Cyberbrotten ökar under pandemin – Har du säkrat din organisation?
Enligt FBI har antalet rapporterade cyberbrott ökat med 300% sedan covid-19 pandemins utbrott. Effekterna av en attack kan bli långtgående för bolagens ekonomi såväl som för organisationens operativa verksamhet och dess kundrelationer. Om orsak, ansvar och hur din ledningsgrupp kan arbeta proaktivt för att minska riskerna inom din organisation handlar denna insight.
Det förekommer i snitt över 2 000 hackerattacker varje dag mot en dator som är uppkopplad mot internet (Hackers Attack Every 39 Seconds) . Av alla cyberbrott är 95% relaterade till mänskliga misstag (IBM Security Services 2014) och med tanke på att 53% av företagen i genomsnitt har över 1 000 dokument med känslig information tillgängliga för alla anställda (2019 Global data risk report) , borde alla företag inse det reella i detta hot som är ständigt närvarande och agera därefter.
I vår roll som konsulter har vi vid flera tillfällen sett effekten av verkliga attacker både där hackare faktiskt har lyckats ta sig in i företagets nät och stulit information men också effekten av ransomware attacker (kryptering av företagets filer som används i utpressningssyfte) där företagen tvingats till betalning i form av bitcoin på miljontals kronor och dessutom fått stora störningar i verksamheten. Men trots denna typ av händelser är det alltför ofta vi ser att företagen fortfarande bara betraktar detta som ett tekniskt problem som IT-avdelningen ska lösa.
Företagsledningen, och ytterst styrelsen, är ansvarig för att vidta åtgärder som säkerställer företagets långsiktiga överlevnad och skydda det kapital som ägarna har satt in. Detta görs i stor utsträckning genom att man rutinmässigt gör hot- och riskanalyser för att minska risken för driftstörningar och i de fall det ändå sker störningar säkerställer man ett relevant försäkringsskydd. Men när det gäller hot och risker mot företagets information är intresset och engagemanget svalt, alltför få tycks inse vikten av att hantera även denna fråga som en allvarlig risk och hotbild. Styrelse och ledning måste aktivt leda detta arbete.
Många av riskerna kan motverkas med teknik och strikta rutiner för uppdatering av systemen. Men det största hotet är oftast de egna medarbetarna som av misstag, omedvetenhet eller ibland av naivitet utför åtgärder som leder till intrång, virus eller förlorade lösenord.
Cyberbrotten har ökat med 300% under covid-19
Frågan om cybersäkerhet är mer aktuell än någonsin då rapporterade cyberbrott ökat med 300% under covid-19 pandemin enligt FBI. Vissa branscher tar redan idag riskerna på stort allvar. Inom bank och finans tar Riksbanken nu nästa steg i att verifiera säkerheten genom penetrationstester. Man kommer arrangera systematiska cyberattacker för banker och betaltjänster genom att låta externa aktörer testa systemen för att utvärdera hållfastheten. Inom ett nytt EU-ramverk kallat Tiber genomförs testerna av flera europeiska länder. Dessutom har nya riktlinjer inom bank och finans tagits fram för att komplettera Betaltjänstdirektivet PSD2 samt finansinspektionens föreskrifter från 2014 och 2018. Dessa föreskrifter ställer krav på hantering av operativa risker inom värdepappersrörelsen och valutahandel som en konsekvens av ökade cyberhot och långsam anpassning till nya förutsättningar som en ökad digitalisering innebär. Kanske något för fler branscher att ta efter?
Hotbilden är komplex, förändras ständigt och kommer från många olika typer av aktörer som har helt olika syften. Allt från professionella statsfinansierade hackergrupper till tonåringar som tycker det är kul att testa sina kunskaper genom att ta sig in i nätverk utan något syfte alls. Det är också svårt att ge en rättvis bild av det faktiska hotet. Många av de larmrapporter som publiceras kommer från säkerhetsföretag som lever på att sälja skydd, vilket kan ge en vinklad bild av verkligheten. Detta stöds också i forskningen där det nyligen publicerades en forskningsrapport i Journal of Information Technology & Politics (A tale of two cybers) . I rapporten konstateras bl.a. att endast i ett fåtal fall, 13% (82 av 629), tar dessa kommersiella rapporter upp t.ex. de riktade hoten mot civilsamhället.
