Enligt Allianz Risk Barometer toppar cyberhoten listan globalt och i alla världsdelar och regioner. Bara ett i raden av argument för att företagsledningar måste börja betrakta cybersäkerheten som en strategisk fråga för hela verksamheten.
Kanske borde hackerattacken i januari mot Tietoevry inte kommit som någon överraskning utan snarare som ett ovälkommet brev på posten? Ändå verkar det som om många organisationer fortfarande står lite handfallna inför den här risken. Eller som cybersäkerhetsexperten Marcus Murray, grundare av Truesec, konstaterar i en LinkedIn kommentar efter attacken:
”The affected organizations share one thing in common. They didn’t see this coming!”
Kanske är det så att många företagsledningar fortfarande förlitar sig på att företagets säkerhets- och IT-avdelning ”har koll på läget”. Detta utan att egentligen veta vilka kontrollfrågor man ska ställa.
Just den organisatoriska övertron på den egna förmågan kan vara ett problem i sig. Enligt Axiads 2023 State of Authentication Survey uppger 88 procent av de över 200 tillfrågade IT-experterna att deras organisationer är väl förberedda på t.ex lösenordsstölder, samtidigt som 52 procent uppger att organisationen har blivit utsatt för den typen av attacker.
I ett aktuellt avsnitt av Junglemap Podcast konstaterar säkerhetsexperten Mats Hultgren att ”cybersäkerhet har gjort att styrelser haft ont i magen rätt länge. Skillnaden nu är att man också börjar göra nåt åt problemen.” Hultgren beskriver situationen som många organisationer nu befinner sig i som en typ av ”ångest med handlingskraft”.
Och det låter ju onekligen som ett steg framåt, även om handlingskraften såklart behöver vara framåtlutad och förebyggande i sin natur. Det har konstaterats tidigare, men återkommer även som ett av de viktigaste råden i Orange Cyberdefense Security navigator 2024 : Prevention remains the best weapon to reduce the effects of an attack och för att återknyta till Allianz Risk Report: Cyber risk must be reinforced as the central element to an organizations riks management strategy.
Cyber-risker är och måste vara helt centrala i alla organisationers riskhantering.
För IT-säkerhet är ingen IT-fråga. Det är en ledningsfråga. Det konstaterar Elin Richarz i ett annat avsnitt av Junglemap Podcast och Andreas Hegna, grundare av cybersäkerhets-företaget Tagore och partner till oss på Junglemap säger samma sak: ”Det är inte IT-chefen som är ansvarig, utan ledningen. Det märks tydligast på vem det är som får böter när företaget brister i sina säkerhetssystem.”
Om det är den Hultgrenska ”ångesten med handlingskraft” som ligger bakom ska jag låta vara osagt, men en tydlig trend är att allt fler företagsledningar efterlyser olika typer av cyberförsäkringar. Konsultföretaget Delinea konstaterar i sin senaste Cyber Insurance Report att företagsledningar är främsta kravställare på cyberförsäkringar, och redan rapportens underrubrik antyder att cyberförsäkringar är något som många verkligen behöver: Nästan 80 procent av de tillfrågade intervjupersonerna uppgav att de behövt använda sig av sin försäkring och över hälften dessutom flera gånger.
Rapporten pekar också på ett annat viktigt faktum: with the board behind them, companies are finding the budget for insurance. Något som säkerligen välkomnas av Andreas Hegna som i ett annat av avsnitt av Junglemap podcast konstaterar att ”Cybersäkerhet är ingen kostnad. Det är en investering.”
Med den insikten i ryggen hoppas jag att fler organisationer kan lyckas sätta cybersäkerheten i centrum och på så sätt bli bättre på att förebygga cyberrisker, med bland annat awareness-utbildning i cybersäkerhet. Både genom att stärka de mänskliga brandväggarna med utbildningar för alla medarbetare och mer rollbaserade kurser för utvecklare och andra nyckelpersoner.
Att vi kommer att få se fler nyheter om ”ryska attacker” är inte nån vild gissning. Mats Hultgren reder i Junglemaps podcast ut skillnaden mellan stats-styrda så kallade persistente attacks med vanlig cyberkriminalitet. Hur den första kategorin ofta innebär att man som organisation kanske inte ens märker att man är utsatt för ett långvarigt intrång, medan ransomware-attacker från cyberkriminella mer handlar om att lamslå organisationen för att få ut mesta möjliga lösensummor.
Den aktuella attacken från den ryska hacker-gruppen Akira förefaller vara en så kallad dubbel utpressning - en kombination där den som utför attacken både stjäl värdefulla data och därefter låser dina system. Datan hotar man sedan att sälja vidare om den som drabbats inte betalar och samtidigt kräver man lösensummor (ransom) för att låsa upp systemen.
I sin Cyberdefense Security navigator 2024 konstaterar Orange Defense att the line between nation-state, cyber-hacktivists and criminal actors is increasingly blurry. Attacker av samma typ som den som Tietoevry blivit utsatt för kommer att bli vanligare.
Sammantaget pekar i stort sett alla rapporter på att antalet cyberattacker kommer att fortsätta att öka, bli mer sofistikerade och allt svårare att skydda sig emot. Dessutom drivna av grupper som opererar i skydd av korrupta och/eller aggressiva stater som Ryssland.
Mot bakgrund av den bilden känns resultatet från Allianz riskbarometer ganska logiskt: Cyberhoten utgör den största risken både för företag och offentliga aktörer. Det är dags för alla företagsledningar att börja behandla cybersäkerheten som den ödesfråga det faktiskt handlar om.