Bild: John Lindström, Professor, EMBA CISSP, Lead Consultant på Dielcon och huvudförfattare till Handboken för framtagning av cybersäkra IoT-produkter.
Cybersäkerhetshoten ökar både i omfattning och komplexitet. Samtidigt skärps kraven på företag som utvecklar eller använder uppkopplade produkter. Vi har pratat med John Lindström, professor och huvudförfattare till handboken för cybersäkra IoT-produkter, för att prata om hotbilden, vanliga fallgropar – och vilka konkreta steg verksamheter behöver ta redan idag.
Hallå där John, hur är cybersäkerhetsläget?
Det är rätt allvarligt med många cyberattacker mot de flesta typer av organisationer och kritisk infrastruktur.
Redan när handboken trycktes 2023 hade hotbilden ökat dramatisk under flera år. Hur ser det ut idag?
Tyvärr är vi nog på all-time high och det kommer inte bli bättre när angriparna använder AI för att utöka sin kapacitet.
EU inför nu flera nya regelverk. Vad är ditt råd till ett företag som jobbar med uppkopplade produkter och känner sig osäkra på hur de ska ta sig an frågan?
Börja att undersöka vilka av regelverken som berör verksamheten och i vilken av regelverkens delar man hör hemma i. Det finns ofta en hel del överlapp man kan börja med, för att klara mycket på en gång, och sedan bör man jobba sig utåt i regelverken.
Hela organisationen behöver engageras – inte bara de som arbetar med cybersäkerhet i olika former. ”Alle man på däck” så att säga! Detta inkluderar inte minst ledningen som behöver ha en aktiv och styrande roll.
Vilka kompetenser behövs?
Alla kompetenser i en organisation kommer att behövas. Man behöver förstå hur olika verksamheter ska skyddas, även de produkter eller tjänster som produceras och distribueras ut. Om man inte har legal, regulatorisk och cybersäkerhetskompetenser så behöver man se till att skaffa dessa.
Vilka hjälpmedel finns?
Det finns en del tjänster på nätet för att få grepp om hur stort gap man har till att nå kraven för olika regelverk och standarder, men då måste man ju veta hur situationen ser ut nu. Fördelen med detta är att man får en bra struktur och kommer i gång snabbt.
Vilka är de vanligaste misstagen?
Att tro att man automatiskt är cybersäker bara för att man uppfyller regelverk eller har certifierat sig enligt en eller flera standarder – för det är man tyvärr inte. Man behöver tänka själv och analysera vad som saknas för att bli cybersäker. Och det varierar dessutom mellan branscher, eftersom det kräver erfarenhet och verksamhetskunnande.
Du är huvudförfattare till handboken för framtagning av cybersäkra IoT-produkter. Hur kan företag med uppkopplade produkter dra nytta av den?
Om man är användare av IoT-produkter får man hjälp att ställa rätt frågor vid upphandlingar och vägledning kring hur man ska installera, konfigurera och sköta produkten under dess livscykel. Nu kommer en hel del av detta ansvaret att gå över till leverantören, som i och med EU NIS2 och CRA med mera kommer att behöva se till att produkterna har eller är: secure-by-design, privacy-by-design, secure-by-default, defense-in-depth etcetera. Således blir livet mer arbetsamt för leverantörssidan.
Har du något favoritavsnitt?
Jag gillar ju att tänka över hela livscykeln, så det avsnittet blir nog min favorit.
Om boken hade skrivits idag, är det något du skulle vilja lägga till?
Det hade nog blivit mer om hur man analyserar legala och regulatoriska krav. Jag hade också gjort om ”use casen” till landbaserade och marinbaserade varianter. Den marina sidan ligger nog 4–5 år före land då de har normerande standarder för de sammanhangen som behöver så kallad klassning.
