Digitaliserade företag får en klar konkurrensfördel. Men se till att ligga steget före ur ett säkerhetsperspektiv. Solutions berättar hur du gör för att lyckas.
Allt fler delar av Sveriges företag digitaliseras, och systemen kopplas upp mot internet. Digitaliseringen skapar nya affärsmöjligheter och effektiviseringar men företagen blir sårbara för cyberhot. Mer än hälften av företagen utsattes för ransomware- eller filkrypteringsattacker under 2016. Och bedragarna finner även säkerhetshål i mobila enheter, molntjänster och sakernas internet (IOT), enligt säkerhetsföretaget Checkpoint.
– Små och mellanstora företag är särskilt utsatta när de digitaliserar sig, framför allt underleverantörer. Dels är de inte lika skyddade som storföretagen, dels är det för att bedragarna utnyttjar kortare beslutsvägar hos mindre företag för att kunna få utpressningspengar, säger Fredrik Johansson, gruppledare för Checkpoints säkerhetsexperter.
Ransomware-attacker allt vanligare
Det finns olika sorters skadlig kod, så kallad malware, som planteras i digitaliserade system.
– En negativ trend är ransomware där bedragarna över nätet krypterar allt större infrastrukturer och kräver en lösensumma för att låsa upp systemen. Det är allt från stora e-handelssajter till IOT-nätverk, säger Fredrik Johansson.
Andra exempel är att kapa datorer för att sprida skräpmejl, eller införa skadlig kod som övervakar datorer och stjäl tusentals lösenord och kontokortsnummer. Parallellt pågår DDOS, det vill säga överbelastningsattacker.
Skolverkets dokumentserver krypterades
Ett exempel på ransomware inträffade i november 2016. Den skadliga koden öppnade tunnelbanespärrar i San Francisco. Samtidigt lyckades bedragarna stänga av biljettautomater i systemet som de krävde 73 000 dollar för att återställa. Några IT-specialister lyckades åtgärda problemet utan att någon lösensumma betalades.
Ett svenskt exempel är Skolverket som fick sin dokumentserver med 20 miljoner filer krypterade. Bedragarna krävde lösensumma för att låsa upp filerna. Under en veckas tid kom myndighetens anställda inte åt dokumenten som återställdes genom en omfattande backup.
Överbelastningsattacker ökade med 125 procent
Få vill skylta med att de betalar lösensummor. De enda rapporterade siffrorna Solutions tagit del av är från FBI och rör första kvartalet 2016. Då betalade verksamheter i USA 209 miljoner dollar, jämfört med 24 miljoner dollar samma period året dessförinnan. Överbelastningsattacker ökade globalt med 125 procent under första kvartalet 2016, jämfört med samma kvartal 2015, enligt Akamai, som har ett enormt distributionsnätverk för internettrafik.
Under slutet av 2015 blev återkommande attacker normen, och detta fortsatte under första kvartalet 2016. I snitt utsattes då verksamheter för 39 attacker – men några hade det extra tufft, värst var det för ett företag som utsattes för 283 attacker första kvartalet förra året. I snitt tre attacker dagligen, med andra ord.
Många utsatta företag betalar lösensummorna, men det är inget som kommuniceras utåt.
Nya och högre krav på säkerhetsarbetet
– Företag som digitaliserar sig uppnår en klar konkurrensfördel. De kan till exempel möta sina kunder med nya erbjudanden och i andra sammanhang. Andra exempel är att snabbare kunna ställa om eller samla in och analysera data, säger Olle Segerdahl, säkerhetskonsult vid F-secure.
Men digitalisering ställer nya och högre krav på säkerhetsarbetet. Därför ska säkerhet, enligt Olle Segerdahl, införas mycket tidigt i digitaliseringsprojekten och vara lika högt prioriterat som till exempel tillgänglighet.
Steg ett är att se över verksamheten, menar han. Ta reda på vilka digitala system som verksamheten behöver. Vad finns det för information och hur ska den säkerhetsklassas och skyddas? Därefter ska du kontrollera bristerna, både tekniska brister och de som kan uppstå på grund av den mänskliga faktorn. Kan eller ska systemen nås via internet, och vilka blir följderna om något händer?
– Slutligen gör du en åtgärdsplan för att rätta till de brister som har identifierats. Sök efter den vassaste säkerhetskompetensen, internt eller externt, säger Olle Segerdahl.
Ställ krav på molnleverantörer
Orsaken till att digitalisering ställer högre krav på säkerheten beror bland annat på att fler system kopplas mot internet, både interna och externa. En annan orsak är att fler system ska integreras, ofta med andra realtidstjänster från olika aktörer.
– Det händer att bedragare lyckas köpa kapitalvaror på en e-handelsajt för att integrationen mot den externa identitetstjänsten i e-handelssajten inte var tillräckligt säker, berättar Olle Segerdahl.
Även molnleverantörer ska sättas under lupp, menar Fredrik Johansson:
– Ett företag är alltid ansvarigt för sina kunders data, som personuppgifter, oavsett om datan finns i den egna datorhallen eller i molnet. Se till att molnleverantören har detaljerade sekretessavtal, och är tydlig med vem som har åtkomst till data och var data lagras, säger han.
