ITWatch

Klumme: Ingen bæredygtig digital transformation uden stærk cybersikkerhedskultur

Mere teknologi betyder, at cyberkriminelle får flere punkter at angribe samtidig med, at de større datamængder gør, at der er mere at stjæle og afpresse virksomheder og private brugere med, skriver it-sikkerhedsspecialist Jesper Mikkelsen i denne klumme.

Foto: PR/Trend Micro

Digitale teknologier er blevet en uadskillelig del af vores samfund, offentlige instanser og private virksomheder.

Samtidig sker den digitale udvikling så hurtigt, at en virksomhed nemt bliver udkonkurreret, hvis den ikke konstant følger med i den digitale udvikling og give brugerne de teknologier, de forventer.

Men som 2020 har sat en tyk streg under, er det nærmest umuligt at mestre den digitale transformation, hvis cybersikkerheden ikke er dybt integreret i processerne fra begyndelsen.

Utallige gange i løbet af året har vi set, hvordan cybertrusler har bremset projekter, reduceret forretningsværdi og ført til store tab for mange virksomheders økonomi og omdømme.

Men hvorfor er en stærk cybersikkerhedskultur blevet så vigtigt, og hvordan gør man den til en del af sin organisations digitale transformation i fremtiden?

Digitalisering trækker øget risiko med sig

Ser man på "digital transformation" som en branche, forventes det, at markedet vil have en værdi af mere end 462 mia. USD i 2024.

Et voldsomt stort tal, som bunder i, at virksomheder og organisationer over hele verden konstant søger efter nye måder, som kan forbedre produktiviteten, strømline de interne processer og imødekomme kundernes konstant skiftende behov på en fleksibel og innovation facon.

Løsningerne skal komme fra teknologier som SaaS (Software as a Service), IoT (Internet of Things), mikroservices og serverløs arkitektur.

Digitale transformationsprocesser begynder og slutter med clouden. Det er her, man finder de fleksible teknologier, besparelserne og skalerbarheden.

Men efterhånden som cloudteknologierne bliver mere indarbejdede, ser vi også, at virksomheder og organisationer begynder at investere i flere forskellige cloudløsninger fra forskellige udbydere. En udvikling, der gør cloudmiljøerne mere komplekse og dermed også mindre sikre.

Samtidig ser vi en udvikling, hvor smarte, trådløse devices med internetadgang bliver en del af både fabrikker, hospitaler og fly. Ifølge IDC vil der i 2025 være næsten 42 mia. af den type devices, som tilsammen vil generere 79.4 ZB data.

Desværre begynder sikkerhedsproblemet på den front først nu at gå op for politikerne: Der findes ingen minimumskrav til cybersikkerheden i den type af devices. Så det er op til den enkelte køber at se sig godt for.

Det betyder, at der følger en øget risiko med, når vi i stadig højere grad og tempo gør clouden og de trådløse internetdevices til en større del af vores liv og arbejde.

Mere teknologi betyder nemlig, at de cyberkriminelle får mere at angribe samtidig med, at de større datamængder gør, at der er mere at stjæle og afpresse virksomheder og private brugere med.

Trusselbilledet bredes ud

Mens mulighederne for cyberangreb stiger, ser vi også, at hackernes evner til at udrette skade stiger. Det estimeres, at cyberkriminalitet årligt genererer 1,5 billioner USD.

Undergrundsmarkedspladserne giver de kriminelle gode betingelser for at handle med ondsindet software, stjålne data, hackerværktøjer og viden. Kriminelle uden tekniske indsigt har også fået mulighed for at købe pakker med automatiske hackerværktøjer, de kan bruge til at angribe fx virksomheders cloudsystemer med, hvis blot de kan bruge en mus.

Resultatet er, at antallet af cybertrusler er større end nogensinde. Men mere bekymrende er det, at et stadig større antal cyberangreb aldrig bliver opdagede, fordi angrebene er blevet mere sofistikerede.

Bag angrebene gemmer sig en ubehagelig konsekvens for mange virksomheder. Ifølge IBM koster en datatabssag næsten 3,9 mio. USD i gennemsnit per organisation, og tallet er stigende.

Hvis organisationen mister 1-10 millioner dataposter, vurderes det, at den gennemsnitlige omkostning er 50 mio. USD på globalt plan, mens tab af mere end 50 mio. dataposter fører til en gennemsnitlig omkostning på svimlende 392 mio. USD. Dertil kommer risikoen for driftstop, fald i aktiekurs, GDPR-bøder, retssager og skader på omdømmet.

