Ett instabilt geopolitiskt klimat, skärpta juridiska krav, mer komplexa hybridhot och ökade beroenden genom hela värdekedjan bidrar till komplexiteten i många organisationers arbete med att bygga digital resiliens. Samtidigt lever vi alltmer i en syntetisk verklighet, en värld där gränsen mellan den fysiska verkligheten och AI-genererade miljöer suddas ut, vilket ökar sårbarheten.
–Det är viktigt att förstå den egna verksamheten, men ännu viktigare att förstå de beroenden organisationen har, internt och mot omvärlden. När organisationer kartlägger vilka aktörer som är beroende av dem och vilka de i sin tur är beroende av upptäcker de ofta effekter, risker och omständigheter som de tidigare varit helt ovetande om, säger Kim Elman, Nordenchef på Northwave Cyber Security.
Kim Elman
Nordenchef, Northwave Cyber Security
Analysera organisationens beroendeställningar
Mognadsgraden har ännu inte nått upp till risknivån, vilket innebär att många organisationer lever med en osynlig risknivå som de inte skulle ha accepterat om de varit medvetna om den. Kim Elman rekommenderar därför organisationer att analysera vilka beroenden de har, såväl internt som externt, exempelvis gentemot kunder, leverantörer och övriga externa aktörer.
–Regelefterlevnad är betydelsefullt men än viktigare är att fokusera på verifierad förmåga hos de parter ens verksamhet är beroende av. Organisationer som nöjer sig med att uppfylla kraven för regelefterlevnad riskerar därför att underdimensionera sitt säkerhetsarbete, säger Kim Elman.
Syntetisk verklighet ökar sårbarheten
AI-teknologins spridning innebär att vi ständigt omges av och exponeras för digitala kanaler vars innehåll skapats eller manipulerats med hjälp av AI. Det innebär i sin tur att många miljoner människors beslutsprocesser påverkas av AI, vilket har format ett nytt kognitivt lager som formar våra tankar och beteenden.
–Denna syntetiska verklighet skapar stora sårbarheter och erbjuder innovativa verktyg, exempelvis AI-agenter, vilket antagonister som ofta kombinerar cyberangrepp med informationspåverkan drar nytta av, säger Kim Elman.
Han beskriver digital resiliens som förmågan att fortsätta leverera värde och kärnverksamhet i samband med en kris eller ett angrepp. Digital resiliens handlar till stor del om att minimera konsekvenserna av ett angrepp.
Skilj på digital suveränitet och digital autonomi
–Det är också viktigt att skilja på digital suveränitet och digital autonomi. Digital suveränitet fokuserar på politiska och juridiska dimensioner som får praktiska implikationer medan digital autonomi fokuserar på handlingsfrihet, exempelvis vilka handlingsalternativ en organisation har i samband med en kris. Det är finns en risk att organisationer fokuserar mer på digital suveränitet, vilket riskerar att invagga dem i en falsk trygghet, säger Kim Elman.
Säkerhetsarbete betraktas ofta som en kostnad.
–Det är möjligt att göra säkerhet och motståndskraft till ett värdeskapande arbete i förhållande till kärnverksamheten, men det kräver ett perspektivskifte och innovativ metodik, säger Kim Elman.