A och O med backuper
Han framhåller att även små och medelstora bolag kan nå långt genom att ligga steget före.
– Se till att dina uppgraderingar i ett system om möjligt sker i realtid. Därtill måste IT-utrustningars fabriksinställda lösenord genast bytas för att bli säkrare.
Och alla produkter eller applikationer som kopplas in i ett system som nås över internet måste kunna uppgraderas. I annat fall ökar risken för intrång markant.
Om IT-driften finns i huset är det A och O med backuper.
– Förvisso tar de flesta backuper men testar inte om data verkligen kan läsas tillbaka. Ibland får man inte tillbaka all data för att systemen under tiden har förändrats mycket. Brister i backuper är förödande om företaget utsätts för till exempel ransomware, säger Fredrik Johansson.
Den digitala satsningen en säkerhetsprocess
En digital säkerhetsstrategi för IT är inte bara teknik. Se satsningen som en säkerhetsprocess. Alla system behöver inte integreras. Till exempel kan ett nytt digitalt fjärrstyrt låssystem till företagens dörrar införas fristående från andra system. Däremot måste det i processen finnas rutiner för att uppdatera mjukvaran i låsen om säkerhetshål upptäcks i dem.
– Utse säkerhetsansvariga som har full koll på hur systemen löpande ska uppgraderas. Dra nytta av e-verktyg som identifierar och åtgärdar kända säkerhetsrisker på alla dina plattformar och applikationer, säger Olle Segerdahl.
Läs mer om de senaste trenderna inom IT-säkerhet
GDPR ersätter PUL
Lägg EUs dataskyddslag General Data Protection Regulation, GDPR, på minnet. I Sverige ersätter den från 25 maj 2018 Personuppgiftslagen, PUL. GDPR skärper regelverket för hur organisationer inom EU får samla in, ge tillgång till, lagra och hantera personuppgifter. Och om en verksamhet drabbats av en IT-incident måste den anmälas inom 72 timmar. Den som inte efterlever kraven i lagen kan bötfällas på 4 procent av den globala omsättningen, eller maximalt 20 miljoner euro.
Skadlig kod ökar lavinartat
Varje månad under 2016 har Checkpoints forskare identifierat knappt 12 miljoner nya varianter av skadlig kod i världen. Under de senaste två åren har fler skadliga program lanserats än under de föregående 29 åren tillsammans.
Risker med IOT
Sakernas internet (IOT) innebär att maskiner, fordon, gods och hushållsapparater förses med inbyggda sensorer och datorer.
Enligt informationssäkerhetsexperten Fia Ewald riskerar många IOT-system att sluta fungera under en längre tid, i samband med cyberattacker. Detta för att många försummar kontinuitetshantering – förmågan att hantera oväntade händelser.
Inte mer behörighet än nödvändigt
Som säkerhetsansvarig ska du inte ge någon mer behörighet till ett system än vad som krävs för att utföra ett arbete. Det gäller både egna anställda och externa konsulter. Vidare kan säkerhetsprocessen bestå av löpande utbildning, en levande säkerhetspolicy och fastställda säkerhetsmöten.
Ta hjälp med säkerhetsarbetet
Många små och medelstora företag har helt eller delvis klivit in i molnet. Och när fler rutiner och processer ska digitaliseras är det naturliga steget att köpa tjänster kring IT-säkerhet.
– För små och medelstora företag blir det allt svårare att ha lika hög IT-säkerhetskompetens och resurser som ett externt företag. Därtill blir det oerhört dyrt för kundföretaget att själva investera i de senaste säkerhetsrelaterade programmen och produkterna, säger Fredrik Dahlgren på Commsec, som är en del av Dustin Group.
Även om molntjänsterna i mångt och mycket är enkla att köra igång med är det A och O att kunderna gör en gedigen förstudie om de specifika säkerhetsbehoven.
– Annars är risken stor att kunderna betalar för mer säkerhet än de behöver, eller får för lite säkerhet när de digitaliserar sig, säger Fredrik Dahlgren.
För att ta fram en bra förstudie kan mindre företag dra nytta av ramverk och guidelines medan de större företagen bör anlita en extern säkerhetskonsult, menar han. När säkerheten finns som tjänst är det också viktigt att företagets personal följer en säkerhetspolicy som också måste finnas på plats.
Snabba fakta
900 % ökning av incidenter med okänd skadlig kod
75 % av alla verksamheter har erfarit bot-infektioner
88 % av alla verksamheter har drabbats av dataförluster
89 % av alla verksamheter har laddat ner skadliga filer
94 % av alla verksamheter har använt åtminstone en högriskapplikation
- Var trettioandra minut skickas känslig data ut från organisationen
- Var fjärde minut används en högriskprogramvara
- Var trettionde sekund utövas en hotsimulering
- Var femte sekund besöks en skadlig webbsida
- Var fjärde sekund laddas okänd skadlig kod ner
Källa: Check Point 2016 Security Report
Text: Johan Cooke
Illustrationer: Valero Doval