Stora brister i it-säkerhet
Bara en av fem samhällsviktiga verksamheter har i dag ett heltäckande verksamhetsskydd för att motverka inre och yttre hot. Det visar undersökningen Svenskt säkerhetsindex.
Bakom undersökningen står säkerhetsföretaget Basalt i samarbete med Kantar Sifo. Första gången de genomförde Svenskt säkerhetsindex var 2020 och då visade resultatet att hotbilden mot samhällsviktig verksamhet hade förvärrats de senaste tre åren.
Nu har man tittat närmare på hanteringen av verksamhetsskydd. 200 beslutsfattare inom samhällsviktig verksamhet deltog i undersökningen.
Det framkom att endast en av fem samhällsviktiga verksamheter har ett heltäckande verksamhetsskydd för att motverka inre och yttre hot, vilket Nicklas Haglund, vd på Basalt, ser som allvarligt.
– Utifrån den hotbild som många beslutsfattare upplever och att man dessutom inser hur viktig frågan är, borde fler ha kommit längre, menar han.
Den vanligaste bristen är att det saknas en fungerande och implementerad policy kring informationssäkerhet. Färre än hälften (47 procent) av de kartlagda verksamheterna möter det kriteriet.
– Vi visste att det fanns stora brister men den här kartläggningen visar att det faktiskt är oroväckande många som inte har ett heltäckande skydd. Det innebär att man utsätter sig för risker i onödan, betonar Martin Jinnestrand, senior it-säkerhetskonsult på Basalt.
Andra resultat som säkerhetsföretaget ser som oroande är att långt ifrån alla utvärderar och uppdaterar sin it-säkerhet regelbundet. 23 procent av de kartlagda verksamheterna missar detta.
Dessutom arbetar endast 40 procent av de kartlagda organisationerna systematiskt och heltäckande med riskhantering.
De allra flesta, fler än åtta av tio, anser att man definitivt skulle kunna vidta ytterligare åtgärder kopplat till antingen informationssäkerhet, personalsäkerhet eller fysisk säkerhet. Störst behov ser man inom informationssäkerhet, där 73 procent menar att man skulle kunna göra mer än vad man gör i dag.
Den ständigt förändrade hotbilden gör att beslutsfattarna ser svårigheter i att vara uppdaterade. Inte ens fyra av tio (38 procent) anser att det finns tillräckligt med kompetens i organisationen gällande verksamhetsskydd. Andra medförande hinder i att hålla sig uppdaterad är långa beslutsvägar, otydlig ansvarsfördelning och en bristande prioritering av ledningen, vilket gör det svårt att veta vem som äger beslut och budget kopplat till säkerhetsfrågor. Ett icke systematiskt arbete nämns som en utmaning, där det saknas riktlinjer, rutiner, uppföljning och styrning.
- De organisationer som anser att säkerhet är en strategisk fråga är bättre rustade än de som hanterar säkerhet på ett mer traditionellt sätt, säger Nicklas Haglund.
Undersökningen genomfördes i oktober och november 2021, det vill säga före Rysslands invasion av Ukraina.
- Naturligtvis kommer synen på säkerhet att förändras. Fokus på totalförsvar och Sveriges motståndskraft ökar. Jag ser risker i att Europa kan uppleva en lång tid av splittring och minskat samarbete. Synen på hot kommer ändras och kraven på att Sverige ska ha förmåga att motstå aggression ställas av invånarna. Med det följer acceptans för att säkerhet måste få kosta pengar, säger Nicklas Haglund.