Informationssäkerhetsområdet har idag blivit ett komplicerat område som ett direkt resultat av att det i digitaliseringens kölvatten inte bara uppstår nya möjligheter utan även nya hot att hantera.
Förändringar och händelser i vår omvärld som pandemi, handelskrig och val, för att nämna några, är ytterligare något som komplicerar hanteringen av informationssäkerhet.
Ökat behov av riskanalys
Användning och införandet av andras eller egna innovativa lösningar eller värdeskapande processer innebär oftast att en riskanalys ska utföras. Inte sällan sker aldrig någon sådan av den enkla anledningen att företag saknar resurser, kompetens och pengar. I de fall som en riskanalys genomförs så är slutresultatet av dessa i många avseenden baserade på uppskattningar. Det är med andra ord svårt att i avsaknad av fakta råda vilken rekommendation som ska ges – fria eller fälla?
Ett aktuellt exempel på detta är huruvida mobilapplikationen Tiktok ska få användas eller inte på en anställds mobiltelefon. Anledningen är att olika länder i världen anser att den kinesiska mobilapplikationen hamstrar information från mobiltelefonen och förser kinesiska staten med data. Ett uppenbart hot som blev politiskt hett stoff. Baserat på egna säkerhetsundersökningar har exempelvis Sveriges Radio och SVT valt att förbjuda applikationen på sina anställdas telefoner medan Ericsson inte gör det samtidigt som man säger att det beslutet kan komma att ändras. Samma risk – olika konsekvens.
De företag i Sverige är troligen lätträknade som utfört en riskanalys av applikationen Tiktok och kommit till samma insikt som Sveriges Radio och SVT innan applikationen installerats på en anställds mobiltelefon. Det är en orimlighet att så kan ske och den enda möjligheten är därför att förbjuda installation av mobilapplikationer förutom de man godkänt inom företaget.
Även fysiska världen drabbas av digitala hot
Fastighetssidan i Sverige och även enskilda större företag med stora kontorskomplex har varit tidigt ute med att implementera olika tekniker och digitalisera sin verksamhet med smarta sensorer (IoT), BI-analyser och realiserat AI-lösningar. Nu dyker nya hot upp för dessa företag i form av ”siegeware” där kriminella tar över fastighetssystem (ventilation, brandsystem, hissar, inpassering och larm) och med utpressning kräver företag på pengar för att inte släcka ned hela byggnadskomplex.
Logistikföretag, uthyrningsfirmor med flera råkar ut för förfalskning av GPS positionering på bilar, anläggningsutrustning och särskilt gods. Som företag kan man idag inte längre bara fokusera på digital säkerhet utan måste även förstå de svagheter som finns i den fysiska världen.
Den framtida utgången av, eller tillståndet i, vad jag kallar ”War Wide Web” kommer att avgöra om den digitalisering som vi idag ser kommer att fortsätta eller kraftigt begränsas. Det finns en gräns i kriget mot de cyberkriminella där kapprustningen i att skydda sig slutligen överstiger nyttan. Kanske förbjuds vissa typer av informationsflöde i den kontext som vi idag känner till – internet. Istället skapas globala funktionsbaserade kommunikationsvägar vars innehåll exempelvis endast består av en viss typ av datatrafik såsom ekonomiska transaktioner, “internet-of-things”, patientjournalinformation och så vidare. Det vi idag kallar internet styckas upp i delar på gott och ont.
Omvärlden påverkar riskerna
Det är inte endast digitaliseringen som skapar nya hotbilder. Covid-19 pandemin är ett skrämmande exempel på hur vår värld förändrats och därmed också de spelregler som hjälper att förutse vilka säkerhetsåtgärder som krävs utifrån ett företagsperspektiv. Från att majoriteten av anställda befann sig på arbetsplatsen till att nästa dag arbeta på distans mot sin arbetsplats förändrade förutsättningarna för samtliga verksamheter inom ett företag över en natt.
För IT-verksamheten fanns omgående utmaningar att hantera såsom prestandaproblem, utökning av licenser, arbete med att uppdatera säkerhetsrelaterade riktlinjer och lathundar för distansarbete, nya logistiklösningar för att nämna några. Det är högst sannolikt att informationssäkerhetsansvariga eller de med motsvarande befogenheter i tysthet fick acceptera att det fanns säkerhetsbrister, kända som okända, kopplade till ett sådant omfattande och långvarigt distansarbete.
Inom den juridiska världen där all form av klientrelaterad information har en hög informationssäkerhetsklass aktualiserades, i samband med covid-19, att advokater som arbetar hemifrån ska stänga av enheter som Amazon Echo, Google Home och högtalare som är kopplade till dessa ”personliga assistenter” då det finns en risk att dessa enheter spelar in vad som sägs. Studier, från Northeastern University och Imperial College London, har visat att sådana enheter startar upp felaktigt och spelar in tal upp till 19 gånger per dag under 20 till 43 sekunder. Detta gäller både Alexa, Google Home, Nest, Apple Siri med flera.
Som synes uppstår säkerhetshot som ingen tänkt på eller som vid riskbedömningstillfället fick ett lågt riskvärde för att plötsligt blir ett potentiellt hot för att omständigheterna eller omvärlden förändras. Dessa potentiella och vilande säkerhetsbrister kan utnyttjas vid rätt tillfälle vilket kriminella är medvetna om och snabbt på jakt efter att utnyttja. En av de vanligaste vägarna som prövas för att komma in i ett företag och numera även i hemmet är attacker via e-post. Under april månad exploderade mer eller mindre mängden olika phishing-attacker via e-post. Om företag inte varit drabbade före pandemin så är det nog högst troligt att många för första gången blivit utsatta för en säkerhetsincident under våren 2020.
Så som cyberkriminaliteten utvecklas, i takt med nya digitaliseringsområden och möjligheter, är det snarare en fråga om hur ofta och hur stor skadan blir av cyberattacker – inte längre om man blir drabbad.
Höga kostnader kan mitigeras av försäkringsskydd?
Enligt PWC-rapporten ”Nordic Cyber Crime Survey 2020” har 8 av 10 svenska företag utsatts för en säkerhetsincident under 2019, det vill säga före covid-19. Enligt ytterligare en PWC-rapport, ”Cyberhoten mot Sverige 2020”, kan så många som 78% av svenska tillfrågade företag inte ange den totala kostnaden för hantering av cyberattacker.
Svenska säkerhetsföretaget Truesec uppskattar att cyberattacker under 2020 kommer att kosta svenska företag drygt 20 miljarder kronor.
Bland de mer kända och i media omskrivna exemplen finns Addtech, ett börsnoterat svenskt teknikhandelsbolag som drabbades av en cyberattack under 2019. Slutnotan landade på närmare 150 miljoner kronor. Maersk drabbades 2017 av ett kryptovirus som kostade konglomeratet 2–3 miljarder kronor och Norsk Hydro blev 2019 drabbad av en attack som beräknats kosta runt 700 miljoner kronor.
Sammantaget finns det svårigheter i att upprätthålla en adekvat informationssäkerhetsnivå och att utföra korrekta riskbedömningar, och det finns en vetskap om att kostnader är stora och svåra att estimera även efter att man blivit drabbad.
Ovisshet och osäkerhet innebär ofta att försäkringsbranschen får gehör. Så sker även nu när fler och fler cyberförsäkringar erbjuds. Detta kan vara värt att titta närmare på, men var uppmärksam på motkrav, premiekostnader, självrisker och omfattning.
Artikelförfattare:
Fredrick Karlsson, CIO, Setterwalls Advokatbyrå