Nyheter

IT-säkerhetsreglerna gäller för alla – även ledningen

Av Redaktionen Stordåhd |

Text: Brigitte Elwes, Senior Manager, Cybersecurity Solutions, Verizon Business i Norden och Benelux

IT-säkerhet är som bekant en helt avgörande faktor för företag inom alla industrier och branscher. Digitaliseringen i både privata och offentliga verksamheter har skapat många nya möjligheter, men också många nya sårbarheter. Till exempel så kan en produktionsverksamhet, med IoT-enheter överallt i sin försörjningskedja, uppnå en högre transparens- och insiktsnivå än någonsin tidigare, samtidigt som samma enheter även potentiellt kan utgöra svaga punkter för cyberkriminella att utnyttja.

Ny teknologi har alltid fört med sig både nya möjligheter och risker. Det är däremot inte sagt att vi ska avstå innovation men att vi, i och med den snabba innovationstakten vi ser idag, bör vara mer uppmärksamma och bra på att dela nyttig information med varandra. Detta är bakgrunden till Verizons årliga kartläggning av IT-säkerheten, i företagets rapport Data Breach Investigations Report (DBIR), som just publicerats för 16e året i rad. Rapporten målar upp en bild av aktuella trender och tendenser, samt uppmärksammar även de stereotyper som kan uppkomma kring IT-säkerhetshot.

Mänskliga misstag mer avgörande än avancerad teknik

Det finns en utbredd missuppfattning om att IT-brottslingar är teknikexperter som använder avancerade metoder och sofistikerade tekniker för att få tillgång till nätverk och data. Verkligheten är dock att den överväldigande majoriteten av säkerhetsincidenter och dataintrång (74 procent) inträffar på grund av vad vi kallar den mänskliga faktorn, dvs. mänskliga misstag, missbruk av privilegier, användning av stulna referenser eller social ingenjörskonst, där teknisk expertis inte är det avgörande elementet.

Det handlar kort och gott om att människor och anställda gör misstag eller manipuleras till det, vilket i sin tur gör företagens nätverk sårbara för kriminella. Denna orsak till intrång i datasäkerheten är fortfarande dominerande, även om allt fler företag på senare år har prioriterat att utveckla och utbilda sina anställda inom IT-säkerhet.

Ärenden med falska förevändningar fördubblades på ett år

Ett av de vanligaste sätten att utnyttja den mänskliga faktorn är så kallad “social engineering”. Det är en taktik där människor utsätts för manipulation och luras till att avslöja information och data som kan användas för att få tillgång till ett nätverk. Antalet fall där social engineering används har ökat, vilket inte minst beror på en fördubbling av antalet fall där falska förevändningar (pretexting) används för att äventyra datasäkerheten.

Pretexting är en typ av social engineering där en kriminell aktör utger sig för att vara en betrodd person eller organisation, för att tillskansa sig känslig information. Den ökade effektiviteten vid pretexting är troligen proportionell med dess ökade komplexitet. Detta är oroande, inte minst i ljuset av nya teknologier som t. ex. generativ AI, vars avancerade möjligheter till språkbehandling kan användas för att efterlikna individers talmönster. Denna aspekt är fortfarande för ny för att registreras i årets DBIR-undersökning, men det skulle inte vara förvånande om den dyker upp i nästa års rapport.

Attacker leder till stora förluster

Pretexting används ofta vid BEC (business e-mail compromise) -attacker där cyberkriminella tillskansar sig åtkomst till ett e-postkonto kopplat till ett företag i syfte att utge sig för att vara ägare till kontot. Medianbeloppet som stulits i BEC-attacker har stigit till över en halv miljon SEK under de senaste åren.

Men BEC är verkligen inte den enda attackmetoden som har blivit dyrare. Mediankostnaden per ransomware-attack har fördubblats under de senaste två åren, då 95 procent av ransomware-attacker resulterade i förluster på mellan ca 10,7 och 24 miljoner SEK.

Sist men inte minst: Cheferna ska också följa alla IT-säkerhetsregler

Ofta är det personerna med tillgång till ett företags mest känsliga information även de som är mest sårbara för en cyberattack: nämligen ledningen. Även om företag har investerat i IT-säkerhet och uppgraderat sin kritiska infrastruktur, gör de ofta undantag för ledningen, vilket undergräver grundläggande säkerhetsinsatser. För att vara effektiva i att försvara sig mot de ständigt föränderliga cyberhoten måste företag tillämpa säkerhetsprotokoll som gäller alla – utan undantag.

    Du kanske även vill läsa om det här

    AI är bästa försvaret mot AI-attacker

    ABB E-mobility lanserar ny snabbladdare – A400

    Easee offentligör elstatistik – Transparens som gynnar hela samhället

    Nytt samarbete revolutionerar taxibranschens kontroller

    Eaton öppnar ny fabrik i Finland – möter efterfrågan av energieffektiva UPS-system

    Boliden växlar upp 5G-samarbetet med Telia och Ericsson 750 meter under jorden

    Verdion har säkrat ett förvärv för brownfield-utveckling av modern logistik i Malmö

    Einride och DP World tillkännager den största satsningen på elektrisk och autonom frakt i Mellanöstern

    Resebranschen ökar teknikinvesteringar med 14% under 2024