Världen blir allt mer uppkopplad, teknikutvecklingen går snabbt och säkerhetsriskerna blir fler. - Alla organisationer är berörda, säger Roland Heickerö, expert på cybersäkerhet och ordförande i SIS största kommitté, som arbetar med IT- och informationssäkerhet.

Text: SUSANNE RYDELL

Att säga att Roland Heickerö har en gedigen bakgrund inom området informationssäkerhet är närmast ett understatement. Han har varit forskningsledare på Totalförsvarets Forskningsinstitut, docent på Försvarshögskolan, adjungerad professor i cybersäkerhet på KTH samt säkerhetskonsult åt myndigheter och företag för att nämna några exempel.

I dag arbetar Roland Heickerö i näringslivet som Principal Auditor inom IT och cybersäkerhet på Scania. Han är också nybliven ordförande i den grupp som arbetar med standardisering inom it- och informationssäkerhet hos SIS.
– Det finns en växande insikt om hur viktiga frågorna är. Men mycket återstår att göra, säger han.

En av de aktuella frågorna handlar om personlig integritet, och GDPR. Här finns en ny standard om säkerhetstekniker för hantering av personuppgifter, ISO 27701, som är tänkt som ett handfast stöd på det området. Standarden är ett tillägg till ISO 27001 och ISO 27002 gällande personlig integritet, och den är kopplad till GDPR. I framtiden kan det komma att bli möjligt att certifiera sig mot standarden.
– Att frågor om den personliga integriteten är viktiga får vi nya exempel på dagligen. Det gäller inte minst inom vården, säger Roland Heickerö.

En god utgångspunkt

Han ser standarder som en självklar del i arbetet med att hantera risker.
– Det ligger i sakens natur att det ständigt uppstår nya risker. Standarder kan ge en grund att stå på när riskerna ska hanteras. Standarderna ger exempel på praxis och ett bra förhållningssätt; att följa en standard utgör en god utgångspunkt, säger han.

Dessutom handlar standardisering om att hitta en gemensam terminologi som underlättar kommunikation. Ett enkelt, konkret exempel är frågan om begrepp som cybersäkerhet och informationssäkerhet. Är det samma sak?

– Nja, cybersäkerhet och informationsoperationer är exempel på termer som ofta används i försvarssammanhang på nationell nivå. När vi talar om standarder brukar vi nyttja begreppet informationssäkerhet, säger Roland Heickerö.

Han har själv lång erfarenhet från det som brukar kunna inrymmas under begreppet cybersäkerhet – frågan om risker på nationell nivå.
– Det är ett område som blir större och större, där Sverige som nation bygger upp resurser för att möta olika slag av informationsrelaterade hotbilder, säger han.

På europeisk nivå finns sedan förra året EU:s särskilda cybersäkerhetsakt. Syftet med den är att säkerställa att produkter, processer och tjänster som säljs inom EU uppfyller standarder för cybersäkerhet. Till detta hör även skydd av kritisk infrastruktur.
– Det här är en viktig fråga för oss att koppla till standardiseringen, säger Roland Heickerö.

Försäkring för cyberincidenter

En annan högaktuell diskussion handlar om teknikutveckling inom en rad områden.
– Utvecklingen inom artificiell intelligens, AI, och Big Data tillsammans med lagring i molnet är några delar som knyter an till det standardiseringsarbete som vi gör i SIS kommitté för informationssäkerhet. Där behöver vi ha en diskussion med de arbetsgrupper inom andra tekniska kommittéer som arbetar med dessa frågor, säger han.

Andra exempel på sådana områden är drönare och industri 4.0, enligt Roland Heickerö. Han pekar också på ytterligare framtidsfrågor där standardisering kan bli ett stöd.
– Cyberförsäkringar blir en allt viktigare fråga som kan kopplas till standarder. Hur ska försäkringar för cyberincidenter fungera? säger han.

Standarder handlar dock om mer än enskilda frågor. Det handlar om framtiden.  
– Vilken typ av standarder som tas fram kan påverka den tekniska utvecklingen och vice versa, säger Roland Heickerö.

 Detta är en redigerad artikel ur tidningen Perspektiv #1 2020.
Läs mer om Perspektiv här >>

Läs också:

• Cyberhot allt mer komplexa – då behövs ledningssystem
• Inspektion att vänta?