samtid. Att reglerna gradvis skärps är en effekt av att informations- och cybersäkerheten är långt från tillräcklig. Långt från tillräcklig är också vägledningarna och rekommendationerna. Att å ena sidan ställa krav på en godkänd e-tjänstelegitimation på rätt tillitsnivå och å andra sidan ge förslag på lämpliga lösenordsregler är långt från stringent.
Oavsett reglering, rekommendationer eller vägledning bär alla ett ansvar. Lösningen är sannolikt inte att införskaffa ytterligare prylar då det är helt uppenbart att det är systematiken som oftast brister. Skuldberget kan kännas oöverstigligt och den tillfälliga ångesten kanske kan dämpas med investeringar i teknisk funktionalitet som du inte visste att du saknade. För hotaktören gör det troligen ingen större skillnad. De arbetar sedan länge systematiskt för att uppnå sina mål.