Inget cyberförsvar är helt ogenomträngligt, och få företag kan idag säga sig vara helt fria från att drabbas av en cyberattack.
En ny rapport från Cybint uppskattar att ett dataintrång till följd av en cyberattack i genomsnitt inträffar var 39:e sekund.
Bara under det senaste året har vi sett stora företag såsom Acer, Microsoft Exchange och svenska Gunnebo drabbas. Även småföretagen och IT-leverantörerna känner av att trycket ökar. 95 procent av våra partner inom IT-tjänster säger i Dattos senaste rapport om ransomware att de i högre grad attackeras av hackare.
Förbered företaget så bra som möjligt för en attack
Många IT-avdelningar har börjat inse att en traditionell IT-säkerhetsstrategi inte längre räcker i kampen mot hackare. Istället för att bara förlita sig på ett skyddande lager av brandväggar och antivirus har företag idag börjat bygga ut sin motståndskraft utöver traditionella lösningar. På Datto ser vi en klar förändring i företagens och IT-tjänsteleverantörernas tankesätt: Det är inte längre en fråga om företagen påverkas eller ej. Idag handlar det om hur företag kan hålla verksamheten igång medan de påverkas. Det krävs självmedvetenhet för att hitta hålen i ett cyberförsvar före en attack, men metoden skapar en helhetssyn av IT-säkerheten för att säkerställa att företaget fortsätter sin verksamhet både under och efter en attack. Våra amerikanska kollegor inom IT-säkerhetsbranschen kallar detta holistiska perspektiv ”cyber resilience”.
Cyberresiliens säkrar dock inte företag från att aldrig någonsin drabbas av en cyberattack. Men arbetssättet erbjuder hela utbudet av en effektiv IT-säkerhet med affärskontinuitet och katastrofåterställning samt snabba åtgärder mot säkerhetsincidenter. Detta gör det mycket lättare att svara på hot i realtid, upptäcka och identifiera skadliga aktörer och skadlig kod, skydda data samt säkerställa snabb återhämtning. På detta sätt kan företag och IT-tjänsteleverantörer vara uppe på benen snabbare efter en cyberattack och med minimal förlust. Tyvärr levereras dock inte cybersäkerhet som ett enda paket, utan består snarast av tre komponenter som måste sammaspela: människor, processer och teknik.
Cyberresiliensens treenighet
De tre komponenterna är alla en del av IT-leverantörernas verktygslåda. Nyckeln är att kombinera verktygen för att höja nivån på IT-säkerheten. Många IT-leverantörer tar hjälp av avancerad teknik för att lösa sina problem, vilket inte är fel, men som heller inte räcker om du vill bygga cyberresiliens. Vi ser ofta bristande fokus på mänsklig kompetens och processer, vilket är ett misstag från IT-tjänsteleverantörernas sida. Om företag antingen saknar IT-kompetens eller inte har kontroll över sina säkerhetsprocesser kan det ge en falsk känsla av säkerhet, trots att tekniken är i ordning.
Istället bör cyberresiliens ses som en alltid pågående process. Kompetensnivån hos de anställda, IT-processer och teknik behöver ofta omvärderas för att täppa igen säkerhetshål och hålla jämna steg med den växande hotbilden. På medarbetarnivå måste företag och IT-tjänsteleverantörer säkerställa att de anställda teknikerna har dokumenterad säkerhetskunskap, eller att de samarbetar med en specialiserad säkerhetsleverantör (MSSP). På processnivå hjälper analyser till att avgöra vilka processer som kan upprepas och mätas och vilka som inte kan göra det. På tekniknivå måste de verktyg som används granskas för att se om de används korrekt och är tillräckliga innan företaget investerar i ny teknik. Helhetsbilden av säkerheten gör det lättare att hitta var försvaret är försvagat.
Hitta de svaga punkterna
Scott Gower, Nordenchef Datto
Checklistor och visualiseringsverktyg kan vara bra hjälpmedel när du granskar din IT-säkerhet, men det kan vara svårt att veta var man ska börja. Ett bra tips är att det sällan är tekniken utan processer och medarbetare som behöver uppdateras och läras upp på nytt.
Min rekommendation är att företag och IT-tjänsteleverantörer använder NIST Cybersecurity Framework och Center for Internet Security (CIS) Security Controls för att sätta mål och ramar för sin IT-säkerhet.
CIS Controls föreslår en rad åtgärder i prioritetsordning för att identifiera och täppa igen säkerhetsluckor. Listan innehåller de viktigaste åtgärderna som bör genomföras, till exempel: uppdatering av hårdvara och programvara, kontinuerlig hantering av patchar, kontrollerad användning av olika data och konton, säkra systemkonfigurationer och underhåll, övervakning, samt analysen av loggar. De flesta av de ovanstående åtgärderna kanske omfattas av redan implementerad teknik så länge säkerhetsprocesserna hänger med. I vissa fall kanske IT-resurser måste hyras in.
CIS Controls är inte några faktapunkter utan ska ses som riktlinjer. Det är upp till varje företag att definiera vilka komponenter som behöver arbetas fram för att verksamheten ska bli mer motståndskraftigt mot cyberattacker. Det kan inte avgöras på om företaget drabbas av en cyberattack eller inte. Det avgörs på hur väl förberett företaget är, samt hur snabbt det är uppe på benen igen och återhämtar sig efter en attack. Att ha cyberresiliens är en process och det finns inga genvägar eller ett tillvägagångssätt som passar alla företag, trots att det bör vara en prioritet för alla företag. Det viktigaste steget är att komma i gång och vara förberedd.
Scott Gower, Nordenchef Datto
