Hej, Jag heter Fredrik Björck. Jag ansvarar för forskning och utbildning inom cybersäkerhet och digital forensik vid Stockholms universitet.

Transkript

1 Hej, Jag heter Fredrik Björck. Jag ansvarar för forskning och utbildning inom cybersäkerhet och digital forensik vid Stockholms universitet. Idag har jag fått nöjet att berätta för er om Cyberresiliens, ett begrepp som jag och många med mig ser som en välbehövd komplettering av informations- och cybersäkerhetsbegreppen. Jag har varit verksam inom informationssäkerhetsområdet sedan 20 år och då främst med rådgivning, forskning och utbildning, både på konsultbolag, som informationssäkerhetsansvarig, och nu på universitetet. 1

2 Vid Stockholms universitet bedriver vi forskning och utbildning inom cybersäkerhet och digital forensik i nya lokaler i Kista på Institutionen för data- och systemvetenskap. För närvarande har vi cirka 100 studenter som går ett tvåårigt internationellt masterprogram helt inriktat på säkerhet och cirka 200 studenter som läser säkerhetskurser på kandidatprogrammen. Vi är cirka 10 medarbetare professorer, lektorer och andra inom cybersäkerhetsområdet och växer hela tiden med intresset för området. Vi samarbetar med företag, myndigheter och organisationer i Sverige och internationellt, vilket gör att vår forskning och utbildning fokuserar på relevanta frågeställningar. Ett sådant samarbete är det vi har med den Internationella standardiseringen ISO där vi är med och utvecklar ISO serien standarder sedan flera år. Idag när jag pratar om Cyberresiliens så är det också en liten rapport om det arbete vi just nu genomför tillsammans med ISO syftandes till att ta fram en internationell standard för cyberresiliens. 2

3 Cyberresiliens avser förmågan att kontinuerligt kunna leverera avsett resultat trots negativa cyberhändelser Cyberresiliens kan betraktas på flera olika nivåer, exempelvis för ett specifikt ITsystem, en affärsprocess, en organisation, en leveranskedja. Den här presentationen tar främst fasta på en verksamhets förmåga till cyberresiliens, så vi betraktar styrningen av cyberresiliens på organisationsnivå. Jag kommer ge tydligare mening till begreppet genom att gå igenom tre skiften vi behöver göra i hur vi tänker när vi vill säkra våra digitala tillgångar mot nästa generations hot. 3

4 Datasäkerhetsområdet fokuserade inledningsvis mycket på att skydda själva systemen. Idag är vi modernare vi jobbar hårt med att skydda verksamhetens information. Men i och med den ökade digitaliseringen av vårt samhälle, så har företagens och verksamheternas behov av säkerhet och deras förväntningar på oss säkerhetsrådgivare skiftat. Det här gäller allmänt, men extra tydligt blir det i verksamheter som är starkt digitaliserade. Vad är det då för skifte? Jo, från att skydda system och verksamhetens information till att hjälpa till att säkra leveransen av den vara eller tjänst som verksamheten tillhandahåller. En verksamhet som sysslar med pensionsutbetalningar är inte så värst intresserad av informationssäkerhet i sig utan betydligt mer intresserad av att kunna betala ut pensioner i form av rätt belopp, till rätt mottagare, i rätt tid och det med rätta. Ett affärsperspektiv på säkerhet idag är därför inte att diskutera vilken information verksamheten behöver säkra, utan vilken produkt eller tjänst som ska säkras och hur den tillhandahålls. Med det avsedda resultatet i fokus styrs insatserna inom säkerhet rätt och allt slutar med en nöjd och glad kund som kan konsumera tjänsten eller produkten. 4

5 Vi brukar ju säga att säkerheten är bara så stark som den svagaste länken. Då behöver vi tänka på att varje företag och organisation bara utgör en länk i en längre leveranskedja. Det fick Svensk media erfara när de inte längre kunde leverera sin tjänst i mars i år. Men, det var egentligen inte tidningarna som blev angripna av funktionsförlustattacken. Det var tidningarnas leverantörer. Vad kan vi lära oss av det här exemplet? För det första, så räcker det inte att vi skapar en god cybersäkerhetsförmåga hos oss själva utan vi måste involvera våra kunder och leverantörer. För det andra, behöver vår riskanalys innefatta andra aktörer vars säkerhet vi påverkas av och aktörer som i sin tur påverkas av vår säkerhet. För det tredje, så behöver vi ha ett ständigt pågående samarbete med våra kunder och leverantörer för att utbyta information om incidenter, ställa säkerhetskrav, och kanske till och med installera tekniska säkerhetslösningar hos dem. I och med molntjänster, outsourcing av IT-drift och hela affärsprocesser, ökande specialisering i verksamheter där varje företag och organisations del i den totala leveransen tenderar att bli mindre och mindre i och med det, så ökar vikten av att vi inom cybersäkerhetsområdet hjälper våra verksamheter att förstå att det är hela leveranskedjans förmåga som måste säkras inte bara den egna. 5

6 Som tidigare talare nämnt; Förra veckan blev det känt att Yahoo blivit av med personuppgifter till en halv miljard konton. Hacket genomfördes redan 2014 men blev känt för Yahoo först John Chambers, tidigare VD för CISCO systems sade There are only two types of companies: Those who have been hacked and those who do not yet know they have been hacked. Vi kommer att bli hackade, någon gång kommer angriparna lyckas oavsett hur bra förmåga vi har att skydda oss. Då ska vi bara beredda med en plan b. Det handlar inte bara om att förstå vad som hände, sanera och att få upp systemen igen. Nej, det handlar om att ha reservrutiner för att kunna fortsätta leverera vår produkt eller tjänst trots att vi blivit hackade och trots att angriparna lyckades denna gång. Det handlar också om hur vi ska kommunicera för att behålla våra kunders förtroende. Vi ska inte sluta jobba för ett bra skydd av våra system, men vi måste också och i mycket större utsträckning än idag tänka på vad som ska hända efter angreppet. 6

7 Ingen text 7

8 Tack för att du tog del av denna presentation! 8