Nyligen avslutades Världsekonomiskt forum i Davos. Inför konferensen presenterades rapporten ”The Global Risks Report 2019”(1) där risker och trender listades, baserat på en undersökning med 1000 svarande. En av de risker som rankas att ha hög sannolikhet och påverkan är informations- och it-säkerhetshot. Det är knappast förvånande då vårt moderna samhälle i hög utsträckning förlitar sig på it-system.
Vad som är än mer alarmerande är att cyberattacker är en naturlig del av framtida konflikter. Cyberattackerna kan komma att utföras enskilt eller i kombination med konventionella militära angrepp. Vid Folk och försvars Rikskonferens som nyligen anordnades i Sälen angav avgående chefen för MUST (den svenska militära underrättelsetjänsten) i en intervju för Svenska Dagbladet att internationellt pågår en kartläggning av it-system som har med elförsörjningen att göra och det finns all anledning att tro att det även görs i Sverige. Under den senaste veckan har frågan också uppmärksammats i nyhetssändningar i SvT.
I den utredning som förgick propositionen för den nya säkerhetsskyddslagen anges att det finns redan idag exempel på hur SCADA-system kopplade till elförsörjningen har manipulerats för att orsaka skada (2). Elförsörjning är helt grundläggande för att upprätthålla samhällets funktionalitet. Det accentueras allteftersom informationsteknologi allt mer integreras i samhällets kritiska infrastruktur för exempelvis el- och vattenförsörjning.
I juli förra året rapporterade Wall Street Journal (3) att hackare hade fått tillgång till kontrollrum i anläggningar för elproduktion i USA. I artikeln anges att amerikanska myndigheter ser detta som en sårbarhet som i förlängningen hotar nationella säkerhetsintressen.
Samtidigt som sårbarheten ökar genom ökad digitalisering utgör också digitaliseringen en möjliggörare för innovativ affärsutveckling och effektivisering. Ett konkret exempel är vad som händer i elnäten. Elnätsföretagen talar idag om smarta elnät som ger användare av näten, producenter och elkunder nya möjligheter att aktivt bidra till ett hållbart system som använder energin smartare. Det betyder att smarta elnät möjliggör integrering av förnybar elproduktion, minskad energianvändning, flexibilitet som jämnar ut belastningen i elnätet och elkunder kan bli aktiva deltagare på elmarknaden.
Det är uppenbart att det finns en motsättning mellan å ena sidan möjligheter till affärsutveckling genom digitalisering och å andra sidan ökade risker och sårbarheter. Det finns också en inneboende motsättning i och med att olika aktörer förfogar över processerna. Företagens fokus är att utveckla erbjudanden till sina kunder och i förlängningen leverera avkastning till ägarna. Ägarskapet av skyddet av samhällets kritiska infrastruktur är delat mellan företag och offentliga aktörer. Hur ska
denna motsättning hanteras? En väg framåt är att se säkerhetsarbetet som en del av företagets värdeskapande.
Idag baseras företagens affärsutveckling i allt högre grad av digitalisering. Ett centralt element är att kunna använda tillgängliga kunddata mellan olika enheter inom företaget vilket ställer högra krav på företagets ”information governance”. Det kräver i sin tur att företagen måste utveckla och implementera förmågor för att möjliggöra ”information governance” och en sådan förmåga är informationssäkerhet och dataskydd.
Det betyder dels att etablera en tillräcklig nivå för att säkerställa regelefterlevnad, dels att möjliggöra effektiv informationshantering ur företagsgemensamma ”datasjöar”. Det finns således båda en kostnads- och intäktsdimension. Kostnaderna är relaterade till regelefterlevnad och intäkterna är kopplade till den affärsutveckling som möjliggörs.
I ett företags förädlingskedja är primära aktiviteter i fokus såsom inköp, produktion och distribution. Stödjande aktiviteter som HR och säkerhet är underordnande och vars syfte är att möjliggöra det primära värdeskapandet. Det ger också en indikation var företagets fokus ligger. Ledningen mäts primärt mot nyckeltal som handlar om lönsamhet och kassaflöde. I en sådan miljö ges externa krav på säkerhet ofta en mer undanskymd roll och ofta kommer frågorna först upp på ledningens agenda när problem uppstår.
Genom att välja att se ett systematiskt säkerhetsarbete som en del av företagets värdeskapande kan målkonflikten hanteras bättre. Det gäller att säkerhetsorganisationen utvecklar metoder och processer för att inarbeta säkerhetsarbetet i företagets affärsutvecklingsprocesser för att kunna identifiera på vilket sätt säkerhetsfunktionen kan stödja värdeskapande och inte bara regelefterlevnad.
Företag skapar nya produkter och tjänster genom att utnyttja alla de möjligheter som digitaliseringen erbjuder. Kärnan i nya produkter blir allt mindre hårdvara allt mer mjukvara. Aggregerade kunddata kan utnyttjas för att identifiera nya kundbehov och utveckla nya erbjudanden. Exemplen är många i alla branscher. Baksidan är ökade risker och sårbarheter.
Det finns idag många vittnesmål att säkerhetsarbetet inte hängt med affärsutvecklingen. I takt med ett försämrat omvärldsläge har också myndigheter i Sverige skärpt regelverket och tillsyn. Det illustreras av den nya Säkerhetsskyddslagen och NIS-direktivet. Det finns förväntningar på att företag ska satsa mer på säkerhetsarbetet.
Traditionellt har säkerhet endast setts som en kostnadspost och inte intäktsskapande. Motsättningen kan hanteras genom att skifta perspektiv och göra en dygd av nödvändigheten. Frågan som företagets säkerhetsfunktion måste ställa är hur kan säkerhetsfunktionen bidra till företagets värdeskapande? Vad är det för aktiviteter säkerhetsfunktionen utför som kan ge stöd till värdeskapandet?
Skriven av Ragnar Hörndahl
1 https://www.weforum.org/reports/the-global-risks-report-2019
2 (SOU 2018:82), Betänkande av Utredningen om vissa säkerhetsskyddsfrågor
3 https://www.wsj.com/articles/russian-hackers-reach-u-s-utility-control-rooms-homeland-security-officials say-1532388110?mod=e2tw&page=1&pos=1
