Antalet cyberattacker ökar och det gör även kostnaderna dessa medför. I en färsk rapport från Enisa konstateras att den genomsnittliga kostnaden för en ransomware-attack nu är över 540 000 Euro eller närmare 6 miljoner svenska kronor. Ett starkt argument för ett ökat fokus på informationssäkerhet.
Enisa-rapporten visar dock att investeringarna i IT-säkerhet i relation till övriga IT-satsningar minskar, trots en ökad hotbild. Samtidigt som andelen samhällskritiska verksamheter som har någon typ av försäkring mot cyberintrång också minskar jämfört med föregående år. Dessutom ligger Sverige näst sist inom hela EU när det gäller satsningar på IT-säkerhet i relation till IT-investeringar.
Det finns med andra ord mycket som behöver göras.
Stort glapp mellan stora och små företag
Det finns dock en annan genomgående trend i rapporten med särskilt intresse för Sverige och Norge. Nämligen glappet mellan IT-säkerheten i stora och små företag. Den sammantagna bilden är tydlig; stora organisationer har resurser att investera både i teknik och personal för att öka sin IT-säkerhet, medan små och medelstora företag inte har det.
Det gör små- och medelstora företag särskilt sårbara för cyberattacker, och med en näringslivsstruktur som den svenska och norska, dominerad av just småföretag, måste vi i våra länder ha särskilt fokus på detta. Såväl ansvariga myndigheter, som näringslivs- och intresseorganisationer.
Vi har tidigare lyft fram det finska exemplet med den särskilda informationssäkerhetssedeln som något som övriga regeringar i Norden borde titta närmare på och även ta efter. Den är nämligen utformad så att den tar hänsyn både till små och stora organisationer.
Samtidigt behövs mer av nätverkande och samarbete för att stärka små företags möjligheter att öka sin IT-säkerhet. Enisa-rapporten visar tydligt att de företag med kapacitet att ha en ordentligt uppbyggd intern organisation, satsar hela 72 procent mer på omvärldsbevakande, så kallad CTI – Cyber Threat Intelligence, medan de som inte har det, givetvis satsar mindre.
Det är en faktor i sig som ger ett oroande framtidsscenario, eftersom satsningar på CTI blir ännu viktigare i ett cyber-landskap som ständigt skiftar karaktär. Här menar vi att näringslivs- och intresseorganisationer i Sverige och Norge har ett särskilt ansvar för att få till stånd en bättre samverkan.
Ökade satsningar på bred utbildning
När det gäller insatser för att ökad medvetenhet om IT-säkerhet, visar Enisa-rapporten att hela 40 procent av samhällskritiska verksamheter helt saknar utbildningsinsatser för personal som huvudsakligen inte arbetar med IT.
För oss som arbetar med olika typer av utbildning inom informationssäkerhet, kommer inte detta som någon överraskning, men med vetskapen om att 8 av 10 cyberintrång beror på mänskliga misstag, är det närmast obegripligt att inte alla organisationer prioriterar att få med sig hela sin personal i säkerhetsarbetet.
Enisa-rapporten konstaterar också att det inte längre fungerar med en centraliserad syn på IT-säkerhet i dagens digitaliserade organisationer. Ansvaret måste helt enkelt decentraliseras. Med det följer även ett ökat behov av utbildning och kompetensutveckling av specialister inom IT-säkerhet.
Men det är inte bara mängden utbildning som behöver öka. Enisa-rapporten konstaterar att “initiativ för att ompröva och omfokusera säkerhetsmedvetenheten är nödvändiga för att möjliggöra mer sofistikerat tänkande kring säkerhet och fördelat ansvar för säkerhet.” Vidare pekar Enisa på att ”framsynta chefer och ledare inom säkerhetsområdet måste prioritera insatser som handlar om beteende och kulturförändringar, för att på så sätt skapa en syn på IT-säkerhet och säkerhetsbeteenden som en naturlig del av organisationen.”
Junglemap uppfann NanoLearning 2006 just för att hållbart och långsiktigt skapa beteendeförändringar när det gäller informationssäkerhet. Sedan dess har nästan 7 miljoner användare gått en NanoLearning-lektion i informationssäkerhet – och deras företag och organisationer har kunnat se de mätbara effekterna.
Nu tar Junglemap och säkerhets- och expertleverantören Tagore, tillsammans ett nytt steg för att utveckla mer rollbaserade utbildningar riktade direkt till olika IT- och säkerhetsspecialister. Svårigheter att hitta rätt IT-kompetens ökar rent generellt, vilket gör det ännu svårare att hitta rätt kompetens för specifika roller inom IT-säkerhet. Enisa pekar i sin rapport på att det gäller för CISO:s att tänka nytt när det gäller allt från rekrytering, utbildning och organisatoriskt säkerhetssamarbete.
Vi har lång erfarenhet av både breda och specialiserade utbildningar med bevisat fungerande metoder. Vi bidrar gärna till att minska sårbarheten för cyberattacker hos alla de små- och medelstora företag i Skandinavien som idag saknar det skydd de behöver. Glappet i cybersäkerheten i Skandinavien måste tätas till.
Gustav Berghog vd Junglemap
Nils Ivar Skaalerud COO Junglemap
Eirik Saltkjel Founder Tagore
(Den här artikeln är ursprungligen publicerad i Aktuell Säkerhet)