Hej, Jag heter Fredrik Björck. Jag ansvarar för forskning och utbildning inom cybersäkerhet och digital forensik vid Stockholms universitet.

Relevanta dokument
EU s dataskyddsförordning Krav, utmaningar och möjligheter. David Ahlén, Micro Focus Peter Olsson, Karlstads kommun Lars Nikamo, Micro Focus

Hur värnar kommuner digital säkerhet?

Så får du det kommunikativa ledarskapet integrerat i hela verksamheten. Camilla Nilzén 27 april 2016

Informationsklassning och systemsäkerhetsanalys en guide

5 säkerhetsaspekter att tänka på vid skapandet av din digitala assistent

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Från botten till toppen Hur ledarskapet är grunden för en framgångsrik resa från lågt förtroende till att vara ett föredöme

FRA:s överdirektör Charlotta Gustafsson: FRA:s roll i Sveriges cybersäkerhetsarbete

Myndigheten för digital förvaltning

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, REGIONER OCH LANDSTING

Tillgänglighet, Kontinuitet och Incidenthantering. Förutsättningar för nyttoeffekter. Leif Carlson

Digitalisering och tillitsbaserad styrning

KARTLÄGGNING: Så ser vardagen ut för IT-CHEFER. Du förtjänar bättre. Gör slut med dålig it.

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

NORDISKT SAMARBETE OM INFORMATIONSSÄKERHET I KOMMUNER, LANDSTING OCH REGIONER

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

CIO Governance 13 september 2011

Informationssäkerhetspolicy. Informationssäkerhetspolicy för Vingåkers kommun

Utdrag från kapitel 1

Organisation för samordning av informationssäkerhet IT (0:1:0)

Expertgruppen för digitala investeringar. Framgångsfaktorer för ett agilt arbetssätt

Är outsourcing ett bra alternativ? En guide till att ta beslut om man ska outsourca sin kundservice eller inte.

Strategisk inriktning digitalisering Christer Hårrskog

Värdera din digitala integritet

Välkommen till enkäten!

Informationssäkerhet - Informationssäkerhetspolicy

CIO MÖTE OSLO 17/11 INFORMATION // INTELLIGENCE // ADVICE. Radar Ecosystem Specialists

Ledningssystem för IT-tjänster

Säkerheten före allt? Åsa Hedenberg, vd Specialfastigheter

Fortsättning av MSB:s metodstöd

Ledning och styrning av IT-tjänster och informationssäkerhet

Lokal examensbeskrivning

Digitalisering av samhällsbyggnadsprocessen. Christina Thulin, Sveriges Kommuner och Landsting

Att samverka hur och varför. Anna Pegelow e-delegationen Anna Johansson - Tillväxtverket

Gräns för utkontraktering av skyddsvärd information

Ramavtal itslearning för Folkhögskolor

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Skrivglädje i vardagen!

Metodstöd 2

STANDARDER FÖR DOKUMENTHANTERING RECORDS MANAGEMENT STANDARDEN BESKRIVER. 1: Dokumentation Dokumenthantering(Records Management) Del 1: Allmänt

ADITRO OUR FOCUS BENEFITS YOURS ÖKA DIN KOMMUNS EFFEKTIVITET OCH ANPASSNINGSFÖRMÅGA COPYRIGHT ADITRO. ALL RIGHTS RESERVED.

Serotonin Gåshud Kittlar i magen Skratt Uppskattad

Rikspolisstyrelsens författningssamling

Ledarskap vid uppbyggnad av en gemensam kunskapsprocess

Säker informationshantering utifrån ett processperspektiv

Visionen om en Tjänstekatalog

Sunet /7 SUNET

10 tips för den ansvarsfulla entreprenören

Informationssäkerhetspolicy för Nässjö kommun

Hej och än en gång välkomna hit.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Processinriktning i ISO 9001:2015

CIO Research Combitech

Samordningsplan. Vision e-hälsa 2025

Örebro universitet Ett framstående universitet med ämnesmässig bredd, mod att ompröva och förmåga att utveckla