Taler vi om angreb på sundhedsvæsenet, kan konsekvensen af et cyberangreb tilmed være tab af menneskeliv, hvilket vi desværre så på et tysk hospital, der blev ramt af et ransomwareangreb.

Problemet med mennesker

Det er de spektakulære hackersager, der stjæler overskrifterne, men sandheden om sikkerhedsbrister er ofte mere triviel. Det handler grundlæggende om menneskelige fejl.

Ifølge tal fra Verizon var menneskelige fejl en medvirkende årsag i næsten hver fjerde (22 pct.) af alle sager om datatab sidste år. Og ifølge en rundspørge udført af firmaet Check Point blandt professionelle it-folk bliver konfigurationsfejl udnævnt til den største sikkerhedstrussel inden for cloud computing.

Hos Trend Micro registrerer vi hele 230 mio. af den type fejl hver dag. Ofte handler det om, at ansvarsfordelingen mellem cloududbyderen og kunden ikke er tydelig nok. I det lys er cybersikkerhed en menneskelig udfordring.

Phishing er blevet den største indgang til hacking i løbet af de seneste år, fordi teknikken er rettet imod det svageste led i organisationen: de ansatte. Udfordringen bliver ofte større af, at folk i stigende grad arbejder hjemme eller uden for kontoret. Det har medført, at de ansatte benytter computere og andre devices, som ikke er tilstrækkeligt sikre.

Er ressourcerne i it-afdelingen knappe, bliver kræfterne typisk brugt på at understøtte den digitale transformation og daglige drift og ikke på cybersikkerhed ved f.eks. at sikre, at brugerne kan forbinde sikkert til de korrekte cloudtjenester. Men hvis man glemmer sikkerheden, slår den digitale transformation ofte fejl.

Ifølge en undersøgelse fra virksomheden Tanium har 93 pct. af alle it-ledere i verden presset på for at understøtte, at medarbejderne kan arbejde hjemme, på bekostning af sikkerheden. På den måde risikerer man at oparbejde fremtidige problemer, fordi man eksempelvis ikke afsætter ressourcer til, at medarbejdernes computere får installeret de seneste sikkerhedsopdateringer.

Hvad med fremtiden?

Den eneste bæredygtige måde at imødegå de mange sikkerhedsudfordringer er den klassiske blanding af mennesker, processer og teknologi. Organisationens ansatte har brug for stort set konstant træning og uddannelse for holde trit med de seneste phishingtrusler og best practice inden for datahåndtering.

Den opgave behøver hverken at være vanskelig eller tidskrævende. Der findes mange værktøjer, som kan hjælpe brugeren med at ændre adfærd ved at gennemføre korte simulationsøvelser med hyppige mellemrum.

Og glem ikke it-teamet: Mangelfuld viden om cybersikkerhed er en kritisk trussel for samtlige medarbejdere og kan være årsagen til, at der sker så mange konfigurationsfejl af cloudtjenester. Hvis din virksomhed har svært ved at finde kvalificerede it-folk, kan det være en ide at søge bredere efter egnede kandidater, fx uden for jeres egen branche.

Hjemmearbejde betyder, at mange organisationer vil være nødt til at forny deres sikkerhedspolitikker og kommunikere dem klart og effektivt. Hvis man forventer, at medarbejder aldrig må anvende deres egne mobiler, tablets eller laptops til arbejde, skal man sørge for at formidle det og samtidig fortælle, hvad konsekvenserne af at gøre det kan være.

Der findes software, som kan hjælper med at skabe overblik over og kontrol med organisationens computere. Derudover vil det være en hjælp at konsolidere sine sikkerhedsservices hos nogle få leverandører, som bruger automatisering og kunstig intelligens til at registrere, filtrere og håndtere de mange daglige trusler.

Men det er kun begyndelsen, hvis man vil skabe en stærk cybersikkerhedskultur, som kan sikre en bæredygtig digital transformation i fremtiden. Enhver organisation er nødt til at indse, at fremtidens digitale transformation indebærer, at cybersikkerhedsrisikoen skal håndteres konstant og løbende, og at alle medarbejdere skal tage ansvar for at tænke cybersikkerhed ind i alle processer.

Klumme: 2021 kommer til at udfordre virksomheders it-sikkerhed som aldrig før

Klumme: Data skal håndteres sikkert – også uden for datacentrets fire vægge

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger