29, juni 2017
Hur ser egentligen näringslivet på cyberangrepp och hur kan man agera mer proaktivt mot attacker som Petya och Wannacry?
I efterdyningarna av Wannacry-attacken sveper en ny cyberattack över världen baserat på Petya Ransomware. Organisationer verkar bevisligen ha svårt att motstå dessa attacker. Det faktum att de återkommer gång på gång är ett tecken på att proaktiva åtgärder helt enkelt inte gjorts.
Det är hög tid att cybersäkerhet kommer högre upp på agendan, både inom privat som offentlig sektor. Det är naturligt att ställa sig frågan hur man ser på cybersäkerhet inom näringslivet.
Styrelsemedlemmar uppenbart obrydda av cyberhot
Harvard Business Review rapporterade i våras att styrelsemedlemmar inom näringslivet anser att cybersäkerhet är en kritisk politisk fråga.
Tittar man däremot på hur oroade de är vad gäller den egna organisationens cybersäkerhet, uttryckte enbart 38% av de tillfrågade styrelsemedlemmar en stark eller mycket stark oro. 34% angav samtidigt att organisationen var redo att hantera risker kopplade till cybersäkerhet.[1]
Risker som rör företagets rykte samt regulatoriska frågor ansågs ha en betydligt större betydelse, samtidigt som enbart 8% av tillfrågade styrelsemedlemmar ansåg att cybersäkerhet var en strategisk risk för bolaget.
Sammanfattningsvis, styrelsemedlemmar ser alltså cybersäkerhet som en politisk risk, men inte som en strategisk risk för den egna organisationen?
Kan det vara denna möjligen naiva inställning från näringslivets toppar som påverkar deras investeringsvilja?
Palo Alto rapporterar att vektor (angreppsväg) för den senaste Petya-attacken är okänd, men för tidigare attacker baserat på Petya och Wannacry har e-post varit en vektor för den skadliga mjukvaran.[2]
Så vad är lösningen?
För att komma till bukt med detta måste bolag börja använda en kombination av organisationsstyrning, utbildning och teknik:
- Utbilda personalen och öka medvetenheten kring cybersäkerhet och digitala risker.
- Gör cybersäkerhet till en fråga för styrelse och ledningsgrupp.
- Gör proaktiva åtgärder för att täppa igen de säkerhetsluckor där skadlig mjukvara kommer in, t.ex. hos e-post och webbsidor.