Cyberbrotten ökar under pandemin – Har du säkrat din organisation?


Cybersakerhet-toppbild-3

Våra företag utsätts för hot och risker – men vem tar ansvar?

Enligt FBI har antalet rapporterade cyberbrott ökat med 300% sedan covid-19 pandemins utbrott. Effekterna av en attack kan bli långtgående för bolagens ekonomi såväl som för organisationens operativa verksamhet och dess kundrelationer. Om orsak, ansvar och hur din ledningsgrupp kan arbeta proaktivt för att minska riskerna inom din organisation handlar denna insight.

Det förekommer i snitt över 2 000 hackerattacker varje dag mot en dator som är uppkopplad mot internet (Hackers Attack Every 39 Seconds) . Av alla cyberbrott är 95% relaterade till mänskliga misstag (IBM Security Services 2014) och med tanke på att 53% av företagen i genomsnitt har över 1 000 dokument med känslig information tillgängliga för alla anställda (2019 Global data risk report) , borde alla företag inse det reella i detta hot som är ständigt närvarande och agera därefter.

I vår roll som konsulter har vi vid flera tillfällen sett effekten av verkliga attacker både där hackare faktiskt har lyckats ta sig in i företagets nät och stulit information men också effekten av ransomware attacker (kryptering av företagets filer som används i utpressningssyfte) där företagen tvingats till betalning i form av bitcoin på miljontals kronor och dessutom fått stora störningar i verksamheten. Men trots denna typ av händelser är det alltför ofta vi ser att företagen fortfarande bara betraktar detta som ett tekniskt problem som IT-avdelningen ska lösa.

AdobeStock_369940645

Företagsledningen, och ytterst styrelsen, är ansvarig för att vidta åtgärder som säkerställer företagets långsiktiga överlevnad och skydda det kapital som ägarna har satt in. Detta görs i stor utsträckning genom att man rutinmässigt gör hot- och riskanalyser för att minska risken för driftstörningar och i de fall det ändå sker störningar säkerställer man ett relevant försäkringsskydd. Men när det gäller hot och risker mot företagets information är intresset och engagemanget svalt, alltför få tycks inse vikten av att hantera även denna fråga som en allvarlig risk och hotbild. Styrelse och ledning måste aktivt leda detta arbete.

Många av riskerna kan motverkas med teknik och strikta rutiner för uppdatering av systemen. Men det största hotet är oftast de egna medarbetarna som av misstag, omedvetenhet eller ibland av naivitet utför åtgärder som leder till intrång, virus eller förlorade lösenord.

 

Cyberbrotten har ökat med 300% under covid-19

 

Frågan om cybersäkerhet är mer aktuell än någonsin då rapporterade cyberbrott ökat med 300% under covid-19 pandemin enligt FBI. Vissa branscher tar redan idag riskerna på stort allvar. Inom bank och finans tar Riksbanken nu nästa steg i att verifiera säkerheten genom penetrationstester. Man kommer arrangera systematiska cyberattacker för banker och betaltjänster genom att låta externa aktörer testa systemen för att utvärdera hållfastheten. Inom ett nytt EU-ramverk kallat Tiber genomförs testerna av flera europeiska länder. Dessutom har nya riktlinjer inom bank och finans tagits fram för att komplettera Betaltjänstdirektivet PSD2 samt finansinspektionens föreskrifter från 2014 och 2018. Dessa föreskrifter ställer krav på hantering av operativa risker inom värdepappersrörelsen och valutahandel som en konsekvens av ökade cyberhot och långsam anpassning till nya förutsättningar som en ökad digitalisering innebär. Kanske något för fler branscher att ta efter?

Hotbilden är komplex, förändras ständigt och kommer från många olika typer av aktörer som har helt olika syften. Allt från professionella statsfinansierade hackergrupper till tonåringar som tycker det är kul att testa sina kunskaper genom att ta sig in i nätverk utan något syfte alls. Det är också svårt att ge en rättvis bild av det faktiska hotet. Många av de larmrapporter som publiceras kommer från säkerhetsföretag som lever på att sälja skydd, vilket kan ge en vinklad bild av verkligheten. Detta stöds också i forskningen där det nyligen publicerades en forskningsrapport i Journal of Information Technology & Politics (A tale of two cybers) .​ I rapporten konstateras bl.a. att endast i ett fåtal fall, 13% (82 av 629), tar dessa kommersiella rapporter upp t.ex. de riktade hoten mot civilsamhället.

Cybersäkerhet kräver kompetens, resurser och fokus

Ledningsgruppen har inte bara ett övergripande ansvar för cybersäkerhet. Rätt sammansatt har den också unik kompetens att identifiera och bemöta olika hot. Styrkan sitter inte i det tekniska kunnandet utan i förståelsen för hur företaget bedriver sin verksamhet. Kombinerat med en grundläggande kunskap om potentiella hot och förmåga att lyssna på och delegera till säkerhetsspecialister finns en god grund att effektivt bemöta cyberhot.

