Ifølge en ny undersøkelse utført av CGI, kan et børsnotert selskap som ikke er forberedt på cybertrusler, tape så mye som 15 prosent av egen verdi ved et sikkerhetsbrudd.

Cybersecurity Director i CGI, Jan Mickos, oppsummerer de viktigste funnene fra den nye undersøkelsen:

– Moderne sikkerhetsrisikoer krever effektiv overvåking som baserer seg på både teknologi og menneskelig ekspertise. I virkeligheten har organisasjoner en tendens til å glemme det menneskelige aspektet og velger heller å stole fullt og helt på teknologien. Med dette følger en urealistisk tiltro til at de kan oppdage og avverge cyberhendelser, sier han.

– De er klar over farene, men skjønner ikke selv hvor lite kontroll de har over situasjonen. En sterk tillit til de ansattes evne til å forsvare seg mot cyberkriminelle har resultert i manglende styring og en forvrengt oppfatning av bedriftens sikkerhetssituasjon, tilføyer han.

Vi er naive

I følge Mørktallsundersøkelsen 2018, som utføres av Næringslivets sikkerhetsråd (NSR), er det bare seks av til virksomheter som har en strategi eller et rammeverk for informasjonssikkerhet. Dermed ligger norske bedrifter under det globale gjennomsnittet i følge CGIs «Global Insight»-undersøkelse. Den viser nemlig at kun èn av ti mangler en slik strategi. Mørketallsundersøkelsen viste også at 67 prosent av virksomheter som ble rammet av uønskede IT-hendelser mener det skyldes tilfeldigheter eller uflaks. 40 prosent oppga dessuten at de oppdaget sikkerhetshendelsene ved en tilfeldighet.

Jack Fischer Eriksen som er direktør i NSR kommenterer:

– Norske virksomheters naivitet er fremdeles påfallende stor når det kommer til konsekvensen av å ikke sikre verdier og leverandørkjeder. Når samtlige respondenter svarer at de ikke har tapt forretningshemmeligheter gjennom informasjonstyveri og spionasje, kan man jo spørre seg om dette skyldes manglende kunnskap og deteksjonsevne.

Heller føre var enn etter snar

Sikkerhetsbrudd mot IT-systemene til en virksomhet kan få store konsekvenser. Derfor bør de ha et organisatorisk rammeverk og tekniske løsninger som tester sårbarheten og overvåker systemene.

– Potensielt kan et sikkerhetsbrudd gi en bedrift betydelige økonomiske tap og skade omdømmet. Hvis sikkerhetsbruddet medfører at personopplysninger kommer på avveie, kan det også medføre store erstatningskrav, sier Bernt Magne Krokedal som leder CGI Testing Services.

Mange veier inn

Det er mange måter en organisasjon kan bli rammet på. Fra såkalt direktørsvindel der man betaler en faktura eller overfører penger fordi man tror det er direktøren som ber om det. Til spionasje, at dataene blir kryptert og det kreves løsepenger for å låse dem opp, eller at servere utsettes for så mye trafikk at de bryter sammen:

– Dette er bare noen få eksempler. Listen er lenger, men en trend vi ser er at der hackerangrepene tidligere kom fra gutterom, traff bredt og gjerne rammet store virksomheter, har de blitt mye mer organiserte. Motivene er ikke lenger «ære og berømmelse», men penger. Angriperne er mer utholdene, mer treffsikre og viser større utholdenhet, forklarer Krokedal.

Hackerne leter alltid etter nye veier inn, og hvis det er et svakt sikkerhetsregime ett sted i en verdikjede, så kan det utgjøre en sikkerhetsrisiko andre steder og i tilknyttede systemer.

Ta en helsesjekk

Alle organisasjoner bør ha på plass et organisatorisk rammeverk med strategier, regler, rutiner og beredskapsplaner for hele IT-virksomheten sin. Rammeverket bør både være på et overordnet nivå, men også detaljert helt ned på medarbeidernivå slik at ansatte for eksempel ikke åpner harmfull e-post. I tillegg er det viktig å gjennomføre tester på alle de tekniske systemene og kjøre en sårbarhetsscanning for å avdekke svakheter.

– Både det organisatoriske rammeverket og de tekniske systemene bør testes jevnlig på samme måten som vi tar en jevnlig sjekk av egen helse, tilføyer han.

Kontinuerlig overvåking

Det aller beste er å arbeide preventivt, derfor er det sterkt anbefalt å ha en monitoreringsløsning der systemene overvåkes kontinuerlig for å avdekke risikoer.

– Små bedrifter har kanskje ikke ressurser til å legge på dette siste laget med sikkerhet, men som et minimum bør de i hvert fall sørge for å ha på plass et rammeverk og foreta jevnlige tester av de tekniske systemene sine. Økonomisk bør det være overkommelig for de fleste. De økonomiske konsekvensene hvis man blir angrepet kan langt overstige hva slike tester koster, avslutter Krokedal.

Av Tom Backe, [email protected]