<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Refleksjoner om PwCs Cybercrime Survey - Cybertrusler mot dataintegritet er en økende bekymring

Av Jan Henrik Schou Straumsheim , 8. november 2017

Cyberundersøkelse.jpg

Du ser det stadig vekk i media: omfattende datainnbrudd stjeler spalteplass og skaper frykt og usikkerhet. Til tross for oppmerksomheten disse hendelsene skaper, strever mange virksomheter med å forstå og håndtere risikoen i det digitale rom. Kompleksiteten i systemene virksomheten er avhengig av øker, og det stilles stadig høyere krav til robusthet for å håndtere uønskede hendelser.

Foreløpig er vi ikke kjent med at virusutbrudd eller regelrette cyberangrep har resultert i tap av menneskeliv. Kun i få tilfeller har de resultert i fysisk skade. Dette kan endre seg.

I senere tid har vi vært vitne til flere destruktive angrep utført av ressurssterke aktører med geopolitiske mål. Omfattende angrep mot kraftforsyningen i Ukraina førte eksempelvis til at 230.000 innbyggere mistet strømmen. Det samme angrepet lammet også landets telefonsystemer, noe som førte til at feilrettingen tok lengre tid enn planlagt. Senest i sommer ble virksomheter verden rundt lammet av såkalte løsepengevirus. Sistnevnte eksempel ble muliggjort av hackerverktøy som ble lekket etter innbrudd hos den amerikanske etterretningstjenesten National Security Agency (NSA). Kapasiteter som inntil nylig har vært forbeholdt et begrenset antall fremmede stater tas stadig oftere i bruk av kriminelle så vel som aktivister.

Flere er mer bekymret - og det har de grunn til å være

I forrige uke publiserte PwC sin undersøkelse om cyberkriminalitet mot norske og danske virksomheter. 61% av respondentene sier de er mer bekymret for cybertrusler nå enn det de var for 12 måneder siden. Frykten er ikke ubegrunnet: enkelte virksomheter har opplevd omfattende økonomiske tap som direkte resultat av uønskede handlinger. Samtidig tror vi ingen er tjent med forestillinger om at et slags “cyber-armageddon” er rett rundt hjørnet, ei heller motargumentet “ryktet om cyber er sterkt overdrevet”. Jeg mener derimot det er behov for en debatt om hvordan offentlig og privat sektor bør forberede seg på det uventede.

Ifølge World Economic Forum (WEF) er den økende graden av gjensidig avhengighet mellom IT-infrastruktur og nettverk en vesentlig utfordring. Cyberangrep eller feilsituasjoner kan potensielt føre til systemisk svikt og påvirke samfunnet på hittil uante måter. Norske etterretnings- og sikkerhetstjenester har i de senere år oppfordret til å ta utfordringen på alvor. Likevel opplever vi en tilsynelatende økning i datalekkasjer, innbrudd og driftsforstyrrelser. Hvem har egentlig ansvaret? Respondentene i vår undersøkelse rangerer organisert kriminalitet og ansattes ubevisste handlinger som den mest bekymringsverdige kombinasjonen. Det er ikke uventet: de fleste uønskede hendelser starter nettopp med en intetanende ansatt som åpner en lenke eller et vedlegg i en epost. Svindelmetoder som utnytter folks tillit lar seg sjelden stoppe av teknologi alene, dessverre.

Samtidig sier kun en fjerdedel av respondentene at de har tilstrekkelig tilgang til cybersikkerhetskompetanse som kan bidra til å håndtere utfordringene. Riktig kompetanse koster, og PwC erfarer at etterspørselen per tid er større enn tilbudet. Denne kompetansebristen krever at man må tenke utenfor boksen. Fremtidens vinnere vil sannsynligvis være de som lykkes å investere i infrastrukturen, kunnskapen og relasjonene som gjør de robuste for økonomiske, samfunnsmessige og klimamessige trusler, og trusler i det digitale rom. Hvordan bør da norske virksomheter forberede seg?

