Det senaste cybersäkerhetsåret har präglats av distansarbete och de risker hemmakontoret kan innebära.
Dessutom har vi sett en ökad mängd cyberattacker via kidnappningsprogram, där cyberkriminella utnyttjat anställdas okunskap och de ofta hastigt implementerade digitala samarbetsverktygen.
Här har företagen mycket att förbättra och det är hög tid att sätta i gång.
En undersökning som YouGov tagit fram på uppdrag av Trend Micro visar att vartannat (49 procent) svenskt företag gick över till samarbetsverktyg under 2020. Ser man till både 2020 och 2021 har hela 58 procent börjat använda sig av digitala samarbetsverktyg först under pandemiåret, och den stora ökningen av samarbetsverktyg kan härledas till den snabba omställningen till distansarbete. Samma undersökning visar också att endast en femtedel (21 procent) av respondenterna uppger att IT-avdelningen har satt upp begränsningar för åtkomst till verksamhetskritisk information i samband med distansarbete, och 40 procent uppger att de inte har några begränsningar alls för hur de använder samarbetsverktyg då de arbetar.
Jean Diarbakerli
Ur ett cybersäkerhetsperspektiv är det här alarmerande siffror. Om vi inte arbetar genomtänkt med begränsningar för vad anställda kan göra med verksamhetskritisk information så utsätter vi oss för onödiga risker att informationen hamnar i fel händer. Denna data kan sedan användas för en rad olika ändamål, du kan som företag bli pressad på pengar, informationen kan läckas till konkurrenter, och orsaka skada på varumärket antingen rent finansiellt, men också anseendemässigt.
Svenskars dåliga cyberhygien den största riskfaktorn
Det som utgör den främsta säkerhetsrisken vid bristande åtkomst- och delningsbegränsningar är dålig cyberhygien. Har de anställda utbildning i cyberhygien är de bättre förberedda på att hantera de situationer där de utsätts för attackförsök. Med god cyberhygien kommer även bättre kunskap om riskerna med att använda samarbetsverktyg och hur man distansarbetar på ett säkert sätt. Men situationen för anställda på svenska företag är i nuläget långt ifrån optimal.
Undersökningen visar att knappt hälften (48 procent) av de anställda på svenska företag tycker att de har fått tillräckligt god utbildning i hur man arbetar säkert hemifrån och över en tredjedel, 37 procent, har inte fått någon utbildning alls. Detta samtidigt som cyberkriminella gör allt de kan för att komma in i företagens nätverk via anställda som arbetar hemifrån.
Så vad ska vi göra åt detta? Ur mitt perspektiv är detta en tvåstegsraket. Det första steget är att utbilda anställda i god cyberhygien, och nästa steg är att stärka cybersäkerheten för distansarbetande anställda genom att begränsa åtkomsten till vissa data via samarbetsplattformarna. Detta genom att sätta upp användarbegränsningar och samtidigt införa säkerhetspolicyer för användning av dessa plattformar. Alla behöver i regel inte ha tillgång till allt. Åtminstone inte från överallt. Man skulle kunna tro att jag borde rekommendera den omvända ordningen – säkrande först och anpassat användande sen. Men då vi av erfarenhet vet att cybersäkerhet inte alltid står högst på företags agendor, att det behöver såväl ekonomiska resurser som tid och planering, så är det effektivt att lyfta vikten av den mänskliga faktorn för att minska riskerna för företagen.
Gör årliga cybersäkerhetskurser obligatoriska
Då vi vet att hotlandskapet för cyberkriminalitet är föränderligt och att kriminella hela tiden utvecklar nya metoder att komma åt företagen, så bör också utbildningen av de anställda vara en återkommande och framför allt obligatorisk sådan. Man bör inte kunna välja bort att stärka företagets skydd, eftersom det heller inte går att välja bort att drabbas av cyberkriminalitet. Låt samtliga anställda gå en skräddarsydd säkerhetskurs om året, så kan man se till att de anställda vet vilka som är de största fallgroparna i just sin yrkesroll. Samtidigt får IT-teamet god översikt över statusen på de anställdas cyberhygien och kan då göra en aktuell riskbedömning av den mänskliga faktorn här och nu, samt ta fram en tydlig vision, plan och målbild.
Användarbegränsningar och en säkerhetspolicy stärker skyddet
Även om användarna är rejält utbildade så kan alla i en svag stund ändå råka öppna dörren för en hackare. Därför behöver företag också sätta begränsningar för vad som kan göras med de olika samarbetsverktygen, samt begränsningar gällande vem som har tillgång till vilken information. Låter man anställda som är okvalificerade att hantera känslig information är risken hög att informationen delas på ett sätt som gör den tillgänglig för hackare. Och om man inte befäster dessa begräsningar i en gedigen säkerhetspolicy, kan man heller inte förankra vikten av skyddet mot cyberkriminella hos de anställda. Då riskerar man att anställda kan reagera negativt på de användarbegränsningar som IT-avdelningen har satt upp. Så en kombination av en åtstramning av användningen av samarbetsverktyg med en säkerhetspolicy är A och O efter att de anställda genomgått sin cybersäkerhetsutbildning.
Så förebygger vi en lamslagning av företag och myndigheter
En kontinuerlig utbildningsplan för att upprätthålla god cyberhygien, i kombination med användarrestriktioner för samarbetsverktyg och åtkomstbegränsningar för kritisk data, är en viktig del i arbetet mot ett säkert distansarbetande.
Av undersökningen blir det dock synligt att svenska företag behöver förstå den mänskliga faktorns inblandning i många av de attacker som just nu trendar bland cyberkriminella. På Trend Micro vill vi verkligen uppmana svenska företag att investera i sina anställdas cyberhygien, då farorna med att fortsätta sin digitala resa i samma takt utan att tänka på säkerheten kan komma att bli en dyr nota i slutändan.