Informationssäkerhetspolicy för Vetlanda kommun

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Kvalitet och verksamhetsutveckling

Standarder källa till kunskap och utveckling. Arkivarien i den digitala kommunikationen

Utvärdering SFI, ht -13

Skrivtolkad version av telefonintervju med Jörgen Sandström, digitaliseringsdirektör i Västerås Stad

Framkomliga och användbara vägar och järnvägar Nu vässar vi oss för framtiden

Framtidens arbetstagare mobil och innovativ? november 2017

GÖTEBORGS UNIVERSITET IT-policy version sid 2 av Syfte Övergripande Styrning av IT... 3

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

SBAB ÖKAR SNABBHETEN OCH KUNDNYTTAN MED COMPLIANT CLOUD

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

Programmering i skolan varför då? Lisa Söderlund Pedagogik och kommunikation

ATLANTIC SECURITY AB

Myndigheten för samhällsskydd och beredskaps författningssamling

Digital kundservice i Sverige Rapport 2016

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

COM HEM-KOLLEN TEMA INTEGRITET. Februari 2018

Katarina Lycken Rüter

Investera för framtiden. Lås er inte vid det gamla.

ISA Informationssäkerhetsavdelningen

Miljö- och Hållbarhetspolicy. Fastställd av styrelsen i Orusts Sparbank

Tal till Kungl. Krigsvetenskapsakademien

IT-strategi för utbildningsverksamheten Övertorneå kommun

IKT plan för utbildningsnämnden 2015

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

IT-Policy. Tritech Technology AB

Så här övertygar du ledningen om att satsa på IT-säkerhet

Canon Business Services

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Om krisen eller kriget kommer Samhällsviktig verksamhet och nya lagar

Svenska myndigheters anseende 2015

GDPR Leverantörer Maj 2018

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) / av den

Företagspresentation Avega Group

SVENSKARNA OCH IOT INTERNET OF THINGS HISS ELLER DISS FRÅN SVENSKARNA?

Riktlinjer för informationssäkerhet

Affärsdokument Teori. Innehåll Inledning... 2 Vad är ett affärsdokument... 2 Standarder... 3 Lite om mått och format... 4

Vision KB:s syfte, vision och målbild

Transkript:

Hej, Jag heter Fredrik Björck. Jag ansvarar för forskning och utbildning inom cybersäkerhet och digital forensik vid Stockholms universitet. Idag har jag fått nöjet att berätta för er om Cyberresiliens, ett begrepp som jag och många med mig ser som en välbehövd komplettering av informations- och cybersäkerhetsbegreppen. Jag har varit verksam inom informationssäkerhetsområdet sedan 20 år och då främst med rådgivning, forskning och utbildning, både på konsultbolag, som informationssäkerhetsansvarig, och nu på universitetet. 1

Vid Stockholms universitet bedriver vi forskning och utbildning inom cybersäkerhet och digital forensik i nya lokaler i Kista på Institutionen för data- och systemvetenskap. För närvarande har vi cirka 100 studenter som går ett tvåårigt internationellt masterprogram helt inriktat på säkerhet och cirka 200 studenter som läser säkerhetskurser på kandidatprogrammen. Vi är cirka 10 medarbetare professorer, lektorer och andra inom cybersäkerhetsområdet och växer hela tiden med intresset för området. Vi samarbetar med företag, myndigheter och organisationer i Sverige och internationellt, vilket gör att vår forskning och utbildning fokuserar på relevanta frågeställningar. Ett sådant samarbete är det vi har med den Internationella standardiseringen ISO där vi är med och utvecklar ISO 27000-serien standarder sedan flera år. Idag när jag pratar om Cyberresiliens så är det också en liten rapport om det arbete vi just nu genomför tillsammans med ISO syftandes till att ta fram en internationell standard för cyberresiliens. 2

