Ekonomin som styr cybersäkerhet – gynnar den de som attackerar?

(KRÖNIKA) Det är rimligt att hävda att cybersäkerhetens ekonomi i stort sett gynnar de som attackerar. För de som planerar attacker har det enkelt. Ett forum som exempelvis Darkode, där kriminella kunde hitta verktyg och teknisk support som krävs för att organisera och genomföra en attack, kan användas för att snabbt komma igång. Att just detta forum tagits ned blev knappt ens en tillfällig lättnad. En enkel sökning på nätet ger snabbt tillgång till de verktyg som behövs.

Anders Teigen
Anders Teigen, Nordenchef på Palo Alto Networks

För de som försöker hindra attacker är det desto svårare. När man som jag arbetar med säkerhetsfrågor så handlar mycket om att se till att de som vill genomföra en attack med hjälp av de här verktygen ska behöva spendera mycket tid och resurser för att nå sina mål.

Många organisationer försöker för att vinna kampen mot hackare använda en mer integrerad approach till säkerhet. De ökar budgeten för ny teknik, och försöker öka skyddets effektivitet genom att hjälpa medarbetare till bättre förståelse, och arbetar även mycket med policy. Detta innebär dock mycket arbete.

Den uppenbara frågan blir: Hur mycket behöver jag egentligen spendera på säkerhet för att risken ska vara tillräckligt liten att det händer något – och är det ens värt besväret? För att svara på den här frågan måste man bedöma vad skadan kan bli och hur stor risken att man råkar ut för en cyberattack är.

World Economic Forum släppte tidigare i år en preliminär rapport där man försäker bygga upp ett ramverk för att beräkna risker och effekter i fråga om cyberattacker. Det är långt ifrån ett färdigt system, men det är en intressant början. Utgångspunkten är finansbranschens metoder för att räkna på risker. Där är man van att räkna på risker i förhållande till vinster.

Det finns tre aspekter att ta med i beräkningen: Sårbarhet, tillgångar och attackprofilen. Om man börjar med den sista punkten, attackprofilen, så finns det förutom rent kriminella attacker även kategorier som terrorism, spioneri och krig att tänka på. De senare båda har stater som sitt ursprung, och är därmed ofta mer sofistikerade och har en högre budget. Det gör också att deras attacker enkelt tränger in i organisationer som är dåligt förberedda.

Tillgångar som ett företag har handlar ofta om IP, integritetsrisker, risker för varumärket, hot mot infrastruktur och produktion som stör företagets verksamhet. Den ekonomiska effekten av en cyberattack, liksom risken att en organisation utsätts för en attack, hänger ihop med de här tillgångarna.

Problemet är att räkna ut exakt hur mycket tillgångar som hotas och vad de faktiskt är värda. En bra utgångspunkt för beräkningen är att undersöka de exempel som finns från verkligheten, som Sony och Target.

Sårbarheterna som nämns i modellen handlar om de system som finns för att skydda tillgångarna, och även om sårbarheter som finns inbyggda i en del system. Ett exempel är att produkttillgångarna till stor del hänger på SCADA-system, som ofta har brister. Att identifiera risker är också något som ofta räknas på fel sätt. Ibland kan en attack bli av därför att man känner till sårbarheter. Det kan också vara så att man vet att samma tillgång finns på flera ställen, och att sårbarheten är större på ett av dem – då kommer attacken riktas dit.

Genom att bedöma alla dessa tre delar tillsammans kan organisationer få en bättre förståelse för profilen på sin risk. Om till exempel de har stora tillgångar så kommer motståndarna kunna investera stora värden i sin attack. Tillgångarnas egenskaper gör också att man kan räkna ut vilka som sannolikt skulle vara intresserade av en attack, till exempel organiserad brottslighet eller stater. Om någon del av företagens system är känt för att vara sårbart ökar det risken för en attack.

Allt fler företag har anställt en person som kallas chief risk officer eller något motsvarande. Det finns goda skäl till detta. Men fortfarande är det många organisationer som inte har kvantifierat värdet på sina tillgångar och hur stor risken är. Hur ska de då kunna veta hur mycket det är värt att satsa på att skydda sig?

Anders Teigen, Nordenchef på Palo Alto Networks

Post Comment