När det gäller cybersäkerhetsfrågor finns det en gråzonsproblematik mellan krig och fred.
När det gäller cybersäkerhetsfrågor finns det en gråzonsproblematik mellan krig och fred. Men också en osäkerhet om vem som har helhetsbilden; och om hur man ska kunna veta att den bild man har verkligen är helhetsbilden och inte bara en del av någonting mycket mer omfattande än det man själv brottas med.
– Det sker hela tiden cyberangrepp från både enskilda och organisationer, och som enskilt företag eller organisation är det svårt att veta om det man utsätts för är en unik händelse, eller ingår som en del av flera samordnade attacker mot flera organisationer, säger Hans Sjöberg.
Ett sätt att minska den osäkerheten vore att införa obligatorisk it-incidentrapportering, vilket bland annat banker är ålagda enligt NIS-direktivet. Något som ska skärpas och utökas till att gälla fler verksamheter enligt NIS 2-direktivet, som är på väg att införas. Liknande krav ställs även i kommande EU-förordning DORA.
– Det är bra om man på sikt etablerar obligatorisk incidentrapportering. Men för att den ska fylla sin funktion måste man också se till att få till en snabbfotad analys och återkoppling. En sådan process efterfrågas av många organisationer. Det skulle underlätta för enskilda organisationer att snabbt vidta åtgärder och stänga ner system som är intressanta för angripare, om det skulle behövas, säger Hans Sjöberg.
Brittiska The National Cyber Security Centre, där flera sektorer och myndigheter arbetar för att motverka cyberbrottslighet och attacker i hela samhället, är väldigt aktiva, och en förebild för proaktivt arbete inom cybersäkerhet. I USA finns också motsvarande verksamhet, med samma namn.
Inom EU finns ENISA, the European Union Agency for Cybersecurity, som också lämnar rekommendationer. Men man får söka information själv, och organisationen ger ingen direkt återkoppling.
På europeisk nivå är dock en klar förbättring på väg i form av en ny EU-förordning, DORA, Digital Operational Resilience Act. DORA är utformat för att avsevärt förbättra cybersäkerheten och den operativa motståndskraften i den finansiella tjänstesektorn och kompletterar befintliga lagar som nät- och informationssäkerhetsdirektivet (NISD) och den allmänna dataskyddsförordningen (GDPR).
DORA blev provisoriskt godkänt av Europaparlamentet tidigare i år. Mot slutet av 2022 väntas lagen slutligt godkännas. Därefter kommer den att antas i lag av varje EU-medlemsstat. Precis som med GDPR inleds därefter en tvåårig anpassnings- och omställningsperiod.
DORA ställer krav på motståndskraft i IT-lösningar och ganska höga krav på risk- och incidentrapportering. Det gäller också till exempel övervakning av volym för att kunna förutse överbelastningsattacker.
– DORA kommer att innebära avancerad incidenthantering med rapportering, men också genomlysningar och krav på hög teknisk kompetens på ett helt annat sätt än dagens regulatoriska krav, säger Hans Sjöberg.
Dessutom ställs krav på regelbunden testning och kompetens- och säkerhetskrav på leverantörer av IT-tjänster.
– Med DORA kommer kravbilden att bli väldigt mycket bättre än den varit hittills och stabiliteten i hela finanssektorn kommer att höjas. Lagstiftningen kommer också att bidra till bättre beredskap, säger Hans Sjöberg.
Parallellt på hemmaplan har Finansinspektionen aviserat att den ska bli vassare i sin granskning genom att utöka sin bevakning och sina krav på de finansiella företagens robusthet till att omfatta fler delar efter förebild från amerikanska US National Institute of Standards and Technology, NIST, och dess Cybersecurity Framework, som är en uppsättning riktlinjer för att mildra organisatoriska cybersäkerhetsrisker. NIST cybersäkerhetsramverk bygger på fem huvudsakliga förmågor: identifiera, skydda, upptäcka, övervaka/respondera och återhämta (sig efter incident).
– Hittills har Finansinspektionen endast granskat två förmågor, identifiera och skydda. Så även detta är en väsentlig förbättring, säger Hans Sjöberg.