Cyberresiliens avser förmågan att kontinuerligt kunna leverera avsett resultat trots negativa cyberhändelser Cyberresiliens kan betraktas på flera olika nivåer, exempelvis för ett specifikt ITsystem, en affärsprocess, en organisation, en leveranskedja. Den här presentationen tar främst fasta på en verksamhets förmåga till cyberresiliens, så vi betraktar styrningen av cyberresiliens på organisationsnivå. Jag kommer ge tydligare mening till begreppet genom att gå igenom tre skiften vi behöver göra i hur vi tänker när vi vill säkra våra digitala tillgångar mot nästa generations hot. 3

Datasäkerhetsområdet fokuserade inledningsvis mycket på att skydda själva systemen. Idag är vi modernare vi jobbar hårt med att skydda verksamhetens information. Men i och med den ökade digitaliseringen av vårt samhälle, så har företagens och verksamheternas behov av säkerhet och deras förväntningar på oss säkerhetsrådgivare skiftat. Det här gäller allmänt, men extra tydligt blir det i verksamheter som är starkt digitaliserade. Vad är det då för skifte? Jo, från att skydda system och verksamhetens information till att hjälpa till att säkra leveransen av den vara eller tjänst som verksamheten tillhandahåller. En verksamhet som sysslar med pensionsutbetalningar är inte så värst intresserad av informationssäkerhet i sig utan betydligt mer intresserad av att kunna betala ut pensioner i form av rätt belopp, till rätt mottagare, i rätt tid och det med rätta. Ett affärsperspektiv på säkerhet idag är därför inte att diskutera vilken information verksamheten behöver säkra, utan vilken produkt eller tjänst som ska säkras och hur den tillhandahålls. Med det avsedda resultatet i fokus styrs insatserna inom säkerhet rätt och allt slutar med en nöjd och glad kund som kan konsumera tjänsten eller produkten. 4

Vi brukar ju säga att säkerheten är bara så stark som den svagaste länken. Då behöver vi tänka på att varje företag och organisation bara utgör en länk i en längre leveranskedja. Det fick Svensk media erfara när de inte längre kunde leverera sin tjänst i mars i år. Men, det var egentligen inte tidningarna som blev angripna av funktionsförlustattacken. Det var tidningarnas leverantörer. Vad kan vi lära oss av det här exemplet? För det första, så räcker det inte att vi skapar en god cybersäkerhetsförmåga hos oss själva utan vi måste involvera våra kunder och leverantörer. För det andra, behöver vår riskanalys innefatta andra aktörer vars säkerhet vi påverkas av och aktörer som i sin tur påverkas av vår säkerhet. För det tredje, så behöver vi ha ett ständigt pågående samarbete med våra kunder och leverantörer för att utbyta information om incidenter, ställa säkerhetskrav, och kanske till och med installera tekniska säkerhetslösningar hos dem. I och med molntjänster, outsourcing av IT-drift och hela affärsprocesser, ökande specialisering i verksamheter där varje företag och organisations del i den totala leveransen tenderar att bli mindre och mindre i och med det, så ökar vikten av att vi inom cybersäkerhetsområdet hjälper våra verksamheter att förstå att det är hela leveranskedjans förmåga som måste säkras inte bara den egna. 5

Som tidigare talare nämnt; Förra veckan blev det känt att Yahoo blivit av med personuppgifter till en halv miljard konton. Hacket genomfördes redan 2014 men blev känt för Yahoo först 2016. John Chambers, tidigare VD för CISCO systems sade There are only two types of companies: Those who have been hacked and those who do not yet know they have been hacked. Vi kommer att bli hackade, någon gång kommer angriparna lyckas oavsett hur bra förmåga vi har att skydda oss. Då ska vi bara beredda med en plan b. Det handlar inte bara om att förstå vad som hände, sanera och att få upp systemen igen. Nej, det handlar om att ha reservrutiner för att kunna fortsätta leverera vår produkt eller tjänst trots att vi blivit hackade och trots att angriparna lyckades denna gång. Det handlar också om hur vi ska kommunicera för att behålla våra kunders förtroende. Vi ska inte sluta jobba för ett bra skydd av våra system, men vi måste också och i mycket större utsträckning än idag tänka på vad som ska hända efter angreppet. 6

Ingen text 7

Tack för att du tog del av denna presentation! 8

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss