It-branschen måste prioritera säkra system före snabba pengar
Sverige har länge varit bäst i klassen på digitalisering. I över 30 år har vi drivit innovation med en skicklighet som utklassar majoriteten av omvärlden. År efter år rankar Sverige i toppen av globala index från både INSEAD och World Economic Forum för vårt kraftfulla engagemang i tillämpandet av nya tekniker för att lösa viktiga samhällsutmaningar. Men på ett område har vi halkat efter.
I takt med digitaliseringens utveckling har situationen blivit mer komplex och därmed har också riskerna ökat. När vi har våra id-handlingar, medicinska journaler och bankuppgifter tillgängliga i våra mobiltelefoner är livet bekvämare, men också sårbarare. I en osäker tid med krig i vår närhet, där organiserad cyberkriminalitet, desinformationskampanjer och nätbedrägerier har blivit allt vanligare, innebär ett allt mer uppkopplat samhälle både fler och farligare risker.
Mot den bakgrunden vill jag uppmana it-branschen att stanna upp. Vi behöver ställa motkrav när vi tar affärer och våga avstå uppdrag som innebär säkerhetsrisker för våra kunder. Vi kan inte avsäga oss vårt ansvar för att bidra till digital robusthet, inte ens när kunden ber oss om det.
Vi har länge, ibland mot bättre vetande, sålt funktionalitet till beställare utan att sätta it-säkerheten i första rummet. MSB:s rapport “Cyberangrepp mot samhällsviktiga informationssystem” visar att många organisationer idag misslyckas med att hantera cyberangrepp innan de får allvarliga konsekvenser för verksamheten. Ofta beror det på att organisationerna saknar en uppdaterad riskanalys och att kontinuitetsarbetet bygger på insikter från gamla attacker som inte längre är aktuella. I Infosäkkollen 2023, som lanserades av MSB i oktober, ser vi att 70 procent av samhällsviktiga verksamheter anser att de saknar de mest grundläggande delarna i ett systematiskt informations- och cybersäkerhetsarbete. Detta är sådant som vår bransch, vi som är experter på området, hade kunnat förebygga.
Vem bär ansvaret för detta? Somliga, inte sällan aktörer inom it-branschen, menar att det är beställarens ansvar att investera i cybersäkerhet och att det är efterfrågan som styr utbudet. En ursäkt som saknar bäring när våra centrala samhällsfunktioner och nationella säkerhet är under attack. Som it-leverantörer är det vårt ansvar att stötta våra kunder i att fatta rätt beslut vid upphandling av cybersäkerhetstjänster. Med vår förståelse för hotbilden och de åtgärder som krävs för att förebygga den, måste vi säkerställa att vi säljer våra digitala tjänster med integritet.
Fortfarande låter många sin affärsmodell formas av marknadens prispress och kundernas bristfälliga prioriteringar. Det har tyvärr resulterat i att vi levererar en större andel reaktiva säkerhetstjänster än proaktiva. Misstanken som riskerar att uppstå hos våra kunder är att vi väljer att sälja billigare it-tjänster med bristande säkerhetsskydd, med förhoppning om att dra in påbyggnads- och reparationsaffärer när krisen redan har skett. Men till vilket pris?
Cyberkriminalitet kostar individer, organisationer och samhället enorma belopp varje år, en prislapp som enligt World Economic Forum kommer att stiga till 10,5 biljoner dollar per år fram till 2025. Utöver det, och kanske viktigare än så, skapar det en utsatthet när samhällsbärande system inom både militär och civil försvarssektor kan slås ut av våra fiender.
För att skapa ett tryggt digitalt Sverige måste vi därför stanna upp och reflektera kring den integritet och hantverksstolthet vi utför vårt arbete med. Vi kan inte fortsätta se på när samhällsbärande verksamheter likt dominobrickor slås ned, medvetna om vår avgörande roll i både problemet och lösningen. Därför behöver it-branschen med full kraft börja prioritera säkra system före snabba pengar, genom att ta ansvar och tacka nej till uppdrag som inte innefattar säkerhet.
