-
Hem
-
Om Elfack
- Konferens
-
Utställning & Aktiviteter
-
Planera ditt besök
-
För utställare
- Biljetter & öppettider
-
Framtidens cybersäkerhet: Siemens om nya strategier för att möta ökande hot
Antalet cyberattacker mot kritiska samhällsfunktioner ökar och skapar nya, komplexa säkerhetsutmaningar. För att kunna hantera de växande hoten behöver vi våga tänka nytt, kliva ut ur serverrummet och möta verkligheten där den faktiskt utspelar sig.
Cybersäkerhet är idag en av de främsta utmaningarna för både företag och kritiska samhällsfunktioner. Myndigheten för samhällsskydd och beredskap (MSB) rapporterar att cyberattacker mot statliga myndigheter och leverantörer har blivit allt vanligare – en tydlig indikation på hur hotbilden har utvecklats.
– Angriparna behöver bara lyckas en gång, medan vi som försvarare måste lyckas varje gång, säger Michael Dufva, Cyber Security Officer på Siemens AB.
Med sin erfarenhet av säkerhetsfrågor och en bakgrund inom försvarssektorn leder han arbetet med att stärka cybersäkerheten, både inom Siemens och för företagets kunder. Siemens verkar i över 200 länder och hanterar varje dag miljarder säkerhetsrelaterade händelser – från små intrångsförsök till större cyberattacker.
– Det är en kamp mot tiden och tekniken. Graden av automatisering hos angripare är så hög att vi hela tiden måste ligga steget före, förklarar han.
Teknisk skuld och gamla system
Många företag kämpar med teknisk skuld från äldre system som fortfarande är i drift, trots att de inte är anpassade för dagens säkerhetshot.
– Även om man har toppmoderna AI-lösningar kan de behöva samverka med system som är 30–35 år gamla, byggda i en tid då it-attacker inte ens var på kartan, säger Michael Dufva.
De äldre systemen har ofta bristande säkerhetsfunktioner, vilket gör dem sårbara för intrång där angripare kan utnyttja gamla svagheter för att infiltrera moderna system. Utöver detta finns utmaningar kopplade till leverantörer. En produktionslinje kan bestå av hundratals OT-enheter från olika tillverkare, där varje leverantör behöver tillgång till sina egna system.
– Det leder till en okontrollerad mängd accesspunkter och stora säkerhetsrisker.
Rätt leverantör och tydliga krav
– Problemet förvärras när företag försöker hantera situationen själva genom kortsiktiga lösningar, utan att ha en tydlig strategi eller en djup dialog med sina leverantörer om hur systemen ska skyddas. En annan fallgrop är att vända sig till fel typ av leverantör. Det är lite som att be en it-leverantör av kontorssystem säkra upp industriella eller fastighetsbaserade nät, berättar Michael Dufva.
Han betonar vikten av att ha modet och förmågan att ställa krav på leverantören för att upprätthålla en säkerhetskedja som håller. Det krävs en arkitektur som löpande stödjer uppdateringar av både system och programvara.
Så byggs framtidens säkerhetsstrategi
Trots att angreppen har blivit mer intensiva och svårare att upptäcka, finns det fortfarande sätt att skydda sig.
– Identifiera riskerna, bedöm hur stora de är, och bestäm hur mycket du är villig att investera för att skydda det. Att spendera mer på skydd än vad något är värt är inte hållbart. Men handlar det om ett företags rykte eller om kritisk information kan kostnaden för att inte skydda sig bli oöverskådlig. Samtidigt måste cybersäkerhetsinvesteringarna gå hand i hand med företagets digitalisering – annars halkar säkerheten efter.
Michael Dufva menar att det är avgörande att säkerhetsstrategin förankras på alla nivåer, hela vägen upp till ledningen. Det handlar om allt från att våga genomföra tester och simuleringar till att utbilda både personal och ledningsgrupper.
– En modern säkerhetschef måste ha ett helt annat förhållningssätt, stötta ledningen och förstå verksamhetens behov. Om cheferna och ledningen inte tar det på allvar, kommer ingen annan att göra det heller.
Han betonar att det i slutändan är människorna och verksamheten som är de viktigaste faktorerna. Därför menar han att vi måste våga tänka nytt och släppa gamla tankesätt inom säkerhetsbranschen. Dufva förklarar att säkerhetschefens roll traditionellt har gått till personer med bakgrund inom militären eller polisen, eller till tekniskt utbildade ingenjörer. Detta är fortfarande något som präglar branschen, som till stor del består av medelålders män, enligt honom.
– Det är tragiskt, för säkerhetsarbetet behöver fler perspektiv och bredare kompetenser. För att möta framtidens utmaningar måste vi bygga team som speglar en global värld och kan förstå och möta olika behov.
Security by design
Siemens arbetar aktivt för att certifiera så många produkter som möjligt för att möta kundernas säkerhetsbehov. Genom att vara med i NATO-övningar och andra internationella samarbeten får företaget värdefull information om hur andra nationer skyddar sina system. Denna kunskap används för att vidareutveckla företagets egna lösningar och förbättra cybersäkerheten för kunder på en global nivå.
Michael Dufva förklarar att grundtanken är att bygga säkerhet från redan från start, det vill säga “security by design”.
– Vi utvecklar också arkitekturer och exempelmodeller som visar hur man bygger säkra lösningar, oavsett om det gäller fabriker, sjukhus eller ställverk.
Han påpekar att samtalet med kunderna är lika avgörande som den tekniska aspekten, eftersom varje kund har unika behov och särskilda säkerhetsrisker att ta hänsyn till.
– Vi strävar efter att förstå deras verklighet, eftersom säkerhet aldrig är en universallösning. Oavsett om det handlar om stora koncerner eller småföretag är vårt mål att anpassa lösningarna efter deras behov och att skapa en öppen och inkluderande dialog.
Nya EU-regler för att identifiera sårbarheter
Det nya EU-direktivet NIS 2 syftar till att förbättra cybersäkerheten för samhällsviktiga funktioner. Direktivet ställer krav på företag att identifiera sina sårbarheter och hantera de risker som finns. De som inte följer dessa krav kan stå inför allvarliga konsekvenser.
– Företag som inte lever upp till NIS 2 riskerar böter på upp till 10 miljoner euro eller 2 procent av sin globala omsättning. Det kan vara förödande, säger han.
NIS 2 handlar inte bara om att uppfylla ett krav, utan erbjuder också en möjlighet. Genom att sätta en gemensam standard för cybersäkerhet ger direktivet företag möjlighet att stärka sitt skydd mot hot och samtidigt öka förtroendet hos både kunder och affärspartners.
Cybersäkerhetens framtid
Framåt ser Michael Dufva flera stora utmaningar. En av de största är att hantera den snabbt växande mängden IoT- och OT-enheter som kopplas upp, allt från små apparater som lysknappar och kylskåp till mer avancerade industrisystem.
– Frågan är hur vi ska hålla koll på allt och förhindra att dessa enheter missbrukas. AI kommer sannolikt att spela en viktig roll som en del av lösningen för att övervaka och skydda dessa system, säger han och konstaterar:
– Vi måste våga tänka nytt, riva murarna och se säkerhetsarbetet som en självklar del av den dagliga verksamheten. Det är en förändring som måste ske inom en snar framtid.
På Elfack 2025 kommer Siemens att dela med sig av sina insikter och lösningar för att tackla de cybersäkerhetsutmaningar som ligger framför oss, med fokus på allt från “security by design” till AI-drivna skyddssystem.