Att kunna skydda sig effektivt mot cyberhot är en ödesfråga för samhället och näringslivet. Men bristen på resurser, förmågor, erfarenhet och inflytande gör att allt fler aktörer inte har möjlighet att skapa ens grundläggande säkerhet – de hamnar i ”säkerhetsfattigdom”. Det är ett mönster som måste brytas, menar Ciscos cybersäkerhetsexpert Wendy Nather.
Wendy Nather arbetar idag som global Head of Advisory CISOs på Cisco, och har mångårig erfarenhet av cybersäkerhetsarbete, där hon mött utmaningarna både i det privata näringslivet och på myndigheter. Idag rådger hon säkerhetsansvariga på globala företag om hur de kan agera för att rusta verksamheten, och hon ser en oroväckande trend.
– Idag har även de största arbetsgivarna, de med fler än 10 000 anställda, problem med att hitta rätt kompetens inom cybersäkerhet. Och om de har svårt att göra det är det inte svårt att föreställa sig hur det ser ut för mindre företag och offentliga verksamheter. Det är inte rättvist att förvänta sig att de ska göra mer, med mindre, säger Wendy Nather.
Det finns också ett stort mörkertal som bidrar till att fördröja åtgärder.
– Om en verksamhet har hamnat i säkerhetsfattigdom är det oftast bara de på insidan med insyn i situationen som vet om det. Precis som med annan fattigdom är det sällan så att man själv vill identifiera sig som utsatt, utan man håller skenet uppe utåt, säger Wendy Nather.
På ett Europabesök i september mötte hon journalister för att utveckla vad säkerhetsfattigdom egentligen innebär – i korta drag en situation där allt fler verksamheter hamnar i ett läge där de inte har möjlighet att skydda sig på det sätt som verksamheten behöver, och där det inte finns några sätt för dem att ta sig ur situationen.
Hon identifierar fyra grundläggande faktorer som leder och accelererar den utvecklingen. Utöver bristen på förmågor och erfarenhet – inte minst manifesterat genom den stora bristen på utbildad IT-arbetskraft - handlar det om höga kostnader för säkerhetsinfrastruktur, och begränsat inflytande att påverka säkerhetsmarknaden. Det allvarligaste, menar Wendy Nather, är att varje säkerhetsbrist i dagens sammankopplade ekonomier och leveranskedjor, riskerar att skapa en kedjereaktion där ett intrång kan få stora effekter för mängder av verksamheter och samhällen.
Alla problem kan inte lösas snabbt och enkelt – det går inte att investera pengar som inte finns, eller rekrytera talanger innan de börjat utbilda sig. Men det finns saker som kan göras för att förbättra situationen. Wendy Nather efterlyser mer samarbete, och större ansvarstagande, från cybersäkerhetsbranschen och myndigheter.
– Ett exempel är om vi i branschen kan enas om en delad ansvarsmodell, ett ramverk för grundläggande säkerhet som inte ska kosta extra och bygger på enhetliga standarder. En gång i tiden var antivirusprogram och brandväggar någonting man köpte separat, idag finns sådan funktionalitet inbyggda i operativsystemen. Samma konversation bör vi ha idag om till exempel flerfaktorsautentisering, säger hon.
– Jag tror att vi alla kan vara överens om att att arbeta och leva med ett säkert, stabilt internet borde vara en "mänsklig rättighet", men eftersom tekniken utvecklas så snabbt är det svårt att ta nästa steg och beordra att vissa specifika verktyg ska vara inbyggda eller tillhandahållas gratis. I framtiden kanske våra autentiseringsmetoder till exempel inte kräver den MFA som vi känner till idag. Jag tror att det här problemet är så komplext att vi ännu inte förstår alla systemiska faktorer som orsakar det, och det krävs både lokala och oberoende insatser och gräns- och branschöverskridande samordning. Än så länge är vi bara i början av det arbetet, säger Wendy Nather.