Nyckelinsikter

  • Sveriges ansvariga myndigheter skulle kunna göra så himla mycket mer för att säkra Sveriges IT-infrastruktur; det räcker inte med att skriva massa vägledningar, fram med verktygen!
  • Samarbeten med ISP:er skulle kunna skala upp skydd för att transparent ge privatpersoner skydd
  • Borde Sverige certifiera leverantörer av cybersäkerhetstjänster?

För några dagar sedan publicerade National Cyber Security Center (NSCS) i Storbritannien sin årliga (för andra gången) genomgång av de senaste 12 månadernas händelser och utveckling. MSB skulle väl kunna säga, i någon utsträckning, vara Sveriges motsvarighet till NSCS. Hur som helst.

Jag läste igenom rapporten (som för övrigt innehåller en liten ”utmaning”) och tycker på det stora hela att det är en väldigt bra rapport som är värd att läsa. Detta lilla inlägg ska inte tolkas som en sammanfattning av rapporten, men några saker tycker jag stod ut lite extra.

Det privata och statliga samarbetet

NSCS har under sin relativt korta period byggt upp ett imponerande samarbete med den privata sektorn. De har flera pågående arbeten och detta är onekligen nyckeln till att framgångsrikt skydda den digitala infrastrukturen. Särskilt gillade jag idén om Industry 100 som är en samling av de ”bästa” i branschen som tillsammans med NCSC samarbetar för gemensamma idéer och innovationer.

De har även inlett samarbeten med ISP:er för att kunna leverera tekniska indikatorer (skadliga domäner, IP-adresser osv.) som automatiskt ska kunna ge den stora massan ett skydd från detta. Utan tvekan positivt tycker jag, men personligen skulle jag bli högst upprörd om jag inte själv kunde få välja vilka domäner jag får åtkomst till. Sedan kan man diskutera om det är statens rättighet/skyldighet att säga vad jag får besöka och inte. Men det är ofrånkomligt att det skulle vara till väldigt stor hjälp för den stora massan av internetanvändare.

Tillhandahåll tekniska tjänster

Utöver alla vägledningar och annat som skrivs tillhandahåller NCSC fyra tekniska tjänster.

  1. De ger alla statliga myndigheter en gratistjänst för att utföra scanning av publika webbtjänster. Denna scannar efter sårbarheter och andra brister som behöver adresseras. Den är frivilligt att använda.
  2. Skyddad DNS för hela staten som blockerat anslutningar till 30 miljoner(!) skadliga domäner.
  3. ”Takedown”-tjänst som genom ett samarbete med Netcraft plockar bort Phishing-domäner/siter som finns i UK.
  4. Mail-check för DMARC. Dels kontrollera att DMARC är implementerat och dels hjälpa statliga myndigheter att införa.

Certifiera privata aktörer

Detta tycker jag är en av de kanske mest intressanta initiativen. De hade vid skrivande stund certifierat 23 organisationer som möter NCSC krav på leverantörer av tjänster inom cybersäkerhetsområdet. Kraven omfattar saker som säkerhetsarkitektur, riskbedömningar och riskhantering, och systemsäkerhetsanalyser. Väldigt spännande tycker jag.

Det enda jag undrar lite är hur det blir för organisationer som inte certifierar sig. Enmansföretag kanske inte har resurserna att ta tid till att certifiera sig, men det behöver ju inte reflektera kompetensen och erfarenheten hos den ensamma företagaren. Ska helt klart läsa lite mer om det initiativet.

Sammanfattningsvis

Tycker jag att MSB har så sjukt mycket att hämta från NCSC. I min värld är NCSC absolut en ledare i hur cybersäkerhetsfrågor i stort ska adresseras för att möta behoven som ett samhälle har på säkerhet i den digitala infrastrukturen.

Läs rapporten.