Tar vi cybersäkerheten på tillräckligt stort allvar?

Det finns många exempel på företag och organisationer som har fått betala ett högt pris, såväl finansiellt som anseendemässigt, till följd av bristande informationssäkerhet.

Men varför läggs då inte mer resurser och högre prioritering på cyberberedskapen?

Det danska fraktföretaget Maersk uppger att deras cyberattack under 2017 kostat bolaget mellan 200–300 miljoner dollar. Kraftbolag drabbas av cyberorsakade driftstörningar på flera ställen i världen, bland annat i Ukraina. Det finns många fler exempel.

Ett begrepp som det talas alltmer om, jämte cyber-security, är cyber-resilience. Cyber-resiliencekan förstås som motståndskraften att stå emot en eventuell cyberattack och består av tekniken i kombination med människorna i organisationen samt de processer man har och därtill hur väl man lyckas koppla ihop de tekniska aspekterna med det företagsmässiga.

Men hur mycket energi och pengar läggs det egentligen på cybersäkerhet?

87 % har inte lärt sig av tidigare misstag

Enligt en undersökning gjord av Global Economist Intelligence Unit (EIU), lägger de flesta organisationer inte mer än 1–2 % procent av sina intäkter på cyber-resilience. Den genomsnittliga utgiften för att finansiera cyberberedskap är cirka 1,7 % av intäkterna.

Undersökningen, som genomförts bland 450 företag världen över, visar även en bristande förmåga att lära sig från tidigare cyberattacker – endast 13 % procent av styrelseledamöterna känner att deras organisation lär sig av tidigare misstag inom cybersäkerhet. Lika få menar att deras nivå är över snittet jämfört med konkurrenterna när det gäller att dra lärdomar från en cyberattack. Dessutom anger bara 15 % av företagen att de spenderar rätt summa på denna proaktiva del av cybersäkerheten i form av ”cyber-resilience”.

En övertro på tekniken

Den senaste tekniken och den mest kompetenta IT-avdelningen är inte tillräckligt som försvar mot cyberrelaterade hot. Ambitionen att värdera cybersäkerheten högt upp på agendan måste finnas hos ledning och styrelse.

Samtidens cyberförmåga sträcker sig utanför de tekniska lösningarna – finns inte viljan att prioritera säkerhetsmedvetenheten internt kan tyvärr satsningar på produkter vara bortkastade.

En orimlig inställning till den egna förmågan

Parallellt med detta ser vi på den svenska marknaden att 90 % av företagen anser sig ha bättre cybersäkerhet än sina konkurrenter. Mer än en tredjedel uppger till och med att de är ledande inom cybersäkerhet.

Varför är det så att vi tror oss kunna cybersäkerhet? Är det en naivitet som ligger bakom? Kanske finns det en psykologisk grundinställning som gör att det som inte har hänt kommer inte att hända, det vill säga någon slags ”det har ju gått bra hittills-mentalitet”.

Men verkligheten visar att cyberbrotten ökar och att genomsnittstiden att ens upptäcka att man är under attack är 191 dagar. Det betyder med andra ord att du kan fatta beslut om att inte prioritera cybersäkerhet samtidigt som ett eller flera intrång faktiskt pågår.

Allt för få företag har tillräcklig prioritet på cybersäkerhetsområdet. Endast en fjärdedel av företagen har tillsatt någon i styrelsen som ansvarar för organisationens cybersäkerhet. 43 % har inte någon försäkring mot cyberhot, trots att ett hackerangrepp i snitt uppskattas kosta omkring 30 miljoner kronor.

Framtidstro

Det är dags att ta säkerheten på allvar för att undvika höga risker och kostnader som kan komma att kosta dig långt mycket mer än att satsa på att bygga upp en säkerhetsmedveten organisation. Näringslivet är idag en direkt måltavla för många cyberattacker och verksamheter som är beroende av IT-system för drift, övervakning och styrning är särskilt utsatta. Skyddsvärd information behöver identifieras och nya processer för att eliminera risken för informationsläckage behöver säkerställas.

Om du är transparent och sköter din informationssäkerhet riktigt har du alla möjligheter att sticka ut och visa dig konkurrenskraftig i många sammanhang, såsom vid rekryteringar, nya affärssamarbeten och för att få kunder att börja eller fortsätta använda dina digitala tjänster. Det är dags att ta cybersäkerhet på allvar!