Förutom att se och bedöma verksamheten ur ett säkerhetsperspektiv har ledningsgruppen ett ansvar för att identifiera, prioritera, finansiera och koordinera insatser relaterade till cybersäkerhet. Detta är inte en engångsaktivitet som kan lämnas över till ett enskilt projekt. Insatser krävs inom flera olika områden parallellt och över tid för att säkerställa att rätt resurser finns tillgängliga och används optimalt. Resurser handlar i det här fallet inte enbart om pengar, även personalens kapacitet att hantera cyberhot måste vägas in när man prioriterar sina insatser.

Ledningsgruppen äger också det långsiktiga och systematiska cybersäkerhetsarbetet. För detta krävs kompetenser som redan idag är hett eftertraktade och kommer att bli ännu svårare att attrahera framöver (kompetensbristen betraktas till och med som ”ett samhällsproblem” av svenska myndigheter (Cybersäkerhet i Sverige)). Det krävs en genomtänkt HR-strategi för att positionera sig som en attraktiv arbetsgivare och säkra kompetens över tid. Rekrytering är bara en del i en sådan strategi, kontinuerlig vidareutbildning av befintlig personal är minst lika viktig med tanke på hur snabbt cyberhoten förändras.

Cybersäkerhet

Cybersäkerhet kan ses som en delmängd av klassisk IT-säkerhet. Hot och skyddsmedel skiljer sig åt men målet är det samma för båda: Att säkerställa att rätt person har tillgång till rätt information vid rätt tillfälle.

 

Checklista för cybersäkerhet

För att arbeta effektivt med cybersäkerhet behöver man dels förstå hotbilden, dels fokusera insatserna där de gör mest nytta. Som ett stöd har Trinovo satt samman en checklista som lyfter några prioriterade områden att hantera, som antingen kräver just ledningsgruppens helhetssyn och mandat eller riskerar falla utanför IT-avdelningens traditionella säkerhetsarbete.

 

”Den ovetande medarbetaren” ses som det främsta cyberhotet
av svenska företag

 

Det interna hotet

Stora summor investeras för att hantera externa hot och risker, medan de interna riskerna tenderar hamna i skymundan. I en nyligen genomförd undersökning konstaterade PwC (PwC – ”Nordic Cyber Crime Survey 2020) att ”den ovetande medarbetaren” ses som det främsta cyberhotet av svenska företag. För att komma tillrätta med denna risk krävs en medvetenhet och beredskap hos varje enskild medarbetare.

  • Gör en riskanalys – Vad är ”värdet” av olika typer av information och vad är den potentiella kostnaden för en incident? Detta ger inte bara argument för att över huvud taget investera i cybersäkerhet och löpande utbildning av medarbetare utan också en överblick över vad som behöver skyddas från interna (och externa) hot. Involvera berörda medarbetare, till exempel systemägare.
  • Samordna regelverk – I större organisationer finns ofta olika syn på och insatser mot cyberbrottslighet. Risker bedöms olika, skyddsåtgärder skiljer sig åt. För att underlätta för den enskilde medarbetaren att aktivt undvika risk krävs enkla, tydliga och enhetliga riktlinjer kring cybersäkerhet. Sätt samman en företagsövergripande policy som sätter ramar och minimikrav.
  • Cybersäkerhet berör alla medarbetare – Hotbilden förändras ständigt, kunskap och skydd behöver löpande uppdateras. Satsa på korta, återkommande och breda insatser baserat på en långsiktig plan. Använd flera olika kanaler för att repetera prioriterade budskap och ha beredskap för att hantera aktuella eller akuta händelser. En allmän förståelse i organisationen om vilken information som är känslig samt insikt i de vanligaste hoten och riskerna är en bra början.

Distansarbete det nya normala

Förändringar i vårt sätt att arbeta och samarbeta ställer nya krav på förebyggande cybersäkerhetsarbete. Inte minst den pågående covid-19 pandemin har tvingat arbetsgivare att släppa på kontrollen avseende var, när och hur medarbetarna utför sina arbetsuppgifter. Antalet potentiella angreppspunkter har ökat. Från att ha kunnat fokusera på att säkra upp kontor och datacenter måste företag nu hantera en situation där information och system förväntas vara tillgängliga när som helst, varifrån som helst.

pexels-anna-shvets-4226140

 

