En av de vanligaste frågorna jag får, handlar om hur man ska påbörja ett arbete med ökad industriell cybersäkerhet i ett företag. Oftast hänvisar jag till den första punkten i den vägledning till ökad it-säkerhet som msb har tagit fram: ”Säkra ledningens
engagemang och ansvar för säkerheten i industriella informations- och styrsystem”. Orsaken till att jag lyfter fram just den punkten är inte minst en önskan att skapa en förbättrad arbetssituation för dem som bedriver säkerhetsarbete.
Under de snart femton år som jag arbetat med safety- och security-relaterade frågor har jag träffat många eldsjälar. Personer som, av intresse och ansvarskänsla, arbetar hårt och oförtröttligt med säkerhetsfrågor i mer eller mindre förstående organisationer. Jag har sett hur slitsamt och ibland otacksamt det kan vara. Även om jag och mina kollegor uppskattar förtroendet att ibland få rollen som en axel att gråta mot, skulle vi hellre se att uppförsbacken för dessa personer inte var fullt så brant. Om ledningen redan från början är med på tåget och inser sitt ansvar – kanske med hjälp av det material vi på msb tar fram – blir arbetet både lättare, effektivare och fullständigare.
Men även om detta för ett långsiktigt framgångsrikt säkerhetsarbete är en viktig punkt, vet jag att det inte alltid är så det fungerar – eller ens kan fungera.Ärligt talat, är det heller inte alltid så jag själv agerar. När man vill få något gjort ser man till att få det gjort. Om chefen eller ledningen inte kan förmås eller har förmågan att ta tag i en fråga, har man sin egen ansvarskänsla. En känsla som hos inte minst ingenjörer brukar vara stark. Man vill helt enkelt lösa problemet.
Men med tanke på den situation vi befinner oss i, där frågor om cybersäkerhet får allt större uppmärksamhet, standarder växer fram och utvidgad lagstiftning är i antågande, vill jag lyfta fram den sista punkten i vägledningen. Det handlar om punkt 17: ”Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem.”Aldrig har detta varit viktigare än nu. För att som företag eller organisation säkra sin framtida konkurrenskraft och kunna välja rätt väg, behöver man ha tillräcklig information och insikt. Kunskap behövs för att göra en egen analys. Hur ska vi arbeta med cybersäkerhetsfrågan? Hur behöver vi anpassa oss? Vilket ansvar har vi? Vad kommer våra kunder kräva av oss? Och inte minst: hur kan vi påverka utvecklingen? Att hålla sig uppdaterad och informerad är även en förutsättning för att kunna bedriva ett effektivt säkerhetsarbete. Cybersäkerhet är inte något en gång för alla fixt och färdigt. Målet är rörligt.
En vänlig påminnelse till sist: att dela information är viktigt för seriöst säkerhetsarbete. Men pass på så att du inte lockas berätta mer än vad som är lämpligt. Vissa sammanhang lockar även individer med annat än rent mjöl i konferensväskan.
Kristina Blomqvist
