Mer än hälften (55%) av storföretagen har svårt att effektivt förhindra cyberattacker, identifiera och hantera intrång, samt minska attackernas skada på verksamheten.
Det visar en ny studie från Accenture.
Studien “State of Cybersecurity Resilience” baseras på en undersökning av fler än 4 700 företag världen över, och har kartlagt i vilken utsträckning företag prioriterar IT-säkerhet, hur effektiva deras säkerhetsåtgärder är, och vilken effekt nya investeringar har på säkerheten.
Resultaten visar att fyra av fem tillfrågade (81%) uppger att det är en konstant kamp att ligga steget före de som utför attackerna, och att kostnaderna för säkerheten kan bli ohållbara i längden. Detta motsvarar en ökning med 12 procentenheter jämfört med förra årets rapport. Samtidigt uppger 82 procent av företagen att de har ökat sina investeringar i cybersäkerhet det senaste året. Trots det har intrången – vilket inkluderar otillbörlig tillgång till data, applikationer, tjänster, nätverk eller enheter – ökat med 31% jämfört med föregående år. Studien visade att det genomförs i genomsnitt 270 intrång om året per företag.
”Idag ser vi en hotbild från såväl cyberkriminella som sofistikerade statliga aktörer, och alla har tyvärr blivit bättre på att utföra sina attacker.”, säger Bala Periasamy, ansvarig för Accenture Security i Sverige. ”Vår analys visar att många organisationer endast fokuserar på affärerna och förbiser potentiella cyberattacker. Det kan vara svårt att hitta den rätta balansen, men de företag som har en klar uppfattning om vilka cyberhot som existerar och lyckas etablera en tydlig strategi för affärsprioriteringar och sannolika effekter av attacker, har väsentligt bättre förutsättningar att skydda sin verksamhet.”
Studien lyfter behovet av att bredda synen på cybersäkerhet och se bortom företagets egen verksamhet. Ett heltäckande skydd mot attacker kräver kunskap om hur cyberhot mot exempelvis partners och leverantörer kan påverka den egna verksamheten. Förekomsten av ”indirekta attacker” har nämligen ökat. Två tredjedelar (67%) av de tillfrågade organisationerna uppgav att deras företags ekosystem var säkrat, men samtidigt stod indirekta attacker för 61 procent alla cyberattacker, att jämföra med 44 procent under föregående år.
I undersökningen kunde Accenture identifiera en liten grupp företag som inte bara lyckats väl med sitt cybersäkerhetsarbete, utan som också integrerar sin affärsstrategi med säkerhetsarbetet för att uppnå sina affärsmål och få bättre effekt av investeringar i IT-säkerhet. Dessa organisationer, kallade ”Cyber Champions” i studien, var mer benägna än andra företag att:
Hitta en balans mellan cybersäkerhet och affärsmål.- Rapportera till VD och ledningsgrupp samt etablera en mycket tätare relation med CFO och verksamheten i stort.
- Samarbeta med VD och CFO i utvecklingen av företagets strategi för cybersäkerhet.
- Skydda sitt företag från förlust av data.
- Integrera cybersäkerhet med initiativ inom molnbaserade tjänster.
- Utvärdera och mäta mognaden av cybersäkerhetsarbete åtminstone varje år.
”För att bli en `cyber champion´ behöver man få hjälp att prioritera de aktiviteter som gör mest nytta per investerad krona.
I stället för att gissa eller göra beräkningar, går det faktiskt att krocktesta sin organisation med hjälp av red team testing. Genom att angripa sin egen organisation på samma sätt som en verklig angripare skulle göra, är det möjligt att identifiera strukturella svagheter och allvarliga sårbarheter, vilket ger tydliga insikter kring vad som är faktiska risker och vilka insatser som bör prioriteras för att stärka säkerheten.”, säger Åse Holmberg, VD på Sentor som är en del av Accenture Security. ”Att spendera mer på cybersäkerhet utan att veta vilken nytta det gör i praktiken kan vara kontraproduktivt. Därför krävs en kombination av verklighetstrogna tester och förankring av cybersäkerhetsarbetet inom den bredare affärsverksamheten.”
Metod
Accenture Research tillfrågade 4 744 chefer som representerar företag med en årlig omsättning på minst 1 miljard dollar inom 23 branscher i 18 länder i Nord- och Sydamerika, Europa och Asien-Stillahavsregionen. I studien identifierades fyra nivåer av skydd mot cybersäkerhet som företagen uppnådde. För denna analys användes ett urval på 3 455 företag, där ”cyber champions” utgjorde 5 procent av dessa. Studien genomfördes mellan mars och april 2021.
