Övertro på egen cybersäkerhet kan bli dyrt för svenska företag

Det nya geopolitiska läget efter Rysslands invasion av Ukraina, och vår anslutning till Nato, har gjort Sverige till en utpekad måltavla, skriver Kim Elman, cybersäkerhetsexpert på Northwave Cyber Security och Monica Reinebo, krisexpert på Westander.

Mer än åtta av tio beslutsfattare inom näringsliv och offentlig sektor, 85 procent, känner sig mycket eller ganska trygga med cybersäkerheten på jobbet, enligt en ny undersökning av Verian. Att en så hög andel beslutsfattare känner sig trygga kan tolkas som ett gott betyg. 

Samtidigt pekar det mesta på att cyberhoten ökar snabbare än vår förmåga att skydda oss. Det nya geopolitiska läget efter Rysslands invasion av Ukraina, och vår anslutning till Nato, har gjort Sverige till en utpekad måltavla. Under de senaste åren har cyberangrepp mot myndigheter och leverantörer av samhällsviktiga tjänster ökat kraftigt, enligt Myndigheten för samhällsskydd och beredskap, MSB.

Att beslutsfattare i detta läge känner sig trygga pekar på en övertro till den egna förmågan som riskerar att bli kostsam.

Enligt en undersökning från IBM kostar ett dataintrång i genomsnitt 20 miljoner kronor för de skandinaviska företag som drabbas. Tietoevry uppger att prislappen för dataintrånget i våras landade på 2–4 miljoner euro, men då är inte varumärkesskadorna eller kostnaderna som drabbade deras kunder inräknade. Rusta, en av Tietoevrys kunder, har nyligen berättat att angreppen orsakade ett försäljningsbortfall på 120 miljoner kronor.

Cybersäkerhet är därmed en affärskritisk fråga. För styrelser och ledningsgrupper är det inte en fråga om ni kommer att drabbas, utan när det sker. Som de flesta som en gång varit med om en kris vet, så är goda förberedelser nyckeln till att minska negativa och dyra konsekvenser.

Det första steget till förändring är självinsikt. Utgå från att ni förmodligen är mycket sämre rustade än ni tror. Med det som utgångspunkt är det dags för ledningsgrupper och styrelser att börja arbeta strategiskt med dessa sex affärskritiska frågor:

1. Hur skyddar vi våra viktigaste tillgångar och processer?
Det är avgörande att identifiera organisationens mest värdefulla tillgångar och processer, såsom kunddata, immateriella rättigheter, finansiell information, produktionsdata och strategisk affärsinformation. Genom att identifiera och prioritera det som är viktigast att skydda minskar risken att ni förlorar informationen vid en attack. 

2. Har vi en uppdaterad krisplan och är våra talespersoner redo?
Vid cyberattacker kommer ni inte bara bedömas utifrån det som har inträffat, utan minst lika mycket utifrån hur ni hanterar och kommunicerar kring krisen. En krisplan definierar ansvarsområden och fokuserar på grundläggande principer och förhållningssätt vid kriser. Talespersoner bör utifrån planen erbjudas regelbunden träning för att känna sig trygga i intervjusituationer.

3. Har vi en uppdaterad incidentresponsplan och har vi övat på den?
En incidentresponsplan fokuserar specifikt på tekniska och operativa åtgärder för att snabbt upptäcka och hantera cyberincidenter. Ju längre en angripare har tillgång till era system, desto mer information kan de stjäla eller skada. Precis som att ni genomför regelbundna brandövningar behöver ni regelbundet öva på att hantera cyberattacker.

4. Har vi en tydlig ansvarsfördelning för cybersäkerhet?
Ledningar som etablerar tydliga ansvarsförhållanden skapar goda förutsättningar för effektivt samarbete. Det måste vara glasklart vilka funktioner som har ansvaret för vilka delar av cybersäkerheten för att säkerställa att alla aspekter hanteras effektivt och att inget faller mellan stolarna. Styrelse och ledning måste veta vilka frågor ni behöver ställa för att kunna prioritera rätt åtgärder. 

5. Hur hanterar vi risker i leverantörskedjan?
Många cyberattacker sker genom leverantörskedjan, där angripare utnyttjar svagheter hos leverantören för att komma åt deras kunder. Genom att få en överblick över riskerna i leverantörskedja kan ni göra medvetna val kring vilka risker som är acceptabla och inte.

6. Har vi en etablerad cybersäkerhetskultur på jobbet?
En motståndskraftig organisation genomsyras av säkerhetsmedvetenhet bland alla anställda. Det räcker med att en kollega klickar på fel mejl för att släppa in angriparna i era system. Genom utbildningar, regelbunden kommunikation och övningar kan ni involvera och stärka era medarbetares motståndskraft. En positiv cybersäkerhetskultur spiller dessutom över på andra viktiga områden som exempelvis psykologisk trygghet. 

Att förbättra cybersäkerheten är en affärskritisk utmaning för ledningsgrupper och styrelser. Genom att arbeta aktivt och långsiktigt med dessa sex frågor kan ni bättre skydda er mot cyberangrepp och minska de potentiella kostnaderna och varumärkesskadorna. Det är en investering som betalar sig i längden.

Kim Elman, cybersäkerhetsexpert på Northwave Cyber Security
Monica Reinebo, krisexpert på Westander.