Åsa Schwarz är IT-säkerhetskonsult på Knowit Cybersecurity & Law, ett av Nordens största bolag på säkerhetsområdet, med arbetsbeskrivningen att skapa en säkrare digital miljö för Sveriges medborgare. Förutom krönikör i fackpress och Årets säkerhetsprofil 2017 är Åsa författare, varav den senaste boken, hackerthrillern De sju nycklarna, blev en julklapp till Sveriges riksdagsledamöter med tips för ett cybersäkrare Sverige.
Intresset var stort när chefer från Sveriges största chefsnätverk samlades för att höra om trender och faror kring cybersäkerhet samt om den stora AI-explosionen som väntas under 2019. Följande artikel är en summering av Åsas föreläsning.

Hur ligger Sverige till i sin cybersäkerhet i jämförelse med andra länder?
Som nation är vi oerhört framgångsrika när det kommer till att digitalisera den offentliga och privata sektorn. Vi ligger på topp tre när det gäller innovationer och Stockholm har efter Silicon Valley flest antal startups i världen. Men få pratar om vad det här innebär ur ett säkerhetsperspektiv och hur vi måste förändra vårt arbetssätt, vår utbildning och organisation för att hänga med i utvecklingen. Vi har ett enormt stort arbete framför oss för att bli lika framgångsrika i vårt säkerhetstänk. Bristen på kompetens är ett internationellt problem, i USA saknas till exempel dryga 250 000 säkerhetsexperter. Ett land som i nuläget utmärker sig framgångsrikt ur ett säkerhetsperspektiv är vår granne Estland, som efter en katastrofal hackerattack 2007 framgångsrikt byggt upp sin säkerhet från grunden.

Du säger att ALLT handlar om IT, berätta.
Det är viktigt att vara medveten om att i princip all produktion styrs av IT, alltifrån momenten i bilfabriken, till tunnelbanan som styrs av avancerade signalsystem och din tandborste i badrummet som kopplas upp mot internet. När teknik används och sköts på rätt sätt är möjligheterna oändliga, ta självkörande fordon som ett exempel. 80 procent av alla trafikolyckor idag sker på grund av människors misstag. Dessa skulle vi kunna reducera enormt genom självkörande fordon, och i Kista har vi redan exempel på självkörande bussar.
Parallellt med möjligheterna ökar förstås riskerna, och därför hör vi alltmer om risker att kunna hacka bilar, övervakningskameror och till och med insatta pacemakers. Problemet är inte möjligheterna, utan att vi bygger osäker infrastruktur och system som därmed gör hela samhället osäkert.

Vi har sett flera allvarliga incidenter de senaste åren – är det något vi behöver vänja oss vid, menar du?
Ja, det kommer att ske ganska många allvarliga säkerhetsincidenter de närmaste åren, vilket beror på flera saker. Tidigare har produktutvecklare kunnat ha en lång utvecklingsprocess med generös tid för tester. När tv-apparaten kom tog det 50 år innan produkten hade en miljard användare, för Internet tog det 15 år. Idag kan en ny applikation inom loppet av ett par dagar få samma typ av spridning, då produktutvecklare arbetar under en helt annan press att så snabbt som möjligt få ut produkter på marknaden. Utvecklingen av tjänster, produkter och system ökar exponentiellt samtidigt som beroenden mellan dem blir alltmer komplexa och många programmerare helt enkelt saknar kompetens att programmera säkert idag. Världen går dock inte under av allvarliga incidenter. Det viktiga är hur skickligt vi hanterar dessa incidenter och därmed kan minska effekterna av dem. För att både höja effektivitet och kompetens finns ett stort behov av en central och kraftfull incidenthantering inom offentlig sektor, istället för att den som idag ligger på olika myndigheter med olika mandat. Detta skulle också ge en bra grogrund för att utbilda en ny generation av experter.

