Att ransomware-attackerna kommer att fortsätta att öka råder det inget tvivel om. En av orsakerna är RaaS-modellen (Ransomware as a Service) som gör att kriminella grupperingar helt utan egen tech-kompetens enkelt kan köpa in de här tjänsterna och genomföra allt fler attacker. Det menar bland andra konstultföretaget EY i en aktuell analys.
Enligt EYs experter krävs det att organisationer arbetar proaktivt både med användares behörigheter, och inte minst: med cybersäkerhetsutbildning för alla anställda.
Men utbildning i cybersäkerhet kan som bekant betyda lite vad som helst. Och skrämmande ofta någonting som faktiskt inte har någon effekt. Jag har tidigare pekat på att vi måste ha fokus på metoder som fungerar. I en färsk intervju med Neil Thacker, CISO på IT-företaget Netskope, konstaterar han att utbildning en gång om året inte räcker och pekar på behovet av real-time awareness and real-time education.
Junglemaps metod NanoLearning, som använts av företag och organisationer sedan 2006, bygger förutom på de välkända komponenterna repetition och reflektion, även på något som kallas för retrieval practice, inslag i utbildningen som gör att jag som mottagare triggas att återanvända sånt som jag lärt mig tidigare – och att omsätta dessa i praktiken. Det är vår version av den real-time awareness and education som Neil Thacker efterlyser.
Riskerna samspelar
Det finns såklart många olika risker inom cybersäkerheten de kommande åren, och flera av dessa samspelar dessutom. EU:s organ för cybersäkerhet Enisa, presenterar en topp-10 lista i sin Foresight Cybersecurity Threats for 2030. Det är en intressant och belysande kombination av utifrån kommande hot och organisatoriska brister och systemfel.
Flera av riskerna på listan pekar på en tydlig trend: företag och organisationer delar varandras sårbarhet.
Dels genom risker i leverantörskedjan, där en aktörs bristande säkerhet alltid drabbar fler. Dels genom att enskilda så kallade cross border leverantörer av IT-tjänster (som t.ex Tietoevry) riskerar att bli något Enisa kallar Single Point of Failure. Återigen: ingen IT-miljö är starkare än dess svagaste länk!
Stor kompetensbrist
Enisa pekar också på en fortsatt kompetensbrist inom området, något som även uppmärksammas i ett par kommande avsnitt av Junglemap Podcast där Richard Oehme, senior säkerhetsrådgivare på Knowit, presenterar en kartläggning av kompetensförsörjningen inom cybersäkerheten i Sverige och konstaterar att det faktiskt nästan inte går att kartlägga.
Ramar, definitioner och samordning saknas helt. Varken den student som vill utbilda sig inom området, eller det företag som letar efter kompetens, vet var de ska börja leta.
En kompletterande genväg för att utveckla rätt kompetens är genom olika former av Trainee-program inom cybersäkerhet. Men Enisa konstaterar i sin analys att organisational willingness to develop talent and bridge the educational gap still remain a concern in cybersecurity.
I Sverige finns det enligt Knowits kartläggning idag sju (!) stycken traineeprogram. Totalt.
Det här är förstås ett stort bekymmer när de cyberkriminella hela tiden utvecklar sina metoder. Att vi som arbetar med cybersäkerhet ligger steget efter är väl känt, men utan en ordentlig kompetensförsörjning har vi ju ingen chans att komma ifatt.
Cyberhygien är vad som krävs
Larmrapporterna kring ökade cyberhot duggar tätt. En rapport värd att återkomma till och utgå ifrån tycker jag är Microsofts årliga Digital Defense Report. Dels för att Microsoft som aktör har en ojämförligt stor mängd data som backar upp deras analyser, dels för att de också pekar på vad som behöver göras för att motverka hoten.
I grunden handlar det enligt Microsoft om en enda sak: basal cyberhygien. Enligt deras rapport skyddar en grundläggande cyberhygien mot 99 procent av alla angrepp.
Cyberhygienen enligt Microsoft består av 5 delar:
- Använd multifaktor autentisering (MFA)
- Utgå från Zero Trust principer
- Använd utökad identifiering och åtgärd (XDR)
- Håll alla programvaror uppdaterade
- Skydda er data
För oss på Junglemap som arbetar med att skapa och bibehålla en hög medvetenhet kring cybersäkerhet är det uppenbart att flera av nyckelfaktorerna inom cyberhygienen är helt beroende av att vi som användare – i hela organisationen – både förstår varför och sedan efterlever företagets regler och riktlinjer.
Medvetenhet och verktyg
Medvetenhet och tekniska hjälpmedel kan liknas vid cybersäkerhetens kommunicerande kärl: Att bara vara medveten om riskerna, men sakna de verktyg som behövs för att skydda sig, är inte mycket värt. Och omvänt – inga tekniska hjälpmedel i världen kommer skydda oss mot attackerna om de inte används på rätt sätt.
Tittar man på hur säkerhetsföretag som t.ex Truesec beskriver vilka metoder hotaktörerna använder sig av i inledningen av sina attacker bekräftas den här bilden. Det är en kombination av tekniska sårbarheter, phishing och stöld av identiteter som är de tre vanligaste sätten att utföra dataintrång.
I ett kommande webinar ihop med SecureAppbox kommer vi att ägna oss åt den här helt centrala frågan: cybersäkerhet är ingenting man har – det är nåt man gör. En god cyberhygien kräver både medvetenhet och verktyg som gör det lätt att göra rätt.