vvv
Hem Säkerhet Coop-kraschen understryker behovet av att analysera cybersäkerhet vid investeringar

Coop-kraschen understryker behovet av att analysera cybersäkerhet vid investeringar

Publicerat av: Redaktionen

Analyser av investeringsobjekts cybersäkerhet blir allt viktigare. Och allt krångligare, eftersom det har blivit uppenbart att det inte räcker med att analysera objektet i sig.

Även dess leverantörer måste nagelfaras.

Ett dramatisk intrång nyligen visar det här med all önskvärd tydlighet, skriver Robert Brown, koncernchef för Cyber1.

Om du är en investerare har du säkert koll på att cybersäkerhet har blivit en viktig faktor vid genomlysning, en så kallad ”Due Diligence”, av potentiella investeringsobjekt. Eller för att uttrycka det enkelt, kolla om företag du vill investera i har en väl fungerande cybersäkerhet. Om inte blir din investering riskabel, på grund av risk för försämrad lönsamhet och renommé för investeringsobjektet. I värsta fall kan det gå omkull, på grund av konsekvenser av en attack, och då är investeringen borta. För alltid.

Det här gäller oberoende av vilken typ av investeringar det handlar om: riskkapital, institutionella fonder, företagsförvärv, glada amatörer som satsar på aktieinnehav i enskilda företag, etcetera. Om du försörjer dig på att investera pengar åt andra kan dessutom din egen renommé påverkas på ett negativt sätt om du har investerat i objekt med dålig cybersäkerhet.

Den här typen av analyser är svåra av många orsaker. Till att börja med är cybersäkerhet ett mycket komplext område i sig. Lägg till det att det finns många orsaker för företag, alltså potentiella investeringsobjekt, att inte avslöja hur de sköter sin cybersäkerhet. Sådan öppenhet skulle försämra deras cybersäkerhet, eftersom kriminella skulle få tillgång till information som underlättar deras intrång. Och om ett företag har haft problem är det så klart önskvärt att hålla tyst om det i högsta möjliga grad, för att undvika badwill och försämrad renommé, vilket ytterligare försvårar analyser.

vvv

Robert Brown, koncernchef för Cyber1.

Det som verkligen komplicerar sådana här nödvändiga analyser av investeringsobjekt är att det inte räcker med att genomlysa deras egna verksamheter vad gäller cybersäkerhet. Ett spektakulärt, eller man ska kanske säga katastrofalt, exempel nyligen visar det här med all önskvärd tydlighet.

När Coop enligt uppgift nyligen fick hålla drygt 800 butiker stängda i Sverige på grund av en cyberattack berodde det inte på att Coop hade drabbats av en attack eller slarvat med cybersäkerhet självt. Det var leverantörerna av kassasystem och betalningslösningar som hade drabbats, i skrivande stund oklart exakt hur.

Men vänta lite. Det är självklart Coops, och dess medlemmars, ansvar att köpa in tjänster för betalningar och liknande som är så säkra som möjligt. Även ett företag som köper sådana tjänster måste göra genomlysningar av sina leverantörer. Och deras processer, tekniklösningar, leverantörer, konsulter, etcetera.

Det här börjar bli riktigt jobbigt. För att göra en säkerhetsmässig analys av ett investeringsobjekt räcker det alltså inte med att granska tekniklösningar, strategi och processer hos investeringsobjektet självt.

Även tekniklösningar, strategi och processer hos investeringsobjektets leverantörer av säkerhetsprodukter- och tjänster, säkerhetskonsulter, leverantörer av tjänster och produkter för vilka cybersäkerhet är viktigt (i princip allt som har att göra med IT och/eller kommunikation på något sätt). Och leverantörernas leverantörer, och så vidare i nästan all oändlighet.

Kort sagt det handlar om en komplex struktur av beroenden som det är omöjligt för lekmän att överblicka. Vad göra? Utan att framhäva min egen arbetsgivare på ett överdrivet sätt kan jag konstatera att det behövs experthjälp. Men det räcker inte med att kalla in konsulter som gör analyserna. Det är också viktigt att ha en egen uppfattning om vad som är viktigt att analysera.

Låt oss göra tankeexperimentet att Coop var börsnoterat och att du hade investerat kraftigt i företaget. Eller än värre att det fanns bristande cybersäkerhet gällande Rikets säkerhet…

Vad skulle du i så fall tänka och tycka samt vilka åtgärder skulle du vilja ta?

Av Robert Brown, koncernchef för Cyber1

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>