De to mest almindelige årsager til at virksomheder bliver hacket

af Jesper Helbrandt, IFCR

Langt de fleste succesfulde hackerangreb skyldes de samme basale problemer, som gør virksomheder unødige sårbare.

Uanset størrelse eller branche begår de fleste virksomheder, der bliver lagt ned af et cyberangreb, de samme fejl. Mange angreb kunne derfor have været undgået.

De to mest almindelige og gennemgående årsager bag de største succesfulde hackerangreb i de sidste par år kan sammenfattes i to kategorier: mennesker og hygiejne.

Disse årsager har også været den væsentligste årsag bag angrebene mod bl.a. Mærsk, Demant, ISS og Desmi. Fire globale virksomheder, med masser af ressourcer, rigelig med teknologi og anselige it-budgetter. Alligevel gik det galt.

Den menneskelige faktor vedrører medarbejderes adfærd, og hvordan de interagerer med virksomhedens it-systemer, mens cyberhygiejne handler om, hvordan virksomheder holder deres systemer opdateret og patchede.

Begge de to områder handler grundlæggende om dårlig praksis og fejl, som kunne have været undgået, hvis der havde været den nødvendige fokus og forståelse for vigtigheden i de basale problemer, før man begynder at implementere masser af ny og spændende teknologi.

 

 If you think technology can solve your security problems, then you don’t understand the problems and you don’t understand the technology.

-Bruce Schneier

 

Men hvorfor er det at store globale virksomheder med masser af ressourcer, budgetter, nyeste teknologi og kompetencer stadig ikke formår at undgå en nærmest total lammelse, når de bliver offer for et vellykket cyberangreb?

Kan det skyldes

  • at der er for meget fokus på at beskytte sig og der mangler general forståelse for angrebsvinkler og metoder?
  • at det er svært at teste og evaluere eget arbejde?
  • at der er kommet for meget teknologi ind i virksomheden, som man ikke har kompetencer til?
  • at man mangler overblik og kontinuitet bl.a. fordi sikkerhedsfolk sjældent holder mere end 18 til 24 måneder i jobbet?
  • at fokus er på de forkerte ting hvorfor det basale, så som hygiejne og awareness bliver overset eller nedprioriteret?
  • at man har tilføjet så meget kompleksitet i organisationen og infrastrukturen, at man har mistet overblikket?

Hvad ville det betyde, hvis man i højere grad?

  • Fik friske og uvildige øjne til at gennemgå sikkerheden, øjne der ikke har noget i klemme og som er trænet i at finde veje ind i systemerne.
  • Fik sat cyberkultur og awareness på dagsorden.
  • Tænkte mere på sikkerhed end compliance.
  • Tænkte mindre silo og mere holistisk.
  • Erkendte at specialister har vanskeligt ved at vedligeholde specialistkompetencer ude i virksomhederne, når de mangler daglig sparring med andre ligesindede specialister.

Udfordringen lurer lige uden for døren

Når man først tager fat på det stigende cyber-problem, er der masser af spørgsmål, der melder sig, og sandheden er nok, at vi ikke kender alle svarerne, men det er ikke en undskyldning for ikke at anerkende, at udfordringen lurer lige uden for døren, på samme måde som mange af løsningerne.

Et godt sted at starte er at teste din paratviden på nedenstående helt basale spørgsmål. Kan du uden tøven og hjælp svare på dem, har du et godt udgangspunkt, men kniber det vil Institut for Cyber Risk gerne tilbyde sparring og inspiration til hvordan man kan styrke organisationens sikkerhedsniveau.

Hvad er vores risikoappetit?
Bruger vi vores budget korrekt og i overensstemmelse med vores risikoappetit og ambitionsniveau for modenhed indenfor cybersikkerhed?

Hvor vil vores investering være mest effektiv?
Er vi sikker på, at vi forstår vores risici og kender vores kompetencer tilstrækkeligt til at vurdere, hvor vores investeringer vil være mest effektive?

Hvordan får vi vores investeringer til at fungere efter hensigten?
Hvad ved vi om de investeringer, vi planlægger at foretage, og hvordan sikre vi at vores initiativer bliver succesfulde?

Kontakt Jesper Helbrandt (IFCR), for yderligere dialog omkring din cybersikkerhed på tlf. 40 13 00 00

Læs også artiklen “Tre gode råd til at skabe en god cybersikkerhedskultur.”