Släpp inte taget om ledstången

2022-12-30
När det är dags att sammanfatta 2022 konstaterar jag att det är tredje nyårskrönikan på raken som vi har ett extraordinärt år bakom oss. Covid19 har givetvis gjort ett av de största avtrycken senaste åren, samtidigt som det är en del av det nya normala. Putins intåg i Ukraina i februari är givetvis årets starkaste avtryck. Sammantaget är det verkligen en prövningens tid för informations- och cybersäkerheten.

 

I nyårskrönikan 2020 med rubriken Var pandemin ett nödvändigt ont var det den snabba omställningen att arbeta hemma som gav starkast avtryck, men även vardagsutmaningarna som att bestämma vad ett röjande enligt offentlighets- och sekretesslagstiftningen (OSL) egentligen är och utmaningen med elektroniska underskrifter som var att likna med ett Klondike med lycksökare.  I nyårskrönikan 2021 med rubriken Hårda paket framför mjuka paket?var det ett år fortsatt präglat av Covid19, men även i vanlig ordning bevittnade vi en rad incidenter som inträffar där kanske Kalix kriskommunikation från julen 2021 är det starkaste minnet.

Med 2022 i ryggen går det snabbt att konstatera att vardagen fortlöper där vi fortsatt brottas med exempelvis röjandefrågan och underskriftsfrågan, samtidigt som den fortsatt kantas av en rad incidenter som lamslår organisationer som ännu inte dragit tillräcklig lärdom av hittills inträffade incidenter.

Det är inte hälsosamt att använda utgångna  och ej supportade operativsystem. Det är heller inte hälsosamt att leva vidare i en infrastruktur där den illvillige som får ett litet fotfäste sprider sig som en löpeld i hela organisationen. Inte heller är det hälsosamt att fortsätta använda lösenord. Under 2023 kommer det att bli ännu mer ohälsosamt. Detta är sannerligen inte några nyheter, ändå är det påfallande hur de organisationer som drabbas inte i tillräcklig grad gjort sin hemläxa. Sedan går det givetvis inte att skydda sig fullt ut, men då är det organisationernas förmåga att hantera incidenter som prövas och inte minst förmågan att sätta organisationernas kontinuitetsplaner i verket. Tyvärr ser vi fortsatt prov på att incidenthanteringsförmågan brister och att det finns klar förbättringspotential avseende kontinuitet. Kalix framstår fortsatt som den värdiga vinnaren vad gäller kriskommunikation, medan det finns nya kandidater vad gäller det omvända. Under 2023 behöver vi nya förebilder med avseende på kriskommunikation.

I takt med att säkerhetsläget förändras i Europa är det inte rimligt med den lägsta nivån avseende informations- och cybersäkerheten som visar sig gång efter annan. Det krävs en klart bättre lägstanivå för att inte bli ett enkelt byte för en stadsaktör som verkligen vill oss illa. Det är sällan den tekniska förmågan som saknas, utan förmågan att tillse att redan gjorda investeringar används rätt och att det finns förmåga att kravställa rätt. Det systematiska informations- och cybersäkerhetsarbetet måste flätas in i den vanliga vardagen och bli en riktig kugge i verksamheten, inte ett ovalt hjul som snurrar vid sidan om.

Parallellt kommer vi under 2023 fortsatt att arbeta vidare med vardagsutmaningarna där de underskriftslösningar som etablerats tenderar till att bli isolerade öar, varför en kvalitetshöjning är nödvändig. Den svenska särarten är inte en väg fram. Med en uppdaterad eIDAS-förordning blir det än tydligare att vi behöver kvalificerade betrodda tjänster även i Sverige. Med en statlig e-legitimation, som kan bli verklighet redan under 2023, kommer också spelplanen att ritas om, till det bättre. Det förutsätter dock att alla tillhandahållare av e-tjänster accepterar alla godkända e-legitimationer, förutsatt tillräcklig tillitsnivå. Det är inte rimligt med alla de isolerade öar och den protektionism som fortsatt råder. Låt 2023 präglas av ett öppet och inkluderande sinne för att ge digitaliseringen en rejäl skjuts framåt. Likt det som skedde under pandemiåren.

Den nya säkerhetsordningen och nya EU-initiativ kommer att ställa högre krav på informations- och cybersäkerheten, inte minst för det som är samhällsviktigt och samhällskritiskt. Här är det viktigt att arbeta vidare med det systematiska och riskbaserade informations- och cybersäkerhetsarbetet. Lagstiftarna i EU för de olika initiativen är oväntat synkroniserade varför ni som har ett fungerande ledningssystem tryggt kan hålla er i ledstången under den fortsätta resan. För er som inte har någon ledstång att hålla er i är det glasklart vad som gäller under 2023.