Testa din verksamhet – innan någon annan gör det
En av de största säkerhetsriskerna är den missuppfattning som många företag har – att ingen skulle vara intresserad av just deras data. Denna inställning skapar en farlig sårbarhet. Cyberattacker sker ständigt, i motsats till traditionella brott som ofta är noggrant planerade. På internet är angriparna alltid aktiva och använder automatiserade verktyg för att söka efter sårbara mål, vare sig det handlar om företag eller privatpersoner.
Om en sårbarhet upptäcks hos ett företag säljs ofta informationen vidare på Darknet. Det är sällan de som upptäcker sårbarheten som genomför själva attacken; istället kan informationen säljas i flera led, och plötsligt står ett företag inför ett omfattande dataintrång. Ransomware-attacker som krypterar och förstör företagsdata är numera ett dagligt fenomen.
Inte bara företag utan även privatpersoner har idag fler uppkopplade enheter, vilket ökar mängden känslig information som potentiellt kan hamna i fel händer. Ju mer vi kopplar upp oss, desto fler vägar skapas för cyberangripare att utnyttja.
Det som hamnar på internet försvinner aldrig – en verklighet som många verkar ha glömt. På Darknet försvinner ingenting, och detta faktum tas sällan med i företagens risk- och konsekvensanalyser. Om en angripare stjäl din information kommer den för alltid att finnas tillgänglig för andra att utnyttja.
Ofta hör man företag fråga: ”Men har den stulna informationen publicerats?”. Det är som att undra om en stulen TV endast är stulen om den säljs vidare. All information som röjts måste hanteras som komprometterad, vilket innebär att lösenord behöver ändras, data krypteras och säkerhetsrutiner ses över. I många fall inser företag inte ens att deras data läckt och cirkulerar på Darknet.
Risk- och konsekvensanalyser grundas ofta på felaktiga antaganden, eftersom företag och privatpersoner inte förstår den faktiska hotbilden, angriparnas metoder eller saknar grundläggande säkerhetskunskaper.
– Företag måste bli bättre på att tänka i värsta möjliga scenarier, istället för att vara så naiva, säger säkerhetsexperten Jonas Axelson. Vad gör vi om det värsta händer? Vad behöver vi ha förberett i förväg? Ett exempel är ett företag som hade toppmoderna och väl uppdaterade servrar – förutom en, och det var genom den som angriparna fick tillgång till hela systemet. Att ha en sprängsäker dörr men lämna förrådsdörren olåst är som att lämna ett öppet mål för angriparna.
”Varför är det alltid vissa personer som råkar illa ut? Är det deras energi, eller sättet de rör sig på?” När det gäller företag är det liknande mekanismer. Det handlar både om hur synliga de är och hur de framställs i media, vilket väcker nyfikenhet och engagemang. Företag som har en hög profil drar till sig uppmärksamhet från angripare som ser möjligheter att gräva djupare i företagets data och hitta sårbarheter. Enligt Jonas Axelson kan dessa angripare välja att hacka företaget för att ”jävlas” eller sälja vidare information och tillgångar för ekonomisk vinning.
Tidigare var det sällan pengar som drev cyberbrottslingar. Många angrepp utfördes av ideologiska eller politiska skäl för att visa att man kunde ta sig in i ett system. Idag är situationen annorlunda – i nio av tio fall är det pengar som är den främsta drivkraften. Som företag vill du naturligtvis framhäva din framgång och ekonomiska styrka, men just detta gör dig också till ett lockande mål för hackare.
Precis som en kock smakar på maten för att säkerställa att den är perfekt, måste företag kontinuerligt testa sin verksamhet för att se till att allt fungerar som det ska. Om du inte gör det själv, kan du vara säker på att någon annan kommer att göra det – och då på sina villkor. Angriparnas tempo är ofta högre än vårt eget försvar, vilket gör det avgörande att genomföra realistiska tester som går utöver vad ett enkelt utvecklingsverktyg kan erbjuda.
– Företag måste lyfta blicken och tänka mer holistiskt, säger Jonas Axelson. Det handlar inte bara om att testa en del av verksamheten eller ett specifikt system – du måste hitta den svagaste länken.
Den snabba utvecklingen av AI och den enorma mängden information som AI genererar gör det svårt att skilja mellan vad som är äkta och vad som är skapat av AI. Detta ställer högre krav på organisationer att utbilda sin personal i säkerhetsfrågor. Människor är ofta den största angreppspunkten, och med AI som kan manipulera både ljud och bild blir riskerna större än någonsin.
Företag kan stärka sitt skydd genom att tidigt involvera säkerhetsspecialister, särskilt vid utvecklingsprojekt, migreringar och installationer av nya system eller verktyg. Det är viktigt att ständigt ställa sig frågan: ”Hur gör vi detta på ett säkert sätt, och hur säkerställer vi att säkerheten upprätthålls över tid?”
För att säkerhetsarbetet ska bli en integrerad del av verksamheten behöver företag införa rutiner och ramverk som främjar kontinuitet och regelbundenhet. När säkerheten blir en naturlig del av arbetet och inte beroende av enskilda personer, blir hela organisationen mer motståndskraftig.
Säkerhet genererar sällan direkta intäkter – det är en investering som kan verka kostsam. Men det är som att investera i en brandsläckare: säkerhetsåtgärder förhindrar potentiellt mycket större kostnader längre fram. Därför är det viktigt att budgetera för säkerhetsarbetet och se det som en nödvändighet för verksamhetens långsiktiga överlevnad.
Som företag är det också viktigt att erkänna att man är ett attraktivt mål för cyberbrottslingar. Genom att vidta omfattande säkerhetsåtgärder och kommunicera detta till både kunder och medarbetare, kan du skapa förtroende och visa att säkerhet är en hög prioritet. Det ger ett mervärde för dina kunder och motiverar medarbetarna att aktivt bidra till säkerhetsarbetet.
Att testa är avgörande! Vi måste regelbundet genomföra realistiska och gradvis mer komplexa övningar. En enkel metod kan vara att gå igenom instruktioner, där olika avdelningar eller funktioner beskriver hur de skulle agera i olika scenarier. Målet med att öva är att vara så förberedd att när en kris väl inträffar, känns det som en lättnad för rutinerna sitter redan.
Ingen enskild funktion eller person kan ha kontroll över allt. Därför är det viktigt att involvera fler medarbetare i säkerhetsövningarna. Dessa tester hjälper oss att upptäcka eventuella brister och skapa rutiner samt reservrutiner för att täcka dem. Tyvärr är det vanligaste problemet att organisationer inte övar alls och istället tvingas hantera säkerhetsincidenter när de redan har inträffat.
När krisen väl inträffar, måste vi redan vara väl förberedda.