Hur står det till med IT-säkerheten i större nordiska företag? På många håll dåligt. Hälften av alla storföretagen i Norden saknar skydd mot informationsläckor och digitala attacker. Varför är det så? Och vad behöver göras?
Sverige är ett av världens mest digitalt mogna länder, men ligger trots det efter när det gäller IT-säkerhet. En viktig orsak är att hoten fortsätter att öka samtidigt som de större företagens verksamhet digitaliseras i en allt snabbare takt. Det anser Anne-Marie Eklund Löwinder, säkerhetschef för Internetstiftelsen i Sverige.
En undersökning gjord av konsultföretaget PWC bland 9 500 företag runtom i världen ger en lägesbild: Nästan vartannat företag saknar en övergripande plan för IT-säkerhet och 48 procent av de tillfrågade uppgav att de saknar utbildningsprogram i säkerhetsfrågor för medarbetarna. Hela 54 procent uppgav att de saknar processer för hantering av incidenter.
– Allt för många företag saknar en strategi för sin IT-säkerhet, säger Anne-Marie Eklund Löwinder.
En viktig orsak är att IT-säkerhetsfrågor sällan hamnar på ledningsnivå, menar hon.
– IT-säkerheten på företag i Norden varierar. Vissa har en väl utbyggd IT-säkerhet medan många företag ligger långt efter. Problemet är ofta att säkerheten betraktas som en ren IT-fråga som styrelserna inte är delaktiga i. Vissa företag förstår inte att det krävs en strategi från högsta ledning för att IT-säkerheten ska genomsyra hela organisationen.
I stora företag med många system kan IT-säkerhetsarbetet bli extra utmanande.
– Många större företag har svårt att ha full kontroll över allt som är skyddsvärt i verksamheten eftersom de har komplexa miljöer med fler inblandade, ibland från olika jurisdiktioner.
Pigga på ny teknik – mindre intresserade av säkerhet
Anne-Marie Eklund Löwinder pekar även på att den snabba teknikutvecklingen är en viktig orsak till säkerhetsbristerna i de stora företagen.
– Ju mer beroende vi blir av IT-tjänster, desto mer komplicerat blir det att hålla reda på alla uppdateringar, inloggningsuppgifter, regler och principer. Vi är också gärna ute på sociala medier – men vi verkar vara mindre intresserade av att skydda oss mot skadlig kod eller attacker. Faktum är att det är lättare att göra misstag än vad vi tror.
– Vi är klåfingriga och vill gärna klicka på länkar och dela texter och tips, utan att veta om de leder till skadlig kod. Det är lätt att få in en skadlig kod som läser av tangenttryckningar eller gör din enhet till en del i ett botnet.
Sätt personalen i skolbänken
Jonas Lejon är IT-säkerhetsexpert med ett förflutet på FRA och Försvarsmakten och driver bland annat sajten kryptera.se. Han menar att vi bör ställa in oss på att "cyberbusarna" tar sig in i större företags system, oavsett hur mycket vi skyddar oss. Hoten mot större IT-miljöer är i dag så många att det är svårt att försvara sig mot dem alla på en gång. Istället måste större företag och myndigheter bli bättre på att klassificera och prioritera sina data.
– Vi brukar säga att företagen borde veta vilken data som kan vara tillgänglig via nätet och vilken data som har ett finansiellt värde eller innehåller värdefull information och som bör vara avgränsad från nätet. Tillsammans bör man titta på hur den informationen ska skyddas på bästa sätt. Företagen måste bli bättre på att veta var den mest känsliga affärsdatan finns och hur den skyddas. Sedan ha koll på vem som kommer åt vilka system.
Han håller med om vikten av kontinuerlig utbildning i säkerhetsfrågor bland personalen i större företag.
– IT-säkerhet är inte svårt, men det kräver ett visst mått av engagemang och arbetsinsats av flera. Det är inte bara något IT-avdelningen eller någon eldsjäl ska syssla med, utan företagen borde ständigt fortbilda sin personal kring säkerhet och vad de ska och inte göra.
De största IT-hoten mot stora företag
Ransomware
Är ett snabbt växande hot som innebär att användaren luras att installera skadlig kod på datorn eller mobiltelefonen, sedan krypterar programmet allt den kommer åt. Därefter får användaren ett meddelande på skärmen: betala en lösensumma om du vill ha tillbaka filerna.
Vd-mejl (CEO/CFO fraud)
Det innebär att någon ger sig ut för att vara en chef på ett företag, och använder sedan denna som referens i ett mejl till ekonomiavdelningen där det står att en utbetalning ska ske till det och detta konto.
Sabotageattacker
Syftet med attackerna är att helt förstöra information, inklusive säkerhetssystem och backuper, vilket i praktiken gör det omöjligt för ett företag att få tillbaka sin information. Ser till ytan ut som ett så kallad ransomware-program, men är egentligen konstruerade på så sätt att det inte ska gå att få tillbaka sin data.
Phishing-attacker
Förövarna försöker använda sig av namn inom verksamheten för att göra det svårt att skilja ett riktigt mejl från ett farligt mejl, så att sannolikheten ökar att våra medarbetare klickar på farliga länkar eller öppnar farliga bilagor.
Jonas Leijons 3 tips för företagets IT-säkerhet
- Se till att uppdatera gammal programvara eller äldre versioner av applikationer i mobiler, surfplattor eller datorer.
- Engångslösenord är en bra lösning. Jag använder mig av MFA, en multifaktorautentisering som är ett bra skydd mot att obehöriga kommer över lösenorden.
- Vid upphandling eller införskaffning av ett system eller produkt och ställa krav på säkerhet samt att leverantören har processer för patch management, incident management och säker utveckling. Låt ett oberoende företag göra ett sårbarhetstest för att kolla att dessa funktioner finns med.
Anne-Marie Eklund Löwinders råd till storföretag och dess personal
- Ha olika lösenord till olika konton. Byt ofta.
- Klicka inte på länkar i mejl utan att reflektera över vem avsändaren är och varför du har fått detta mejl.
- Dela inte saker rakt av som man ser på sociala medier. Använd sunt förnuft och källkritik när det handlar om saker som fake news och annat.
- Som företag gäller det att inte bara ha en säkerhetslösning, utan sikta på att ha flera lager av skydd - gärna begränsa behörigheter i systemet och segmentera nätverk för att kunna begränsa skadan i fall det händer en olycka.
Läs mer om Dustins kompetens för storföretag
Missa inte guiden: Datasäkerhet och dataintrång