Trend Micro släpper idag resultaten från en undersökning som visar att 43 procent av företag världen över har blivit utsatta för riktade, så kallade BPC-attacker (Business Process Compromise) under det senaste året.
Undersökningen visar även att varannan företagsledning är omedveten om vad dessa attacker kan få för konsekvenser för verksamheten.
I Sverige ser bilden dock fullständigt annorlunda ut: enbart 18 procent säger sig ha drabbats av BPC-attacker och så få som 32 procent anser att de riskerar att drabbas.
I riktade BPC-attacker mot företag letar angriparen upp svagheter i verksamheters affärsprocesser, operativa IT-system och medarbetares arbetssätt, för att sedan kunna genomföra en attack utan att det direkt märks.
Ett exempel på denna typ av attacker är så kallade Vd-mailbedrägerier. Attackerna sker oftast via e-post som skickas till högt uppsatta medarbetare på företagets ekonomiavdelning. Med dessa försöker man antingen lura offret att skicka pengar till ett felaktigt konto, eller få dem att ladda ner en farlig fil som ger angriparen möjlighet att ta över offrets dator.
Trend Micros undersökning visar att angreppen leder till en ekonomisk förlust för det drabbade företaget i hela 85 procent av fallen.
– Det blir allt vanligare att de cyberkriminella genomför krångliga tidskrävande attacker för att komma åt större summor pengar, säger Ola Wittenby, VD för Trend Micro i Sverige. I många riktade attacker smyger angriparna runt i det drabbade företagets infrastruktur i månader och lär känna dess operationella processer på djupet, för att sedan slå till utan att någon märker det. Angripare kan då till exempel ändra utskicksadresser på dyrbara leveranser, eller ändra inställningar på en skrivare för att komma åt konfidentiell information – vilket var fallet i den omfattande Bangladeshi Bank-stöten härom året, där cyberkriminella lyckades stjäla en miljard amerikanska dollar.
Undersökningen visar att många säkerhetsavdelningar världen över är medvetna om risken att drabbas av BPC-attacker. 72 procent uppger att de prioriterar att skydda sig mot dessa attacker när de utvecklar och implementerar organisationens cybersäkerhetsstrategi. Tyvärr är dock okunskapen kring riskerna så omfattande bland företagsledningar att många organisationer blir alltmer sårbara i takt med att de digitaliserar och automatiserar sina processer.
Annan bild i Sverige
Enligt undersökningen sticker förvånande nog Sverige ut i sammanhanget. Till skillnad mot i övriga länder, där snittet ligger på nästan 50 procent, så uppger enbart 18 procent av tillfrågade svenska företag att de har drabbats av en riktad BPC-attack mot företaget under det senaste året. 32 procent av de svenska respondenterna – lägst andel av alla länder i undersökningen – uppger att de anser att företaget riskerar att drabbas av en sådan attack.
Riskerna påtagliga även här
Även om svenska företag än så länge har klarat sig bättre än företag i många andra länder så är riskerna påtagliga även här – och det kan stå företagen dyrt att ignorera riskerna.
Enligt FBI blir de ekonomiska förlusterna till följd av BPC-attacker allt större för varje år. Redan tidigare i år bedömde man att de riktade attackerna hade kostat de drabbade företagen cirka 12 miljarder amerikanska dollar. Denna bild bekräftas av Trend Micros undersökning. 61 procent av de tillfrågade uppger att en lyckad riktad attack skulle innebära ödesdigra ekonomiska konsekvenser för deras företag.
– För att kunna skydda sig mot alla typer av riktade attacker är det nödvändigt att företagsledningen och IT-avdelningen samarbetar för att sätta IT-säkerheten högst upp på prioriteringslistan, säger Ola Wittenby. Företagen behöver mer än perimeterkontroller – man behöver skydd som märker av avvikande aktivitet inom processerna, kan stänga ner kritiska system, övervakar filer, och skyddar mot intrång – så att angriparna aldrig tar sig in och därmed aldrig får chansen att studera verksamheten inifrån.