Ledningsgruppen har inte bara ett övergripande ansvar för cybersäkerhet. Rätt sammansatt har den också unik kompetens att identifiera och bemöta olika hot. Styrkan sitter inte i det tekniska kunnandet utan i förståelsen för hur företaget bedriver sin verksamhet. Kombinerat med en grundläggande kunskap om potentiella hot och förmåga att lyssna på och delegera till säkerhetsspecialister finns en god grund att effektivt bemöta cyberhot.
Förutom att se och bedöma verksamheten ur ett säkerhetsperspektiv har ledningsgruppen ett ansvar för att identifiera, prioritera, finansiera och koordinera insatser relaterade till cybersäkerhet. Detta är inte en engångsaktivitet som kan lämnas över till ett enskilt projekt. Insatser krävs inom flera olika områden parallellt och över tid för att säkerställa att rätt resurser finns tillgängliga och används optimalt. Resurser handlar i det här fallet inte enbart om pengar, även personalens kapacitet att hantera cyberhot måste vägas in när man prioriterar sina insatser.
Ledningsgruppen äger också det långsiktiga och systematiska cybersäkerhetsarbetet. För detta krävs kompetenser som redan idag är hett eftertraktade och kommer att bli ännu svårare att attrahera framöver (kompetensbristen betraktas till och med som ”ett samhällsproblem” av svenska myndigheter (Cybersäkerhet i Sverige)). Det krävs en genomtänkt HR-strategi för att positionera sig som en attraktiv arbetsgivare och säkra kompetens över tid. Rekrytering är bara en del i en sådan strategi, kontinuerlig vidareutbildning av befintlig personal är minst lika viktig med tanke på hur snabbt cyberhoten förändras.
Cybersäkerhet kan ses som en delmängd av klassisk IT-säkerhet. Hot och skyddsmedel skiljer sig åt men målet är det samma för båda: Att säkerställa att rätt person har tillgång till rätt information vid rätt tillfälle.
För att arbeta effektivt med cybersäkerhet behöver man dels förstå hotbilden, dels fokusera insatserna där de gör mest nytta. Som ett stöd har Trinovo satt samman en checklista som lyfter några prioriterade områden att hantera, som antingen kräver just ledningsgruppens helhetssyn och mandat eller riskerar falla utanför IT-avdelningens traditionella säkerhetsarbete.
”Den ovetande medarbetaren” ses som det främsta cyberhotet
av svenska företag
Stora summor investeras för att hantera externa hot och risker, medan de interna riskerna tenderar hamna i skymundan. I en nyligen genomförd undersökning konstaterade PwC (PwC – ”Nordic Cyber Crime Survey 2020) att ”den ovetande medarbetaren” ses som det främsta cyberhotet av svenska företag. För att komma tillrätta med denna risk krävs en medvetenhet och beredskap hos varje enskild medarbetare.
Förändringar i vårt sätt att arbeta och samarbeta ställer nya krav på förebyggande cybersäkerhetsarbete. Inte minst den pågående covid-19 pandemin har tvingat arbetsgivare att släppa på kontrollen avseende var, när och hur medarbetarna utför sina arbetsuppgifter. Antalet potentiella angreppspunkter har ökat. Från att ha kunnat fokusera på att säkra upp kontor och datacenter måste företag nu hantera en situation där information och system förväntas vara tillgängliga när som helst, varifrån som helst.
De flesta företag har en komplex struktur för att leverera IT-tjänster till medarbetare och kunder. Intern kapacitet kompletteras med tjänster från outsourcingpartners, underleverantörer och molnlösningar. Effekterna av en incident sprids snabbt utanför den egna organisationen. En grundläggande förståelse för leveranskedjans struktur och beroenden är nödvändig för effektivt förebyggande säkerhetsarbete.
Källor till texten: