Stoppa cybertjuven
Konsultfirman PwC uppger att 44 procent av företagsledarna globalt oroas över arbetsplatsens it-säkerhet. Samtidigt är svenska it-chefers syn på sin verksamhets cybersäkerhet optimistisk, kanske allt för optimistisk. I en undersökning från det Silicon Valley-baserade analysföretaget FICO och Ovum Research uppger 58 procent av de svenska it-cheferna att de är bättre förberedda på dataintrång än sina konkurrenter. Mer än en tredjedel av dem uppger att deras företag är ledande inom cybersäkerhet.
Läs också: Så stoppas penningtvätt
Fler svenska deltagare anser att deras företag är bättre än genomsnittet av deltagarna från andra länder. Samtidigt ser experterna i branschen på Japan och Malaysia som föregångare vad gäller cybersäkerhet, inte Sverige.
– Över hälften av *CISO:erna rapporterar globalt direkt till vd och/eller styrelse. Så fungerar det inte i Sverige, säger Johan Wiktorin, director intelligence inom cyber security på PwC.
Diskussionen om informationssäkerhet behöver ta plats i ledningsgrupper och styrelser, och CISO-rollen behöver lyftas till ledningsnivå om bolagens cybersäkerhet ska kunna utvecklas.
– Cybersäkerhet och cyberriskhantering har historiskt ansetts vara ett it-problem. Vi ser idag att cyberattacker är så omfattande att konsekvenserna drabbar hela företaget, från logistik till försäljning till HR. De bolag som har kunnat hantera cyberincidenter på bästa sätt har utvecklat en riskstrategi som tagit hänsyn till hur bolaget som helhet kommer att drabbas. Vi uppmuntrar våra kunder att se att cyberrisken är en fråga som bör diskuteras på ledningsnivå där strategiska beslut kring investering i säkerhet och försäkring kan fattas, säger Anthony Herring, cyber and property specialist på Aon Risk Solutions.
Läs också: Han granskar global skatteplanering
Det kan bli mycket dyrt att drabbas. Till de vanligaste scenarierna vid en it-attack hör ransomeware, någon begär en låg lösensumma för att låsa upp material de tagit över på många datorer. Låga lösensummor uppmuntrar snabb betalning. Brittiska sjukhus drabbades i maj förra året av ransomeware och en attack på logistikföretaget Maersk ledde till att man tvingades byta ut tiotusentals servrar och datorer. Den totala kostnaden för förlorade intäkter på grund av attacken uppges ha varit 300 miljoner dollar.
Läs också: Bakgrundskontroller allt vanligare
Ofta är det den mänskliga faktorn som öppnar för attackerna:
– Cyberangrepp lyckas oftast på grund av mänskliga fel av företagens anställda. Någon klickar på fel länk eller avslöjar ett lösenord som ger utomstående en väg in till företagets nätverk och system, säger Anthony Herring.
– Men insiderrisken förändras då allt fler tjänster outsourcas och nätverk öppnas upp till konsulter och frilansare. På samma sätt som bolag har en riskstrategi för att hantera en attack utifrån är det lika viktigt att ta fram en strategi kring insiderrisk.
De numera så populära molntjänsterna kan vara en sådan risk. Samtidigt skapar de en möjlighet att dela säkerhetskostnaden på många kunder vilket möjliggör lösningar som en enskild kund annars inte har råd med.
Läs också: Anna Felländer vill ha mer mänsklighet i tekniken
Att utbilda medarbetarna, begränsa antalet personer som har tillgång till känslig information och att segmentera nätverk och system så att det finns flera lager av säkerhet som måste passeras för att komma åt det mest affärskritiska är avgörande delar i säkerhetstänket.
– Mindre bolag saknar ibland tillräcklig budget och en dedikerad it-säkerhetsansvarig. Företagets it-system kan ha utvecklats av enskilda programmerare. Risker kopplat till system som inte underhålls kan vara stor, säger Anthony Herring.
Johan Wiktorin på PwC säger att det kan vara bra att samarbeta med konkurrenterna för att bli mer medveten:
– Tala med konkurrenter i branschforum eller hämta råd från internationella organ som ISF (Information Security Forum) eller ta in konsultstöd, säger Johan Wiktorin.
*Chief Information Security Officer
Så förberedda är företagen:
λ Endast hälften av företagsledarna säger att deras organisationer genomför bakgrundskontroller.
λ Hela 54 procent menar att de saknar en process för hantering av incidenter.
λ Bara 39 procent av de företag som har blivit utsatta för IT-attacker tror sig kunna identifiera förövarna.
Källa: Global State of Information Security Survey 2018
Experternas tips för att skydda dig:
1 Lär dina användare vad phishing är – de flesta som får problem klickar på något.
2 Utbilda alla anställda för att minimera den interna risken.
3 Gör en sårbarhetsanalys och tänk att säkerhetsarbetet är din personliga ”reseförsäkring”.
4 Köp en bra tvåfaktor login-lösning.
5 Ta hänsyn till alla delar av verksamheten. Cybersäkerhet är inte en fråga som endast hanteras av it-avdelningen.
6 Identifiera vad som är skyddsvärt (kronjuveler).
7 Identifiera hot och sårbarheter, bestäm risken och gör en plan för att reducera den till den bestämda nivån.
8 Kartlägg alla exponeringar, titta på troliga konsekvenser för att sedan kunna fatta beslut om cyberriskhantering och eventuellt en cyberförsäkring.
9 Anställ eller hyr in kompetent personal och arbeta metodiskt.
10 Backa upp datauppgifterna. Hela affärsidén med ransomware går om intet då du bara kan trycka på en knapp för att få tillbaka de uppgifter som hackats.
11 En risk för läckta uppgifter är när medarbetare får ett dåligt avslut med sin arbetsgivare. En bra process för avveckling av personal är viktigt, påminn tydligt och neutralt om eventuella sekretessförbindelser och avsluta tillgång till information strukturerat.