Resultatene fra undersøkelsen vår foreslår noen svar:

Ledelsen må vise vei, og styret må engasjeres

I næringslivet må de som driver forretningen fremover også holdes til ansvar for risikoene de velger å akseptere. Styret må utøve effektiv kontroll og proaktiv risikostyring. Drøyt halvparten av våre respondenter sier at ledelsen får informasjon om cybertrusler kvartalsvis eller oftere. Samtidig mener kun 38% at ledelsen har nødvendig fokus på å redusere virksomhetens cyberrisiko, og at det er utfordrende å vurdere hvilke tiltak som bør prioriteres. For å imøtekomme denne utfordringen mener PwC at virksomheter i første omgang må forstå truslene de står overfor, og kartlegge hvilke kronjuveler som må beskyttes til enhver pris. Dersom disse rammefaktorene ikke er på plass vil ikke virksomheten lykkes med å utvikle en effektiv risikostyringskultur.

Robusthet er en vekstmulighet

Etterhvert som flere virksomheter utkontrakterer IT-infrastruktur til tjenesteleverandører oppstår det nye behov for stresstesting: I hvilken grad er virksomheten i stand til å håndtere feil hos leverandører man er avhengig av? For å sette det på spissen: hvor mye koster det virksomheten per døgn dersom ERP-systemet er ute av drift? Hvor lenge kan man klare seg uten det? Slike spørsmål handler ikke bare om å redusere potensielle tap. Motstandsdyktige virksomheter vil enklere kunne realisere økonomiske gevinster på lang sikt. For eksempel kan virksomheter med velprøvde krise- og kontinuitetsplaner raskere kunne gjenoppta normal drift sammenliknet med sine konkurrenter, og på denne måten potensielt kunne kapre nye markedsandeler.

Vurder risikoer som involverer manipulering og destruksjon av data

Cybersikkerhetseksperter bryter ofte ned problemstillinger i dimensjonene konfidensialitet, integritet og tilgjengelighet. Konfidensialitet - sikkerheten for at kun autoriserte personer skal ha tilgang - har lenge vært den viktigste. Dette vil sannsynligvis ikke være tilfellet på sikt. Destruktive angrep og datamanipulering medfører at det å sikre dataintegritet stadig blir viktigere. Den amerikanske finanssektorens Sheltered Harbor-initiativ kan gi inspirasjon til hvordan andre bransjer bør tilnærme seg denne risikoen. I korte trekk har initiativet - som nærmest kan sammenliknes med Svalbards Globale frøhvelv - utviklet standarder som hjelper banker med å gjenopprette data i etterkant av en omfattende cyberhendelse.

Invester i kompetanse

For mange virksomheter er det utfordrende å tiltrekke seg og beholde riktig kompetanse. Det våre amerikanske kolleger omtaler som “the cyber security skills shortage” vil sannsynligvis ikke forsvinne på hverken kort eller mellomlang sikt. I et arbeidsmarked hvor talentene stiller høye krav vil få virksomheter lykkes med å bygge hele laget med faste ansettelser. Aktører med større budsjett og subjektivt sett mer interessante arbeidsoppgaver vil tiltrekke seg de fleste talentene. For andre koster det for mye å vedlikeholde kompetansen internt i virksomheten over tid. Smart bruk av markedet vil dermed stå igjen som løsningen for mange. Virksomheter bør i tillegg vurdere hvilke muligheter man har til å rekruttere fra egne rekker for deretter å tilføre kompetansen som trengs for å lykkes.

Avslutningsvis burde det ikke overraske noen at virksomheter blir utsatt for cyberkriminalitet. Hvordan virksomhetene vi har undersøkt forbereder seg på en usikker fremtid varierer derimot.

Les hele rapporten her og ta gjerne kontakt med oss om du ønsker bistand til å håndtere sikkerhetsutfordringer i din virksomhet, eller om du vil ha en god prat om cybersikkerhet, personvern, eller digitalisering!

Interesseområder: Informasjonssikkerhet

Dele artikkelen:

Jan Henrik Schou Straumsheim

Jan Henrik Schou Straumsheim
Jeg heter Jan Henrik Schou Straumsheim, og jobber som rådgiver innen cybersikkerhet og IT-risko i PwC. Jeg har arbeidet i PwC siden 2016, og har tidligere erfaring som sikkerhetsrådgiver i Mnemonic og offiser i Forsvaret. Mine faglige interesseområder er digitalisering, sikkerhet og personvern. Har du synspunkter, innspill, kommentarer eller spørsmål ønsker jeg å høre fra deg!
jan.straumsheim@pwc.com

Kommentere