”Politiker och bolagsstyrelser tar inte hackerhotet på allvar”

– Det var lite av en slump att jag kom  efter mina studier. Liksom många studenter visste jag inte riktigt vart jag ville. höll en företagspresentation på universitetet och gav ett mycket positivt intryck, som visade på både kompetens och värme, säger Jakob Bundgaard till Realtid.se.  

Han har tidigare ansvarat för PwC:s avdelning för intern kontroll, riskhantering, hållbarhetsfrågor,  internrevision samt IT-säkerhet. 

Var kommer it-intresset från?

– Jag har alltid tyckt att det är kul att förstå hur saker fungerar, för då kan jag hjälpa andra med saker de inte riktigt kan hantera själva. Men jag är ingen ”hacker”-typ, utan den som håller ihop verksamheten.

Sedan i december Jakob Bundgaard chef för PwC:s avdelning för cybersäkerhet som funnits i två år, med cirka 70 medarbetare. Totalt arbetar omkring 3.700 personer på PwC Sverige.

– Vi ser ett ökat tryck med fler cyberangrepp och att det ökar framåt. Därför måste vi stötta våra kunder, samtidigt som vi ser stark tillväxt på området. I en av våra senaste satsningar hjälper vi till exempel företag med hotanalyser och incidenthantering, berättar Jakob Bundgaard. 

På enheten finns kompetenser inom bland annat säkerhetsskydd, robotisering. Men också inom samhällssäkerhet i stort.

– Vi har en väldigt uttalad strategi om att, inom ett par år, vara den ledande aktören inom cybersäkerhet i Sverige. Det finns ingen tydlig sådan aktör än, utan främst nischspelare. Vi vill växa kraftigt och bli 150 medarbetare på avdelningen mot dagens 70 och omsätta 250 miljoner mot 100 i dag, berättar Jakob Bundgaard

Att rekrytera är dock en utmaning. Rekryteringsbasen i Sverige är väldigt liten och sämre än en del andra länder i Europa, enligt Jakob Bundgaard. Bolaget får dock in allt mer spontanansökningar och PwC kan hämta juniora medarbetare direkt från utbildningar.

– Vi måste få ordning på utbildningssituationen. Det behövs mer utbildning inom cybersäkerhet. Det finns i dag några få på området inom Försvarshögskolan och på en del tekniska skolor. Men det kan utvecklas mycket mer. Och vi och andra i branshcen måste stötta det. 

Letar ni kompetens utomlands?

– Rekryteringsbasen finns i Sverige men vår verksamhet är global och vi kan hjälpa varandra med kompetensutbyte mellan länder. 

En PwC-rapport från början av året visar att hälften av Sveriges största bolag utsattes för en cyberattack under 2017. En majoritet drabbades även av upprepade attacker.

En annan PwC-undersökningen från i maj i år visar att världens bank- och finansbransch är särskilt oroad över ökad cyberkriminalitet. Nio av tio finansbolag tror också att sådana angrepp hotar deras tillväxt.  

Jakob Bundgaard är inte överraskad över resultaten, men är oroad. 

Sverige har halkat efter sina grannländer på cyberområdet. Och de flesta svenska bolagsstyrelser ser fortfarande cyber-säkerhet som främst en it-fråga – och inte något som berör hela verksamheten.

– Vår  rapport visar att cyberhot utgör en betydande verksamhetsrisk. Ett angrepp kan äventyra hela verksamheten och medför även varumärkesrisk. Det går att komma åt otroligt mycket information och tillgångar genom att hacka sig till det. 

Säkerhetsbrister kan förstås leda till minskad förtroende, vilket kan vara tillväxthotande på sikt. Banker och andra finansbolag måste visa att de kan hantera hoten, enligt Jakob Buundgard. 

– Framför allt styrelser har haft ett litet sent uppvaknade. De förstår problemet när man pratar med dem, men har inte tänkt på dem fullt ut innan, säger han.

Jakob Bundgaard är också förvånad och bekymrad över den låga och digitala kompetensen i svenska styrelser, vilket PwC-studier påvisat. Fyra av fem it-säkerhetschefer rapporterar inte ens direkt till styrelsen, vilket är en mycket låg siffra ur ett globalt perspektiv.

– Det är oroväckande. It och digitalisering borde i allra högsta grad vara en styrelsefråga. Jag trodde verkligen att vi hade kommit lite längre. För det är inte frågan om man blir utsatt för ett angrepp, utan när. 

Bank- och finansbranschen är särskilt sårbar, enligt Jakob Bundgaard. Den är samhällsviktig och väcker mycket uppmärksamhet, vilket hackare ofta söker. De kan såklart också komma över stora summor pengar genom att hacka finansaktörer. 

Sverige brukar ligga i framkant inom digitalisering. Varför har är styrelsers digitala kompetensen så låg?

– Vi är duktiga på digital innovation och ny teknik men har inte sett över säkerheten ordentligt. Jag har inget bra svar på vad det beror på. Men vi har sett, inom andra områden, att vi är lite mer naiva här i Sverige, säger Jakob Bundgaard och fortsätter:

– Vi har stor tilltro till varandra och samhället och tror gott om alla. Men cyberhot känner inga landsgränser. Vill man hacka något så letar man efter svagheter i ett system, och då spelar det förstås ingen roll var systemet är lokaliserat.

Alla medarbetare på ett bolag måste i dag vara säkerhetsmedvetna, enligt Jakob Bundgaard.

Ökar angreppsrisken också med molnlösningar?

– Attackerna ökar hela tiden liksom molnlösningar. Men sedan om det hänger ihop är svårt att avgöra. 

Det har också vuxit fram självinlärande AI-verktyg som automatiskt hackar system. 

Vem leder AI-racet i det här fallet? Försvarssidan eller hackarna?

– Det går lite upp och ner. Men jag tycker att vi är duktiga på att anpassa oss, men det är en utmaning.

Har det blivit lättare att hacka?

– Inte nödvändigtvis. Men det är lättare än någonsin att söka upp information på nätet om hur man ska gå till väga. Och vi på PwC känner att politiker inte tagit detta hot på tillräckligt stort allvar. Sverige har halkat efter både Danmark och Norge.

– De behöver vakna upp och få upp det högt på agendan. Om man inte agerar tror blir det tufft framåt. Bristande it-säkerhet är en oerhörd konkurrensnackdel.

PwC har nu intervjuat samtliga svenska toppolitiker kring hur de ser på utmaningar inom cyber-säkerhet och vad de anser behöver göras. Resultaten presenteras i en rapport i år.

– De är inte klara än, men vi har fått höra allt från att man måste utbilda äldre i cybersäkerhet till att man ska ha något slags ”cyberhemvärn”. Andra vill se en särskild myndighet för de här frågorna, berättar Jakob Bundgaard.

Personligen önskar han en ökad samverkan mellan privat och offentlig sektor på cybersäkerhets-området som är ett brett samhällsproblem, enligt Jakob Bundgaard.

– Man kan tänka sig olika forum där man diskuterar de här frågorna och lyfter fram goda exempel. PwC bjuder redan in till rundabordssamtal för att exempelvis diskutera kritisk infrastruktur, som ju finansverksamhet är en viktig del av den.

Han tycker att EU:s nya dataskyddslag GDPR, som infördes den 25 maj i år, lett till bra diskussioner om ökad datakontroll. Men det är också en stor utmaning att leva upp till regleringen. 

– I höst väntar också det så kallade NIS-direktivet som ställer högre krav på säkerhet