I dag er cyber risk top of mind hos både virksomheder, forbrugere og ikke mindst hos de regulerende myndigheder. Efter flere års uhæmmet rush i den datadrevne digitale tidsalder, der blev defineret ved, at ”alt er tilladt” og en mentalitet om at ”bevæge sig hurtigt og disrupt”, er vi nu på vej ind i en periode, hvor det kræver lidt eftertanke, og selvom alt er muligt, er det ikke nødvendigvis nødvendigt.
For virksomheder, uanset størrelse eller sektor, har dette store konsekvenser. Databrud og overtrædelse af privacy (GDPR) er både mere udbredt og utroligt kostbart. En undersøgelse foretaget af Risk Based Security viste, at databrud er steget mere end 54 % fra samme periode sidste år. Mens IBM’s annual Cost of a Data Breach Report viser, at de gennemsnitlige samlede omkostninger ved et brud nærmer sig 4 millioner dollars.
I det lys er det helt naturligt, at datasikkerhed og brud på privatlivets fred vil blive et bundlinjespørgsmål i 2021, da en ny æra præget af privacy (GDPR) og sikkerhed gennemsyrer det digitale landskab.
For at hjælpe din virksomhed med at forberede sig på disse voksende og uundgåelige cyberrisici har vi defineret 20 cyberrisici, som din virksomhed meget vel kan risikere at stå overfor i 2021.
1. Mere pandemisk-relateret phishing
Cyberkriminelle vil fortsætte med at bruge COVID-19 pandemien som et tema for deres phishing-kampagner. Angreb falder ofte sammen med større begivenheder, såsom en stigning i nye tilfælde eller annoncering af et nyt lægemiddel eller vaccine. Deres mål er at få intetanende misbrugere til at klikke på et ondsindet link eller en vedhæftet fil eller opgive følsomme oplysninger.
En tidligere analyse fra Microsoft fandt, at phishing-svindel er steget med 250 % sidste år. Hvad værre er, bliver teknikkerne mere og mere sofistikerede, hvilket gør dem både sværere at identificere og mere succesrige i deres udførelse.
Disse e-mails kan oversvømme virksomhedens indbakke stort set uden omkostninger for hackerne. Men der skal kun et enkelt medarbejderklik til at kompromittere store mængder af virksomhedsdata.
2. Utilsigtet eksponering af data
Undertiden er databrud og krænkelser af privatlivet resultatet af sofistikerede hackere, der udnytter sårbarheder til at stjæle informationer. Dog er databrud ofte forårsaget af et uheld.
F.eks. viser en undersøgelse foretaget af Shred-it, at 40 % af ledende medarbejdere og ejere af mindre virksomheder rapporterer, at uagtsomhed og utilsigtet tab var den grundlæggende årsag til deres seneste sikkerhedshændelse.
Denne virkelighed blev understreget, da en medarbejder hos en leverandør til den australske regering ved en fejltagelse sendte et internt regneark til offentligheden, der indeholdt folks personlige oplysninger.
3. Udbrændte IT-administratorer
Dagens trussellandskab kan være udmattende. Bare spørg IT-administratorer, der er ansvarlige for at beskytte en virksomheds vigtigste data.
Hackere skal kun lykkes én gang for at påføre virksomhedens bundlinje alvorlige skader, mens IT-administratorer er ansvarlige for hele tiden at sikre en perfekt blokering af konstante angreb. Det er sandsynligvis derfor, næsten 2/3 af cybersecurity-specialister har overvejet at forlade deres job eller forlade branchen helt.
Dette faktum efterlader virksomheder sårbare over for databrud og overtrædelse af privacy.
4. Medarbejderes datatyveri
I de fleste tilfælde er ansatte en virksomheds største aktiv qua deres daglige arbejde, der gør det muligt for virksomhederne at vokse.
Selvfølgelig kan medarbejdere undertiden enten ved et tilfælde eller med vilje være en virksomheds største trussel. Tyveri af virksomhedsdata begået af nuværende og tidligere ansatte er utroligt almindeligt, noget, som den canadiske organisation Desjardins lærte på den hårde måde.
I juni 2019 stjal en tidligere medarbejder personoplysninger fra næsten 3 millioner kunder, hvilket markerer en af de største datakatastrofer i landets historie.
5. Tilfældig digital kommunikation
Digital kommunikation er en allestedsnærværende del af vores daglige liv, men det kan også være en tikkende sårbarhed for virksomheder, der stræber efter at beskytte kundernes data.
Brug af personlige enheder eller personlige konti til at formidle følsomme kundeoplysninger er skræmmende almindeligt og meget udbredt.
For eksempel erkender næsten 30 % af de ansatte inden for sundhedsvæsenet i USA, at de benytter personlige enheder til at kommunikere private patientoplysninger med.
6. Ransomware
Der er mange måder for hackere at tjene penge på stjålne data. Mens Dark Web tilbyder et stort netværk af salgsmuligheder, vender stadigt flere cyberkriminelle sig tilbage til kilden for deres indkomst.
I stedet for at sælge stjålne data online presser tyvene virksomheder til at betale en løsesum, hvilket skaber et no-win-scenario for virksomheder, der er ofre for denne type angreb.
I løbet af det sidste år har hackere øget deres ransomware-angreb mod virksomheder, der registrerer en stigning på 500 procent i malware.
Cybersecurity Ventures har analyseret historiske data i forhold til cyberkriminalitet og forudsiger, at en virksomhed bliver offer for et ransomware-angreb hvert 11. sekund i 2021. Hvor det i 2019 var hvert 14. sekund. De samlede omkostninger ved ransomware vil overstige 20 mia. $ globalt.
7. Insider
Med fare for at lyde som en gammel plade er insidertruslen endnu en ikke-ny trussel for 2021. Imidlertid, og dette er stort, dog bliver insidertrusler mere sofistikerede og aggressive hele tiden.
I de sidste par år har flere højtprofilerede virksomheder oplevet databrud på baggrund af medarbejdere, der blev bestukket for at lække virksomhedsoplysninger.
Tidligere undersøgte Amazon flere ansatte for deres roller i bestikkelsessager, der kompromitterede virksomhedsdata. For nylig blev det afsløret, at AT&T-medarbejdere modtog bestikkelse for at plante malware på virksomhedsnetværket, der gav indsigt i AT & T’s arbejde.
Naturligvis er det at bestikke medarbejdere ikke den mest oplagte måde at udføre cyberkriminalitet på og specielt ikke i Danmark, men det er en sårbarhed, som virksomheder skal være parate til at håndtere.
8.Netværk som gidsel
De sidste par år har kommuner overalt i USA fået deres IT-infrastruktur forstyrret af ransomware-angreb. Imidlertid er denne trussel ikke kun henvist til offentlige institutioner. SMV’er og andre virksomheder uden opdaterede cyber risk-kompetencer er alle udsat for denne trussel.
Desværre er omkostningerne til at gendanne data mere end fordoblet i 2020, og alle tegn tyder på, at denne tendens fortsætter langt ind i næste år.
9. Alle har adgang til alle data hele tiden
Adgang til virksomheds- eller kundedata skal være efter princippet need-to-know, som minimerer muligheden for misbrug. Alt for mange virksomheder giver alle medarbejdere fuld adgang til alle virksomhedens data hele tiden.
Dermed øger de unødvendigt sandsynligheden for, at der kommer et brud på sikkerheden eller på privacy i fremtiden.
10. Privilegerede brugere har adgang til for meget
Datasikkerhed dækker alle, inklusive de ansatte, og enhver virksomhed skal sikre, at nogen overvåger overvågningen. Hvis man ikke evner at sikre ansvarlighed på alle niveauer i en organisation, øges sandsynligheden for, at der sker et databrud i fremtiden.
11. Medarbejdere, der har brug for flere penge
Medarbejdere stjæler virksomhedsdata af mange grunde, men et af de mest åbenlyse og håndgribelige motiver er penge. En undersøgelse foretaget af Deep Secure viste, at 45 % af medarbejderne ville overveje at sælge virksomhedsdata til udenforstående.
Undersøgelsen viste endvidere, at 15 % af britiske ansatte er villige til at sælge informationer for $ 1.260, mens 10 % ville sælge data for kun $ 315.
Disse data er tydeligvis billige for de kriminelle at få fat i, men de kan være kostbare for virksomheder at miste.
12. Ledelsen nedprioriterer nødvendige cybersikkerhedsinitiativer
SMV’er er de mest sårbare over for et cyberangreb, da lederne i disse selskaber er mest tilbøjelige til at nedprioritere cybersikkerhedsinitiativer. En undersøgelse foretaget af Keep Security viste, at 66 % af SMV’erne ikke tror, de vil blive ramt af et databrud, hvilket står i skærende kontrast til de tal, Ponemon Institute har fremlagt, der viser, at 67 % af SMV’erne var udsat for et alvorligt angreb sidste år.
13. Medarbejdere og hjemmearbejdspladser
I henhold til en Verizon’s Data Breach Investigation Report er næsten 24 % af databrud forårsaget af medarbejdere, der keder sig. Rapporten viste, at “for sjov” var en af de væsentligste årsager til databrud eller brud på privacy (GDPR).
Det understreger den overraskende holdning til datasikkerhed, der stadig gennemsyrer mange organisationer, og som objektivt set repræsenterer en alvorlig trussel i 2021.
Desuden vil der i fremtiden være flere medarbejdere, der arbejder hjemmefra, bruger enheder, der ikke er patched, administreret og kontroleret af virksomhedens it-afdeling. Dette øger virksomhedens angrebsoverflade og giver hackere adgang til netværket, der omgår perimetersikkerhed. Følsomme virksomhedsdata lagres på disse enheder, hvilket yderligere øger risikoen for et databrud.
Cyberkriminelle følger altid brugerne og starter angreb, der udnytter deres adfærd og vaner. Vi så det meget tydeligt i 2020, da medarbejdere pludselig blev sendt hjem for at arbejde, og deres brug af teknologi og enheder skiftede. Cyberkriminelle udnyttede denne pludselige ændring til at lancere phishing, vishing, ransomware og en hel række andre angreb, der var målrettede de nye huller i virksomhedernes sikkerhed, da de færreste var forberedt på denne situation.
Hvis organisationer ikke genovervejer deres tilgang til sikkerhed, vil cyberkriminalitet fortsætte med at udvikle sig og udnytte fjernarbejdere som de ideelle indgangspunkter i virksomhedens it-økosystemer.
14. Spear-phishing-angreb
Phishing-angreb er modbydelige, men spear-phishing-angreb er direkte ondskabsfulde. Denne særlige form for phishing-angreb bruger tidligere stjålne data til bl.a. at skabe troværdige e-mails, der er meget vanskelige at stoppe og forsvare sig imod.
The City of Naples fik kærligheden at føle i en pinlig og dyr sag, der kostede byen 700.000 dollars, da en medarbejder blev narret til at betale en falsk faktura, der blev modtaget som en del af et målrettet spear-phishing-angreb.
Efterhånden som flere og flere data bliver tilgængelige online, vil disse angreb forventeligt blive intensiveret i fremtiden.
15. Godt gammeldags bedrageri
Ofte er databrud eller overtrædelse af privacy (GDPR) bare den første handling på en voksende liste af cyberkriminalitet. For eksempel fandt en rapport fra Risk Based Security, at e-mailadresser og adgangskoder er de mest søgte data på internettet, og det forekommer i 70 % af alle databrud. Disse informationer kan ligeledes benyttes i andre og mere avancerede cyberangreb.
16. Vrede ejere
Ganske få mennesker har adgang til virksomhedsdata i samme omfang som virksomhedens ejere. Dette er ikke nødvendigvis et problem, indtil den dag hvor det bliver et kæmpe problem, hvis ejerne beslutter sig for at forlade virksomheden eller af andre årsager tvinges ud af deres virksomhed.
Privilegerede brugere viser sig ofte som en sårbarhed, da der implicit er 100 % tillid til dem, og tilsyn ofte er minimal eller ikke-eksisterende, hvilket skaber en unødvendig mulighed for datatab og krænkelser af privacy.
17. Karriereudvikling efter datatyveri
Et overraskende stort antal ansatte er villige til at stjæle virksomhedsdata for at opnå en fordel på jobmarkedet. For eksempel blev to tidligere Apple-ansatte, der arbejdede med virksomhedens hemmelige bilprojekt, tiltalt for datatyveri, efter at de stjal mere end 2.000 filer, der var relateret til projektet.
Imens var gerningsmændene i ansøgningsproces hos et kinesisk bilfirma. Uanset om medarbejdere stjæler IP-rettigheder, kundedata eller anden værdifuld information, kan det give en fordel på et konkurrencepræget jobmarked, hvilket udgør en sikkerhedsmæssig risiko for virksomheder.
18. For simple passwords
En undersøgelse foretaget af Google viste, at 1,5 % af alle loginoplysninger, der bruges på internettet, er sårbare over for ”credential stuffing”, der udnytter tidligere stjålne oplysninger til at påføre virksomheden yderligere skade på deres infrastruktur.
Interessant nok var medarbejderne tilbageholdende med at ændre eller forbedre disse passwords, når de blev underrettet om deres følsomhed. Hvis du ikke indfører kontroller for, at man følger best pratice i forhold til passwords, udsættes din organisation for en stor risiko.
19. Hackere på jagt efter berømmelse
Kreditkortselskabet Capital One endte i samtlige overskrifter, da de var blevet kompromitteret, og der var tabt mere end 100 millioner records, og det blev dermed et af de største databrud, vi har set, skriver CNN.
Bruddet blev orkestreret af en hacker, der mest jagtede berømmelse og håneretten på forskellige online communities.
For nogle hackere handler det ikke om data eller privatliv, men om deres egen berømmelse, hvilket er problematisk og gør det svært for de virksomheder, der stræber efter at beskytte deres kunders data.
21. Dunning-Kruger-effekten
Og hvad har Dunning-Kruger-effekten så med cyber risk at gøre? Rent faktisk har det rigtig meget med cyber risk at gøre, for en af de mest oversete cybersikkerhedstrusler er netop vores egen psykologi. Med omfattende sikkerhedspolitikker, spamfiltre, firewalls, awareness træning og et væld af anden teknologi, er der kun den menneskelige irrationelle adfærd tilbage, som er kernen i de fleste sikkerhedsbrud.
Og netop troen på egne evner er voldsomt udbredt blandt sikkerhedsfolk. Har vi ikke alle mødt en person, der ved det hele og hvor det er umuligt at trænge ind med nye perspektiver og vinkler?
Dunning og Kruger påstår, at mennesker der tror “for meget” på egne evner:
- har tendens til at overvurdere deres eget niveau af færdigheder
- undlader at genkende ægte dygtighed hos andre
- undlader at erkende ekstremiteten af deres utilstrækkelighed
- kan genkende og anerkende deres egne hidtidige mangel på færdigheder, hvis de får relevant uddannelse
Dette fænomen forklarer måske en af de mest varige gåder indenfor cyber risk?
Jeg er sikker på at hvis vi kan få gjort op med Dunning-Kruger-effekten i cyber risk, så vil verden meget hurtigt blive et mere sikkert sted, så hjælp med at tage kampen op og få sat Dunning-Kruger-effekten på dagsorden, når i snakker cyber risk fra bestyrelsen og ned igennem hele organisationen.
Ligesom i de forgangne år vil 2021 være fyldt med risici, og dette giver enhver organisation en mulighed for at differentiere sig i, hvordan de håndterer denne usikkerhed, og hvordan de planlægger at beskytte deres virksomheds- og kundedata fremover.
CISO’erne står overfor det helt store gennembrud i 2021, de har opnået en position med større indflydelse og interaktion med de administrerende direktører og bestyrelsen end nogensinde før – og nu er muligheden der for at udnytte deres plads ved bordet og for at demonstrere vigtigheden af at integrere sikkerhedshensyn i bredere forretningsinitiativer.
Held og lykke i 2021.