Hvis vi spørger vores egne hackere/penetration-testere i Institut for Cyber Risk, som virksomhederne hyrer for at teste/hacke deres systemer, river de sig i håret over, hvor nemt det meget ofte er at kompromittere en applikation eller infrastruktur. Meget ofte når kaffen ikke at blive kold, før vores sikkerhedskonsulenter opnår fuld kontrol over den testede infrastruktur eller applikation, blot ved hjælp af standard-passwords, et simpelt phishingangreb og en ”hammer” fra værktøjskassen. De vil have udfordringer.
WannaCry-angrebet er et godt eksempel på problemet. Ikke alene var WannaCry et af de største angreb i historien, angrebet inficerede hundredtusindvis af computere på tværs af 150 lande, men det kunne helt have været undgået. Sårbarheden, der blev udnyttet, var kendt, den var blevet omtalt i nyhederne som en af de sårbarheder, NSA anvendte, og som blev lækket af WikiLeaks. Microsoft havde udgivet en patch til sårbarheden måneder før angrebet. Så man burde mene, at alle burde være fuldt bevidste og opmærksomme på at få patchet systemerne. Men nej, der blev ikke patchet i det omfang, man kunne forvente, og resten er historie. Det store spørgsmål er så hvorfor. Hvorfor implementerer vi ikke alle den grundlæggende cyberhygiejne, der ville betyde, at den type af angreb ville være ubetydelig? Er det dovenskab? Er vi tåbelige eller uansvarlige? For at finde det rigtige svar, er vi nødsaget til at se dybt i spejlet.
Vi tror ikke, det kan ske for os.
Når det kommer til cybersikkerhed, har alt for mange virksomheder en utrolig tilbøjelighed til selvfornægtelse. De overbeviser sig selv om, at “Vi er ikke et mål” eller “Jeg har ikke adgang til noget, en hacker ønsker” eller “Der er jo aldrig sket noget.” Når det drejer sig om cyber, investerer du i ting, der ikke skal ske, hvilket gør det sværere at retfærdiggøre. Derudover er investeringen i cyber ofte både uklar, løbende og konstant stigende. De fleste ledere ønsker ikke at se på cybersikkerhed af frygt for at åbne Pandoras æske. Og hvis man pludselig får indsigt, er man ofte juridisk forpligtet til løse problemerne. Benægtelse er langt mere omkostningseffektivt.
Hvad vi kan gøre: Det faktum, at virksomhederne er tilbageholdende med at påtage sig nye udgifter, der påvirker deres bundlinjer, er ikke en dårlig ting. Det er klogt for en
virksomhed at være forsigtig med nye investeringer, især tilbagevendende og dyre investeringer. Men virkeligheden er, at alle virksomheder er et mål. Hackere er ofte vilkårlige i forhold til, hvem de angriber. De udvider deres traditionelle mål, og de bliver mere effektive og automatiserede. Der er tre håndtag, vi kan dreje på for at få virksomhederne til at tage cybersikkerhed mere alvorligt:
1. Skab en efterspørgsel:
Virksomheder bekymrer sig ikke kun om deres bundlinje, de er også meget motiverede af deres toplinje. Hvis deres modenhed i forhold til cybersikkerhed direkte påvirker deres salg, vil de investere i det. Derfor bør virksomheder have meget højere forventninger til deres leverandører og partnere. Der er behov for, at sikkerhed bliver en parameter i deres salgscyklus, et vigtigt indkøbskriterie og en integreret del af kontrakterne. Så snart virksomheder bliver mødt med, at de ikke kan byde på en opgave på grund af cybersikkerhed, vil det meget hurtigt blive en prioritet.
2. Hold administrerende direktører ansvarlige:
Bestyrelserne er nødt til at gøre cyber til en central prioritet og holde den administrerende direktør direkte ansvarlig for at reducere cyberrisici. Hvis den administrerende direktør ved, at jobbet er på spil, vil cyber naturligt være en central prioritet.
3. Gør det virkeligt:
Du kan vise ledere statistik, give dem advarsler og lave skrivebordsøvelser for at vise dem, hvad der kan ske. Men der er ikke noget mere overbevisende end et rigtigt angreb. Mange virksomheder udfører jævnligt målrettede phishing-angreb på deres ledende medarbejdere og rapporterer derefter resultaterne. Andre virksomheder har fået gennemført kontrollerede angreb, der midlertidigt lukker et vigtigt system eller processer. Dette er ikke at sammenligne med en penetrationstest, hvor en hacker forsøger at infiltrere et system, men ingen reel skade gør. Dette er en fuld live-beredskabsøvelse.
Vi tror, det er CISO’s problem
Efterhånden som virksomhederne bliver mere forbundne, presses CISO’er mellem stigende ansvarlighed og faldende kontrol. På den ene side bliver de bedt om at stå til ansvar overfor bestyrelsen og rapportere om fremskridt og forsikre om, at de tager ansvar for at reducere risikoen. På den anden side mister de synlighed og kontrol over en flydende og stadigt voksende angrebsoverflade. Mange mener, at det er CISO’s problem at få løst udfordringerne, men de fleste sårbarheder og eksponeringer findes uden for deres direkte kontrol. Dette er et umuligt dilemma og er dømt til at mislykkes. De fleste CISO’er kæmper for at holde trit med de grundlæggende krav til cybersikkerhed. Den gamle model med at placere cybersikkerhed hos en person fungerer ganske enkelt ikke længere, det kræver samarbejde på tværs af organisationen.
Hvad vi kan gøre: Virkeligheden er, at cybersikkerhed ikke kan begrænses til en afdeling. Det påvirker alle aspekter af, hvordan en virksomhed drives, så det skal deles.
1. Udvide CISO’s rolle:
Det betyder, at cyberansvar, der falder uden for CISO’s direkte kontrol, skal deles af de ledere, der direkte har ansvar over dem. CISO’s rolle bør udvikle sig til tre nøgleområder:
Beskyttelse og forsvar af de netværk, systemer og enheder, som de har direkte kontrol over
Rådgivende rolle for de dele af organisationen, der har cyberansvar uden for CISO’ens direkte kontrol
Tilsyn af virksomhedens cybersikkerhedsniveau og fremskridt.
2. Gør cyber til en del af jobbeskrivelserne:
Enhver, der har ansvar for cybersikkerhed, skal have det klart defineret i deres jobbeskrivelse. De har brug for at forstå deres cyberansvarlighed, og hvilke mandater de har til at udføre deres ansvar.
Et par grundlæggende temaer, der bør arbejdes med, er ejerskab og ansvarlighed. Virksomheder og deres ledere er for langsomme til at tage direkte ansvar for cybersikkerhed. I betragtning af at cybersikkerhed repræsenterer risici, omkostninger og udvidet ansvar, er det overraskende.
Cyber er den nye virkelighed i erhvervslivet. Alle digitale aspekter i at drive en virksomhed er uløseligt forbundet med cybersikkerhed. Vi har ikke råd til at skjule os for vores cyberansvar, og vi har alle brug for et cyber-realitetstjek for at kunne tage fat på de underliggende årsager til, at vi er vores egne værste fjender.