22 januari, 2020
Trender inom informationssäkerhet under 2020
Ökad tillsyn, högre kundkrav och ökade insikter kring cyberhot - informationssäkerhetskonsulten Mats Malmberg reflekterar över säkerhetsåret 2019 och ger sin syn på vad som ligger framför oss under 2020.
2019 bjöd på en hel del nyheter på informationssäkerhetsområdet. Bland annat trädde den nya Säkerhetsskyddslagen i kraft. Vi fick även se konsekvenser av tidigare års regleringar, däribland tillämpningen av NIS och att Datainspektionen utfärdade den första sanktionsavgiften för överträdelse av GDPR.
Mats Malmberg, senior informationssäkerhetskonsult och ansvarig för region syd, delar med sig av sin syn på säkerhetsåret 2019 och vad han tror att vi kan förvänta oss av 2020.
Hur ser du, i egenskap av säkerhetskonsult, tillbaka på 2019? Och vad tar vi med oss in i 2020?
- En av de främsta fördelarna med att arbeta som konsult är att man får insyn i flera olika sektorer och på så sätt kan urskilja både skillnader och likheter. En påtaglig skillnad under 2019 skulle jag vilja säga är intensiteten som olika tillsynsmyndigheter har valt att tillämpa i sin tillsyn. Jämför vi till exempel Datainspektionen och Spelinspektionen har de till synes olika angreppssätt, inräknat att de hanterar till sin natur olika regelverk; Datainspektionen har varit förhållandevis restriktiva när det kommer till att utfärda sanktioner, medan Spelinspektionen har valt en hårdare linje och har redan straffat en rad aktörer. Under 2020 tror jag att vi får se en skärpning av kontroller från fler tillsynsmyndigheter mot bakgrund av de nya regleringarna de senaste åren.
- Som en följd av en striktare tillsyn från myndighetshåll kommer även kraven på systematiskt informationssäkerhetsarbete från marknaden fortsätta öka, vilket vi redan har börjat märka av. Fler vill se att deras leverantörer och samarbetspartners ska vara certifierade eller compliant enligt olika standarder, såsom ISO 27001 och SOC2.
- De senaste årens outsourcing-transformation och möjligheterna detta medfört driver också förändringar. Kraven på informationssäkerhet ärvs ofta i flera led, från kund till leverantör. Även om man köper in säkerhetstjänster behövs även intern kompetens. Dels för att kunna köpa in rätt sorts tjänster, och därefter se till att dessa konfigureras och integreras i övrig miljö för att skydda organisationens informationstillgångar på ett bra sätt. Outsourcing kan, givet att det är rätt utfört, ge väldigt positiva effekter i säkerhetsarbetet. Men det kan även bidra till en falsk trygghet och potentiellt stor skada om rätt kunskap saknas.
- Utvecklingen av teknik i säkerhetslösningar och de inbyggda lösningarna i befintliga mjukvaruprodukter har givetvis fortsatt. Det underlättar för organisationer att skydda sin information, samtidigt som man måste veta vad man gör för att inte heller här skapa en falsk trygghet.
Vad tror du att vi kan förvänta oss i säkerhetsväg under 2020?
- 2018 kom GDPR och i skuggan av detta även NIS; två regelverk som båda har inneburit, och fortfarande innebär, stora och omfattande arbetsinsatser för många organisationer. Man har nu i de flesta fall kommit ikapp och landat i hur säkerhetsarbetet ska bedrivas. Jag tror även att det har “krattat manegen” för en ökad acceptans kring nya regelverk. Vi kommer kunna prata bredare om säkerhet, både inom offentlig och privat sektor.
- En annan orsak till att säkerhet har klättrat på agendan är, enligt min uppfattning, att fler företag kommit till ökad insikt om riskerna med cyberhot och faktiskt börjat ta detta på allvar. Vi har under året även kunnat ta del av ytterligare medialt uppmärksammade incidenter som med stor sannolikhet har bidragit till den ökade medvetenheten.
- Tidigare har säkerhetsarbetet främst drivits och motiveras av externa krav. Min upplevelse är att fler företag självmant väljer att arbeta med säkerhet utifrån en adekvat riskanalys för att skydda den egna verksamheten. I min roll som säkerhetskonsult ser jag förstås det som en väldigt positiv utveckling och ett steg i rätt riktigt mot hur alla företag borde bedriva sitt säkerhetsarbete.
- Vad gäller kravställningarna på leverantörer gällande informationssäkerhet kommer dessa fortsätta att öka med krav på transparens och insyn. Detta inkluderar att man måste se till att de kundkrav man förbundit sig till också efterlevs. Informationssäkerhet kommer i än högre grad genomsyra organisationen som helhet och bli en mer naturlig del i procedurer och arbetssätt.
- Personligen tycker jag även att det ska bli intressant att följa hur e-Privacy-förordningen (EPR) artar sig. Förordningen, som syftar till att skydda den personliga integriteten i elektronisk kommunikation, skulle egentligen ha trätt i kraft i samband med GDPR men har ännu inte börjat gälla. Det är fortfarande oklart exakt när det kommer ske, samt hur förordningen mer specifikt kommer utformas.
- Man bör även nämna “Free flow of non-personal data” som togs fram i EU under 2019 och syftar till att minska nationella hinder och helt enkelt boosta ekonomin kring friare rörlighet av data inom EU. Till skillnad från exempelvis GDPR som i mångt och mycket är ett begränsande regelverk, öppnar Free flow of non-personal data snarare upp för möjligheter, och det blir intressant att följa den fortsatta utvecklingen av lagar och förordningar inom EU framöver.
Om Malmökontoret
Sedan starten 1998 har Sentor levererat säkerhetstjänster till företag och organisationer i hela landet. Det senaste året har vi sett en ökad efterfrågan i södra Sverige och vi har expanderat konsultavdelningen till att idag bestå av sex personer, där tre är specialiserade inom teknisk IT-säkerhet och de övriga tre arbetar med informationssäkerhet. Totalt vi är cirka 90 personer anställda och har kontor i Stockholm, Malmö, Sandviken och Helsingfors.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel