ITWatch

Klumme: Utopi at tro, at I kan skærme jer fuldstændigt mod cyberangreb

Et databrud er ødelæggende, frustrerende og farligt for en virksomhed. Alligevel kæmper de it-sikkerhedsansvarlige ude i virksomheden ofte med at få godkendt de budgetter, der skal til for at kunne bekæmpe de cyberkriminelle, skriver Maxim Frolov fra sikkerhedsfirmaet Kaspersky Lab i denne klumme.

Foto: PR/ Kaspersky Lab

Som mange kun er alt for bevidste om, så går der dårligt en uge imellem, at pressen igen kan fortælle om endnu et databrud eller -læk, der påvirker tusindvis af mennesker.

Tag blot et kig på statistikken. I forrige uge blev den respekterede hotelkæde Marriot Group hacket og hele 500 mio. gæsters personfølsomme data ramt af datalækket. I oktober 2017 oplevede DNA-testfirmaet MyHeritage et databrud, der ramte 92 mio. mennesker. I marts 2018 blev data fra 87 mio. Facebook-brugere delt. Kort efter, i juni, kunne Ticketmaster afsløre, at loginoplysninger, betalingsdata, adresser, navne og telefonnumre på næsten 40.000 mennesker var blevet kompromitteret. Og i september fik hackere adgang til 380.000 transaktioner hos British Airways.

Databrud af enhver størrelse har brutale konsekvenser. Tag bare detailhandelen. Nyere undersøgelser viser, at hele 19 pct. af kunderne helt ville stoppe med at handle hos en onlineforretning, der var blevet hacket. En tredjedel (33 pct.) var enige om, at de som minimum ville holde en pause fra at handle der. Kan du forestille dig at miste 19 pct. af jeres kundebase?

GDPR bringer ikke just pulsen ned, og mange virksomheder frygter da også de store bøder. Det siges, at Cambridge Analytica-skandalen kostede Facebook en bøde på 4,2 mio. kr. Fire pct. af den årlige omsætning er mange penge, for både store og små virksomheder.

Hvad er business casen for et budget?

Konsekvenserne ved et databrud spænder over alt fra farvel til kunder og troværdighed til bøder og økonomiske tab. Et databrud er ødelæggende, frustrerende og farligt for en virksomhed.

Nu skulle man tro, at de it-sikkerhedsansvarlige ude i virksomheden nemt kan retfærdiggøre et højere budget. Sandheden er bare en anden. Vores nye undersøgelse viser, at de it-sikkerhedsansvarlige rent faktisk kæmper for at få godkendt de budgetter, de skal bruge for at kunne bekæmpe de cyberkriminelle. Det er der flere grunde til.

For det første er it-sikkerhedsbudgettet ofte blot en del af det store brede it-budget, hvor der er mere fokus på digital, cloud eller andre it-projekter. For det andet mangler bestyrelsen den viden, der skal til for at forstå it-sikkerhedsproblematikkerne, og hvordan de kan løses. Den mest almindelige årsag til afvisning af en budgetforøgelse er, at de it-sikkerhedsansvarlige ikke kan garantere, at organisation kan undgå et brud.

Fra et forretningsmæssigt synspunkt virker dette ganske fornuftigt, ikke? Når alt kommer til alt, skal ledelsen koncentrere sig om bundlinjen, og hvorfor poste penge i en kamp, der ikke kan vindes? Fornuftig forretningsledelse dikterer, at man kun skal investere, når der er en fornuftig tilbagebetaling.

Det lyder velsagtens kontroversielt for mange, men hos Kaspersky Lab tænker vi, at spørgsmålet: "Kan du garantere, at der ikke sker flere brud?" er det forkerte spørgsmål at stille.

Databrud er uundgåelige

Ni ud af ti af de it-sikkerhedsansvarlige, vi har spurgt, fortæller at databrud er uundgåelige.

Forklaringen er, at de fleste virksomheder er i gang med en digital transformation. Flere end halvdelen af vores respondenter (52 pct.) mener, at denne teknologiske trend får den største indvirkning på it-sikkerheden i deres organisation over de næste fem år. Digital transformation udvider nemlig angrebsfladen på en virksomhed og giver de cyberkriminelle flere muligheder for at finde svagheder, snige sig ind i systemerne og lække eller udnytte data. Cloud adoption, arbejdsstyrkens stigende mobilitet og den øgede brug af digitale kanaler bidrager alle til en øget risiko.

Og dette er ikke det eneste, de it-sikkerhedsansvarlige er oppe imod. Hvad hvis en ondsindet insider - måske en medarbejder – selv vil skade virksomheden, f.eks. ved at hjælpe en ekstern angriber ind gennem bagdøren? Denne form for trussel kan være særlig vanskelig at identificere og forhindre på forhånd. Faktisk er det en af de mest frygtede typer af sikkerhedstrusler blandt it-sikkerhedsfolk, og 29 pct. er enige i, at dette er blandt de største it-sikkerhedsrisici for deres organisation.

Spørgsmål, der fører til den rigtige beslutning

Så længe der er tale om økonomisk motivation, vil en hacker altid veje omkostninger ved et angreb op mod den potentielle gevinst. Pengene vinder altid, og en hacker vil hele tiden finde på nye måder at tjene penge på.

Derfor er spørgsmålet "Kan vi forhindre et angreb?" det forkerte at stille. I stedet skal du spørge: "Er vi i stand til at opdage et angreb, kan vi reagere på det i tilstrækkelig grad, og kan vi reagere hurtigt nok til at minimere skaderne?"

I dag er tankegangen om helt at kunne forhindre angreb forældet. Det bedste forsvar i dag er at gøre et angreb så besværligt, at det ikke er tiden værd. Og endnu vigtigere, så handler det om at sikre virksomhedens perimeter og uden ophold kunne reagere på angrebet. Ethvert forsøg på at forstyrre netværket skal kunne lukkes ned så hurtigt som muligt.

Det gennemsnitlige brud koster en stor virksomhed op til 8 mio kr. Men hvis du træffer de nødvendige foranstaltninger, vil denne pris falde til et minimum eller endda til nul. Lyder det nu som en fornuftig forretningsbeslutning?

Klumme: Er den finansielle regulering klar til blockchain?

Klumme: Ung vildskab skal føre til next practice

Klumme: Digital velfærd i verdensklasse kræver talent, tillid og tango

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger