Nya användarbeteenden och ökad automatisering med hjälp av AI-lösningar. Det är två trender som ställer allt högre krav på organisationens it-system. Hur ska man klara säkerheten i detta snabba digitala landskap?

I slutet av september 2018 drabbades Facebook av intrång. Drygt 50 miljoner användare fick sina konton hackade på grund av en svaghet i en av tjänstens många funktioner. Konsekvenserna blev ilskna kunder världen över som ifrågasatte den sociala mediejätten, svarta rubriker i medierna som sargade varumärket ytterligare och en börskurs som rasade 15 procent första veckan.

Händelseförloppet sätter fingret på betydelsen av ordentlig it-säkerhet. Även de mest etablerade företag kan falla snabbt om säkerheten fallerar och kunderna tappar förtroendet.

Christer Samulesson
Christer Samuelsson

– Tekniken för dessa attacker har blivit mer avancerade, men det finns lösningar som kan hantera detta. Men sårbarheten är annars ofta den enskilda medarbetaren som luras att göra något dumt och klicka på olika länkar. Så det gäller att utbilda användarna och öka medvetenheten kring de här frågorna, säger Christer Samuelsson, säkerhetsexpert på CGI.

I grunden krävs det tydliga säkerhetsregler för hela organisationen. Och samtidigt en beredskap inför vad som ska hända i framtiden. Allt fler saker är uppkopplade genom Internet of things och medarbetarna blir mer och mer mobila i sitt arbete och sin kommunikation.

– Om tio år är dagens tonåringar ute i arbetslivet. De kommunicerar nästan uteslutande med snabba digitala medier som snapchat och liknande. Beteendet hos framtidens medarbetare kommer se helt annorlunda ut än idag. Därför måste vi redan nu fundera på hur vi ska skydda företagsinformationen om några år, säger Christer Samuelsson.

Maskininlärning och AI ändrar spelreglerna

En annan trend är den ökade automatiseringen och användningen av olika AI-verktyg som machine learning. Allt fler processer blir automatiserade och på sikt lär sig de nya verktygen att successivt ta egna beslut. Men vad händer om dessa system hackas och börjar ta beslut som går helt på tvärs emot intentionerna? Ett konkret exempel är självkörande bilar som snart kommer på bred front. Då handlar det om människoliv i slutändan.

AI:s växande betydelse är en utveckling som vi måste ha beredskap för, enligt Esmiralda Moradian. Hon delar en tjänst som säkerhetsexpert på CGI med ett lektorat på institutionen för data- och systemvetenskap på Stockholms universitet, där hon ansvarar för masterutbildningen inom informationssäkerhet.

Hennes forskning handlar just om säkerhetsfrågor kopplade till självlärande it-system, beslutsstödssystem.

– AI-lösningar kommer att öka i alla slags system inom de närmaste tio åren, till exempel inom medicin, transport och industriella kontrollsystem. Det skapar både en mängd möjligheter och risker, säger Esmiralda Moradian.

Hoten kan smyga sig in på olika sätt. Systemet kan till exempel själv skapa en hackare, en så kallad evil agent, som smittar andra agenter i systemet. Det kan också vara en metaagent som samlar in all information från det övriga systemet.

Hur kan företag och organisationer klara hoten?

– En grundläggande sak är att säkerhetskunniga personer måste vara med redan från början när nya lösningar och system tas fram. De behövs för att definiera krav och design utifrån ett säkerhetsperspektiv. Säkerhet är själva grunden. Det är svårt och dyrt att lägga till säkerheten i efterhand, säger Esmiralda Moradian som tycker sig se säkerhetsbrister hos de flesta kunder hon stött på – med ett undantag, Försvarsmakten, ”de är bättre än alla andra”.

I ett tidigt skede måste det även göras en hot- och riskanalys: Var finns de potentiella hoten och riskerna i system och nätverk och hur kan de motverkas?

– Man måste gå igenom hela systemet: vilka risker som finns vid varje dataport, vilka angrepp som kan komma och vilka konsekvenser det kan få för organisationen. Det är viktigt att planera för oförutsedda händelser och veta hur man ska agera.

Det gäller också att ha en tydlig struktur i säkerhetsarbetet: policies och regelverk om vem som får göra vad och en dokumentation av alla processer. Det ska kunna gå att spåra alla säkerhetshändelser. GDPR-reglerna, som infördes i våras, har satt fart på det arbetet i många organisationer.

Men till syvende och sidst har vi den svaga länken igen: medarbetarna. Även Esmiralda Moradian betonar betydelsen av ett samlat säkerhetsansvar i hela organisationen:

– Det är viktigt att lyfta nivån i säkerhetstänkandet bland alla medarbetare. Alla ska känna sig delaktiga och tänka att om det händer något med säkerheten skadar det mig lika mycket som alla andra. Och sen gäller det förstås att bygga system där det är svårt att göra fel.

(Denna artikel publicerades ursprungligen i Inblick, december 2018)

Text: Johan Wickström