Till detta ska tilläggas att pandemin är långt ifrån över, även om vi kanske ser en viss ljusning, igen. I nationen flyger drönare obehindrat över våra skyddsobjekt och hos vår stadsminister städar den som saknar uppehållstillstånd. Det går inte för en stund att blunda för att det är en turbulent tid vi befinner oss i och som vi måste förhålla oss till.
Det finns ofta en tro att ”någon annan” tar ansvar för de brister och sårbarheter vi dagligen noterar. Det synsättet fungerar med en hotbild som är stillsam och där risken är låg att någon drar fördel av det faktum att vi är sårbara. ”Någon annan” är nu fullt upptagen med att rätta till sina egna tillkortakommanden och risken ökar att någon illvillig drar fördel av våra blottade sårbarheter.
Kanske är detta en överdrift, men det faktum att det skulle finnas ”någon annan” är i realiteten ofta ”ingen annan”. Därför är det hög tid att ta ett kliv fram och ta reda på organisationens hotbild, vilka är organisationens sårbarheter och vilka risker är det förenat med.
I den digitala tillvaron har vi en växande vana att hantera de sårbarheter som uppenbaras och åtgärdar dem i en allt snabbare takt. Sårbarheten i Log4j (CVE-2021-44228 med flera) var ett eldprov för många organisationer att hantera. Med ett preliminärt facit i hand ser det lovande ut även om vi inte säkert vet vad exempelvis en oberäknelig statsmakt har dragit för fördel här. Här kommer ”ingen annan” med det slutgiltiga svaret, utan var och envar är svaret sig själva skyldiga.
Den är heller ingen nyhet att det finns en stor mängd organisationer som har en it-infrastruktur som designades för en helt annan hotbild än dagens. En tydlig indikation är när en tämligen snäll sårbarhet slår ut stora delar av en hel organisation, sannolikt för att det är en platt infrastruktur där alla tillåts kommunicera med alla och där åtkomstbegränsningarna lyser med sin frånvaro. Här kommer ”ingen annan” till räddning utan den tekniska, organisatoriska och administrativa skuld som många organisationer lever med måste åtgärdas för att undvika att framstå som nästa offer.
Självklart ska bränderna släckas, men förmågan att tillse att det inte brinner är den långsiktiga vägen fram!
Besvärande är att det sällan finns någon snabb och enkel lösning utan det krävs betydande insatser på många håll. Inte minst i att tillse förmågan att arbeta systematiskt med informations- och cybersäkerhet. Självklart kan det mest självklara hanteras utan systematik, men ska det bli långsiktigt hållbart fungerar det inte att bortse från systematiken. ”Ingen annan” kommer att tillse att systematiken får en naturlig hemvist i verksamheten.
Var och ens engagemang har aldrig varit viktigare. När ”ingen annan” finns att tillgå åvilar det ytterst på var och envar att kliva fram. Även här är systematiken helt avgörande. Den som vill lyfta fram brister, måste också ge förslag på hur tillkortakommanden kan åtgärdas. Det räcker inte med att uttrycka oro eller allmänt ge uttryck för sina åsikter.
Det systematiska informations- och cybersäkerhetsarbetet kan fungera för såväl stort som smått. Vi skiljer exempelvis inte på hur vi uttrycker risker. Den orosbenägne kan utöver sin oro också uttrycka konsekvenserna av det som känns oroande och hur sannolikt det är att oron kan besannas. För de risker som är reella är det också på sin plats att föreslå åtgärdsförslag.
Här kan du fylla det tomrum som ”ingen annan” kan!
Thomas Nilsson
