Nytt projekt bygger upp säkerhetsberedskapen i små- och mellanstora organisationer
Risken att bli utsatt för digitala hot och attacker mot sin affärsverksamhet ökar och kan få stora konsekvenser — särskilt för de små och medelstora företagen. De är utsatta eftersom de sällan har resurserna att installera system som kan förhindra attacker eller avgöra vilka motåtgärder som behövs när ett intrång är ett faktum.
Vanligaste anledningen till att digitala attacker lyckas är den mänskliga faktorn, till exempel i form av slarv eller okunskap, vilket gör att man kommer långt med en ökad medvetenhet. Det var utgångspunkten för det EU-finansierade kunskapsspridningsprojektet CYNIC, som nu är en av fem finalister i den europeiska tävlingen Regiostars Awards med 206 nominerade projekt.
Enligt en undersökning av Företagarna har antalet företag som blivit utsatta för it-brott ökat från 19 till 29 procent de senaste två åren. Microsoft konstaterar i en färsk rapport att för 60 procent av småföretagen slutar ett digitalt intrång med konkurs. En del av problematiken ligger i att digitala intrång inte är direkt synliga på samma sätt som de fysiska intrången. Det gäller därför att bygga upp en beredskap kring informationssäkerhet både i organisationen och på individnivå. För medarbetare handlar det mycket om att omsätta insikter till ett sunt IT-säkerhetsbeteende och det är det som CYNIC, Cyber Security in Innovation and Business Communication, vill bidra till.
Johan Lugnet, forskare i informationssystem och projektledare för projektet CYNIC, svarar på frågor:
Vilka metoder används vid ett IT-intrång?
— Metoderna som cyberbrottslingar använder är sällan så sofistikerade som man kanske kan tro. Ofta tar de sikte på brister i rutiner hos medarbetare och andra som använder it-systemen och den dos av tvivel och sunt förnuft som krävs är det vi vill bidra till att träna upp hos medarbetare och på så sätt öka säkerhetstänket i vardagen.
Hur har ni inom projektet ökat förståelsen för vilka risker som finns?
— Ett resultat av projektet är att vi tagit fram ett kortspel som pedagogiskt ökar förståelsen för digitala hot och risker. Kortspelet ska spelas av anställda vid medelstora företag och syftet är de, genom nyvunna kunskaper som kortspelare, ska lära sig hur de skyddar företaget mot it-angrepp. Det kan till exempel handla om virus, dataintrång, id-kapningar eller utpressningsprogram. Det som händer under spelets gång är att spelarna får en slags aha-upplevelse och börjar förstå både risker och säkerhetstänk. De förstår att varken brandväggar och virusskydd räcker till om flera människor samtidigt har ett riskbeteende.
Det är väl lätt att agera fel i en farlig IT-värld?
– De flesta vet att vi inte ska klicka på länken i mejlet där det står att vi fått ärva flera miljoner. Men den här typen av mejl blir allt mer avancerade och kan se helt korrekta ut. Därför blir det allt svårare för mottagarna att avgöra vad som är ett hot eller en attack. Det kan också finnas en känsla hos mindre företag att tänka att deras verksamhet inte skulle vara intressant för hackare, men det är precis tvärtom. Så vi vill öka säkerhetsmedvetandet generellt helt enkelt.