Vad ser du som Sveriges största säkerhetsproblem just nu?
Kompetensbristen. Vi står idag inför en skenande kompetensbrist inom cybersäkerhet där antalet experter långt ifrån ökar i samma takt som efterfrågan (+10–15 % om året). Det här ser jag i förlängningen som ett av Sveriges största säkerhetsproblem. Det är en traditionell bransch och få organisationer är villiga att ta kostnaden eller har möjlighet att lära upp en person som kommer direkt från universitetet till att bli en cybersäkerhetsexpert. Prognosen är faktiskt rätt dyster. Vi har bra utbildningar på universitet och högskolor men sedan anställs de inte och får erfarenhet och fortsatt utbildning . Sverige saknar också en effektiv central uppföljning av cybersäkerhet. Våra kommuner och landsting visar i en rad olika rapporter brister inom området. Jag anser att det borde finnas en tydlig uppföljning och mätning av säkerheten, konsekvenser vid allvarliga brister och möjlighet till stöd för att åtgärda dem.

Hur kan vi då framtidssäkra vår infrastruktur och produkter?
Utvecklingen sker tyvärr alltför långsamt. När du köper en ny tv-skärm, frågar du som konsument hur säker den är? Nej, du utgår ju ifrån att de stora bolagen har koll. Problemet är att när konsumenttrycket för säkerhet saknas vill bolagen inte betala för nödvändig säkerhet i våra produkter. Lämplig lagstiftning finns inte på plats och därmed står ingen frivilligt för den extra kostnaden. Problemet är att kompetensen fortfarande är för låg. Beslutsfattare måste agera för att sätta mer press på produktbolagen och vi behöver få upp kompetensen även inom IT-branschen. I nuläget saknar många av landets systemutvecklare kompetensen för att koda säkert samtidigt som det är svårt att hinna med säkerhetstester och framför allt tiden att åtgärda eventuella fel som upptäcks.

Du föreslår IT-säkerhetsmärkningar för att öka produktbolagens ansvar?
Ja, om vi till exempel har el-säkerhetsmärkningar (CE), varför har vi då inte IT-säkerhetsmärkningar? Tillverkarna av produkter som är uppkopplade mot nätet måste ta ansvar – och hållas ansvariga – för säkerheten i sina produkter. Det är inte bara deras kunder som blir drabbade av den dåliga säkerheten, utan hela vårt samhälle kan utsättas för till exempel DDoS-attacker, vilket vi sett i olika grad gentemot bland annat medieindustrin, när processorkraften i de hackade produkterna användes.

Vi ser ju en explosion kring AI. Hur sammanfattar du att säkerhetslandskapet kommer att påverkas?
I år kommer det stora AI-genombrottet i Sverige och det gäller att sätta på sig säkerhetsbältet, för nu går det fort. Artificiell intelligens är inte längre science fiction. Den tågar med stormsteg in i vår vardag, vilket innebär helt nya frågeställningar. Många allvarliga incidenter kommer, som jag tidigare nämnde, och här är det viktigt att veta vilka system man har och vilken arbetsprocess som finns när olyckan slår till. Traditionellt har IT-avdelningar arbetat ganska isolerat. Jag tror att en förutsättning framåt är att alltmer arbeta i större, mixade team för att kunna möta de behov vi har och för att omfamna att ”allt” handlar om IT.

I och med maskininlärning kan vi numera lära upp datorer med hjälp av frågor och svar. Här dyker helt nya frågor av etisk karaktär upp. Vem ska till exempel den självkörande bilen välja att köra på om den inte hinner bromsa – barnvagnen på trottoaren eller det gamla paret som går över gatan? Och hur kan vi på ett optimalt och säkert sätt utnyttja våra vägar med självkörande bilar som kan köra med bara någon decimeters avstånd till varandra? Vad innebär detta för kommunala färdsätt?”

EGN är Sveriges största chefsnätverk och håller regelbundet frukostseminarier för ledare, chefer och specialister i Stockholm, Göteborg och Malmö. För mer information, kontakta fatima.dagdelen@egn.se, tel +46 70 405 75 68.