Thomas Brühl: ”Behövs fler piskor än morötter för att få svenska företag att rusta sig mot cyberbrottslighet”

Kräv en cybersäkerhetscertifiering av alla företag som vill delta i offentliga upphandlingar. Det skriver SSF:s vd Thomas Brühl i en debattartikel i Dagens Industri.

Det behövs fler piskor än morötter för att få de svenska företagen att på allvar rusta sig mot cyberbrottslighet. En tydligare kravställning från det offentliga i form av certifiering skulle inte bara öka samhällets förmåga att motstå digitala brott och cyberattacker utan också skydda stora värden i svenska bolag.

Cyberhoten och cyberangreppen är i dag så omfattande att det inte råder någon som helst tvekan om att något måste göras. Kostnaderna för att hantera cyberbrott har på bara några år vuxit lavinartat och enligt säkerhetsföretaget Truesec kostar cyberbrotten och åtgärderna för att bygga nödvändiga skydd så mycket som 30 miljarder årligen. 

Sedan 2020 har Stöldskyddsföreningen arbetat med att bygga och utveckla ett nätverk som i dag samlar oberoende säkerhetsexperter och säkerhetsansvariga på några av landets största bolag. Nätverket heter Digitala Varningsgruppen och har till uppgift att larma och varna vid tecken på nya bedrägerier och nya dataintrångsförsök, sårbarheter, cyberintrång och bedrägerier. Fokus ligger just på att öka och sprida kunskapen om cyberbrott. 

På MSB:s och regeringens uppdrag har Stöldskyddsföreningen också drivit stora nationella kampanjer för allmän ökad cybersäkerhet.

Utifrån det arbetet är vår uppfattning att större organisationer idag är relativt väl rustade för att stå emot cyberattacker. Sämre är intresset från landets små och mellanstora företag för dessa frågor. 

Nyckeln till att åstadkomma en snabb och märkbar förbättring är därför att skapa incitament för denna grupp av företag. Även om det naturligtvis inte skulle skada om regeringen exempelvis avsatte en summa för riktade utbildningsinsatser för företag på området, tror vi att piskorna faktiskt mer effektiva än morötterna. Stöldskyddsföreningen föreslår därför nu att ett skallkrav på cybersäkerhetscertifiering införs vid samtliga offentliga upphandlingar. 

En sådan regelförändring skulle inte bara öka landets totalförsvarsförmåga – där leverantörer till det offentliga ofta spelar en viktig roll – det skulle också innebära att stora värden i svenska bolag fick ett adekvat skydd.

Enligt Upphandlingsmyndighetens statistik gjordes 2021 drygt 18 000 upphandlingar och små och medelstora företag stod tillsammans för 68 % av alla kontrakterade anbud. Sammanlagt fördelades anbuden mellan 9000 företag. 

Det verkliga antalet företag som årligen deltar i offentliga upphandlingar är dock många gånger fler än så. Därför tror vi att en sådan regelförändring omräknad alltså snabbt kunna leda till att tusentals bolag fick en explicit drivkraft att förbättra den egna cybersäkerheten. 

För att kunna förverkliga en sådan reform måste dock de bolag som är verksamma i cybersäkerhetsbranschen bli bättre på att erbjuda tydliga och specifika it-säkerhetsåtgärder för att skapa en grundläggande cybersäkerhet. Samtidigt som åtgärderna måste vara kostnadseffektiva. 

Krav på cybersäkerhetscertifiering måste därför erbjuda alternativ, från mer omfattande och komplex certifiering i form av ISO 27001 till en mer grundläggande certifiering som enligt SSF Cybersäkerhet BAS, vilken syftar till att skapa just en grundläggande cybersäkerhet. 

Här är Storbritannien ett föredöme. Landet införde 2014 cybersäkerhetscertifieringen Cyber Essentials och utvecklingen där imponerar. Enbart under 2017 steg antalet cybersäkerhetscertifierade företag från 6000 till 9000 och idag har mer än 120 000företag certifierats. 

Motsvarande siffra i Sverige är för SSF Cybersäkerhet BAS, 43 certifierade företag, kommuner och organisationer och för ISO 27001 ca 90 certifierade företag och organisationer. Certifieringar finns med andra ord, men kravställare saknas.

Debattartikeln publicerades i Dagens Industri Debatt den 16/6 2023.