Årets Almedalsvecka hade ett starkt fokus på det svenska samhällets motståndskraft. Därför var det också naturligt för mig och Omegapoint att delta. Vi valde att viga torsdagen åt tre fullsatta seminarier om samhällets motståndskraft, offentlig digitalisering och cyberkriminalitet.
Ämnet är högaktuellt, och därför är det särskilt glädjande att vi lyckades få en sådan bred uppslutning. Experter och aktörer från alla delar av samhället, som är viktiga för att vi ska bygga vår robusthet, var på plats.
I det första seminariet, om hur vi skapar ett tryggt och motståndskraftigt digitalt samhälle, deltog jag själv tillsammans med Netnods Patrik ”Paf” Fältström, Magnus Bergström från Integritetsskyddsmyndigheten och Tele2:s senior security advisor Karl-Erik Svedin. Det andra seminariet handlade om hur vi ska möta hotet från cyberkriminalitet och där deltog Nicklas Haglund från vårt systerbolag Basalt, Freddy Jönsson Hanberg från Totalförsvarsstiftelsen, Björn Eriksson, gruppchef på avdelningen för komplexa cyberbrott på NOA, Andreas Heed från Finansinspektionen och min kollega Anders Brännström.
Under dagens sista panelsamtal, med rubriken ”Samhällsviktiga verksamheter får bakläxa på cybersäkerheten – vem bär ansvaret?” fick jag sällskap i panelen av John Billow från FMV, säkerhetsexperten Hanna Linderstål från Earhart Business Protection Agency och Åke Holmgren från MSB.
Det blev intensiva och matnyttiga diskussioner med många inspel från publiken, och att sammanfatta dem är ingen lätt uppgift. Men det här är några av de viktigaste sakerna jag tar med mig:
- Allt säkerhetsarbete utgår från verksamheten. Alla verksamheter har en överenskommelse med sina kunder om vad man ska tillhandahålla. Då måste man också ha koll på vilka hot och risker det finns mot förmågan att leverera på det åtagandet. Den analysen måste innefatta, men inte begränsa sig till, cybersäkerhet.
- Erfarenheterna från Rysslands anfallskrig i Ukraina har påmint oss om att vår definition av samhällsviktig verksamhet förmodligen är för snäv. Det räcker inte med el, sjukvård, livsmedelsförsörjning med mera. Ett samhälles motståndskraft innefattar hela ekonomin. Som Patrik Fältström kort svarade på frågan om vad som absolut måste fungera i en krissituation: ”Allt. Vi ska förvänta oss att allt fungerar”.
- Kampen mot cyberkriminaliteten går bättre än vad vi tror. Här har polisen en kommunikativ och pedagogisk utmaning. För även om få anmälningar inte leder till ett svenskt åtal, så lämnas utredningen ofta över i det internationella samarbetet polismyndigheterna emellan. Visste du till exempel att Coop-attacken nyligen ledde till fällande dom och 13 års fängelse? Eller att den svenska polisen medverkade till att ta ner ransomwaretjänsten Lockbit?
- Och kanske viktigast: Vi måste sluta vänta på NIS2, Dora och andra regelverk eller lagar. Svaret på hur vi ska säkra våra verksamheter står inte att finna i hur vi tolkar ordval i ett EU-direktiv, då alla förordningar syftar till samma sak: att säkra vårt digitala samhälles motståndskraft. Både John Billow från FMV och Åke Holmberg var tydliga med att deras myndigheter finns där för att hjälpa, inte för att peka finger.
Sammantaget visade både våra egna seminarier och många av de andra jag hade tillfälle att besöka i Visby, att medvetenheten om vad som behöver göras är god. Det som saknas på vissa ställen är handlingskraft, och där riskerar många organisationer att gå i baklås inför en utmaning som upplevs som väldigt komplex.
Där finns det en pedagogisk uppgift att lösa, både för oss på Omegapoint och för andra aktörer i området. Det viktiga för alla verksamheter är att definiera vad som absolut måste funka. Sedan kan man ta hjälp med att säkra att det också gör det, även vid en attack eller annan krissituation.