En majoritet av små och medelstora företag i Sverige säger sig ha god kännedom om cybersäkerhet.
Samtidigt anser bara ett fåtal att de är väl förberedda, trots att 9 av 10 tycker att frågan är lika viktig eller har blivit ännu viktigare under de senaste 12 månaderna.
Det visar en undersökning Telenor har genomfört.
Cybersäkerhet är en ständigt aktuell fråga för allt ifrån individer till företag, organisationer och offentlig sektor, och vi läser om allt fler attacker som riskerar att slå undan benen för både privatpersoner och verksamheter. Mest omskrivna är större attacker som drabbat kommuner eller stora företag. Stora företag har också i allt större utsträckning beredskap mot cyberattacker, men hur ser det ut bland de mindre företagen vad gäller förberedelser? Telenor ställde ett antal frågor om detta till representanter för företag i storleken 0–249 anställda.
Hela 70 procent av företagen i undersökningen uppger att de är väl insatta i frågor som handlar om cybersäkerhet. Trots det är det bara 36 procent av respondenterna som anser att deras företag är väl förberett. Bland de med minst antal anställda är beredskapen lägst. 43 procent anser att frågan ökat i vikt de senaste 12 månaderna och i gruppen med 100–249 anställda anser 54 procent att frågan blivit viktigare för verksamheten.
– Som företagare behöver du fundera på vad det är som hindrar dig från att ha ett bra säkerhetsskydd, och vad det faktiskt kan kosta att låta bli. Det är lite som att veta att du behöver träna eller använda tandtråd regelbundet, men ändå låter bli. Skillnaden är att det i det här fallet kan kosta dig ditt företag att låta bli, menar Jessica Levin, försäljningschef på Telenors företagsverksamhet.
På frågan om det finns en budget för cybersäkerhet svarar 2 av 10 att de minskat den jämfört med 2021 medan 4 av 10 har samma som före 2021. 2 av 10 har ökat sin budget. 15 procent av företagen har ingen budget alls och 12 procent svarar att de saknar kunskap om ifall företaget de arbetar på har någon budget för cybersäkerhet.
Störst oro för virusattacker och dataintrång
4 av 10 företag säger att oron för digitala attacker har ökat de senaste 12 månaderna, endast 6 procent säger att oron har minskat och resten anser att oron är ungefär densamma som den var för 12 månader sedan. Här är det väldigt små skillnader mellan de olika storlekarna på bolagen.
Det företagen oroar sig för mest är virusattacker (42%) och dataintrång (38%), medan oron är lägst för bedrägeriförsök via sms (21%). Det företag i högst grad har blivit utsatta för är bedrägeriförsök via e-post.
– Det finns ganska enkla saker du som företagare kan göra för att skydda din verksamhet. Och det handlar inte om ett vattentätt skydd, alla företag har sårbarheter, men vi behöver göra vad vi kan för att göra det svårare. Och kanske viktigast av allt är att aldrig ge efter – att aldrig någonsin betala utpressningspengar eftersom det i längden leder till fler cyberbrott, även mot ditt eget företag, säger Marcus Lundblad, säkerhetsexpert på Telenor.
1 av 4 skulle betala utpressningspengar
3 av 10 företag menar att attackförsöken mot deras företag har ökat, 6 av 10 att de är lika frekventa som tidigare och 1 av 10 säger att de har minskat. Det är alltså ett fortsatt hårt tryck mot företagen och ett stort behov av att skydda sig. Och konsekvenserna av attackerna kan slå hårt. 4 av 10 säger att de skulle behöva pausa verksamheten vid en fem dagars attack, men att de sannolikt hade återhämtat sig på sikt. 2 av 10 uppger att de skulle betala om de blir utsatta för en utpressningsattack och bland de större företagen (100–249 anställda) skulle 1 av 4 betala för att återfå kontrollen.
– Små och mellanstora företag kan vara mer sårbara för angrepp, samtidigt som vi ser att deras beredskap kunde vara bättre. Vår undersökning visar att 6 av 10 företag saknar stöd kring kompetensutveckling inom cybersäkerhet och allra värst är det för de riktigt små företagen. Det här behöver vi hjälpas åt med, menar Jessica Levin.
Fem råd från säkerhetsexperten Marcus Lundblad: Det här kan du göra för att skydda ditt företag
- Skydda din företagskritiska information. Se till att användare bara kommer åt bestämda resurser efter en godkännandeprocess och att deras tillgång tas bort igen när uppdraget är slutfört.
- Använd tvåfaktorsautentisering till tekniska system. Tvåfaktorsautentisering innebär “något du vet” till exempel ditt lösenord och “något du äger” till exempel din mobiltelefon. När du skrivit ditt lösenord skickas en verifikationskod till dig via SMS och gör det i princip omöjligt för en motståndare att nå företagskritisk information.
- Var tydlig med vilka IT-system och verktyg som är godkända. Det minskar användarnas benägenhet att använda andra digitala tjänster, sk Shadow IT, som kan öka risken för informationsläckor.
- Få alla anställda att vara säkerhetsambassadörer. Se till att ha en process för att inhämta risker från hela företaget som sedan hanteras på ledningsnivå. Allt ska upp på bordet, för allt kan vara en risk.
- Se till att ha en uppdaterad kontinuitetsplan. Identifiera företagskritiska aktiviteter och öva inför en cyberattack. Rollbaserade så kallade Table-top-övningar är både roligt och ett kreativt sätt att identifiera problem i uppsatta processer som inte dagligen används.