  • Säkra arbetsplatsen – Distansarbetaren måste ha en adekvat säkerhetsnivå på sin utrustning och arbetssätt. Antivirus och VPN-lösningar är ett absolut minimum. Tydliga regler för hur information får hanteras är ett måste om organisationen hanterar känsliga uppgifter. Är det OK att utbyta dokument med en kollega via en privat molntjänst? Kanske behöver du investera i lösningar för att styra vilka enheter som får kopplas upp mot företagets resurser?
  • Distansarbetaren sitter inte på kontoret – Kan tyckas uppenbart, men distansarbetaren riskerar att glömmas bort i incidentplaneringen. Vad gör du om mejl och andra samarbetsplattformar inte är tillgängliga, har du någon alternativ kanal att kommunicera via för de som inte befinner sig fysiskt på kontoret? Värdet av något så enkelt som en utskriven lista med telefonnummer till alla anställda ska inte underskattas.
  • Förbered för incidenter – Distansarbetaren tvingas i viss utsträckning förlita sig på sin egen förmåga att hantera cyberhot. Därmed inte sagt att man inte kan förbereda sig, till exempel genom att testa att använda mobilens bredband som alternativ till fast bredband eller säkra att IT-supporten på distans kan logga in på en dator och hjälpa till med att rensa bort virus.

Styr din leveranskedja

De flesta företag har en komplex struktur för att leverera IT-tjänster till medarbetare och kunder. Intern kapacitet kompletteras med tjänster från outsourcingpartners, underleverantörer och molnlösningar. Effekterna av en incident sprids snabbt utanför den egna organisationen. En grundläggande förståelse för leveranskedjans struktur och beroenden är nödvändig för effektivt förebyggande säkerhetsarbete.

  • Kravställ dina leverantörer – Gör inga antaganden om att alla delar din syn på vad som är självklart avseende cybersäkerhet. Definiera säkerhetskraven redan i upphandlingen och följ upp löpande under leveransen. Kräv full transparens kring hur tjänsten levereras: vem är inblandad, vilken information hanteras, vem har access till informationen, hur ser det förebyggande säkerhetsarbetet ut?
  • En policy, inte flera – Dagens IT-leverans och systemutveckling är långt ifrån vattenfallsmodeller och kundspecifika miljöer där en enskild part har full kontroll. Säkerställ att du som uppdragsgivare har en tydlig policy kring grundläggande cybersäkerhet som är bindande för alla involverade parter, interna såväl som externa.
  • Ha koll på din information – Det är ditt ansvar att veta var din information finns och i vilket syfte den används. Är du säker på att dina kunders inloggningsuppgifter och kreditkortsnummer inte finns på en testserver i Polen eller Indien?
  • Samarbeta med förnuft – Liberala regler för hur och när plattformar som Teams och SharePoint används i kombination med ett distribuerat administratörsansvar är en farlig mix. Det går snabbt att lägga till en kollega, intern eller extern, till ett Team eller en site. Men har du full koll på vilken behörighet kollegan faktiskt har och vilken information hen får tillgång till? Var tydlig med vilken typ av information som får hanteras på respektive plattform och vem som ansvarar för att reglerna efterlevs.

Slutsats / sammanfattning​

  • Det är av stor vikt att både ledning och styrelse gör cybersäkerhet till en naturlig del av agendan och inkluderar det i sin hot- och riskanalys.
  • Säkerställ resurser, kompetens och medvetande i hela organisationen, cybersäkerhet är inte ett tekniskt problem som IT-avdelningen kan lösa självständigt.
  • Hoppas på det bästa, men planera för det värsta genom kontinuerliga riskanalyser, tydlig policy och ständig vidareutbildning.
  • Säkra din leveranskedja genom tydliga och enhetliga krav på interna såväl som externa leverantörer.
  • Sist, men inte minst, ha koll på din information!

 

Källor till texten:

  1. “Hackers Attack Every 39 Seconds” a Clark School study at the University of Maryland by Michel Cukier, assistant professor of mechanical engineering (2017)
  2. IBM Security Services 2014 Cyber Security Intelligence Index
  3. 2019 Global data risk report from the Varonis Data Lab, Data analysis of 785 companies in 30 countries covering 30+
    industries.
  4. A tale of two cybers – how threat reporting by cybersecurity firms systematically underrepresents threats to civil society. (Lennart Maschmeyer, Ronald J. Deibert & Jon R. Lindsay) publicerad 2020-06-11.
  5. FRA, MSB, Säkerhetspolisen m.fl. – ”Cybersäkerhet i Sverige – Hot, metoder, brister och beroenden”
  6. PwC – ”Nordic Cyber Crime Survey 2020 – Det digitaliserade Sverige – så in i Norden säkert?” 64 % av de svarande bolagen anger att ”den ovetande medarbetaren” är det främsta cyberhotet, följt av ”organiserad brottslighet” (51%) och ”hacktivisthotet” (36%).

 


Ladda ner artikeln som PDF


Research & analys

Ilham Hanna, Senior Konsult Filippa Sjöstrand, Konsult


Prenumerera på Trinovo Insights

« »




    Håll dig uppdaterad med Trinovo Insights