Cyberattacker är ett av de största hoten mot företags verksamhet och området är så lukrativt att det gått om den globala droghandeln i omfattning.

Vi ställde några frågor till Mårten Thomasson och Rehanna Gerleman, som håller i Cyber Risk Management-programmet på SSE Executive Education, för att förstå mer och ta del av deras tips om hur företag kan hantera riskerna för attacker.

Varför bör organisationer prioritera hanteringen av cyberrisker?

– En förståelse för cyberrisker är en förutsättning för att prioritera rätt och implementera strategier för att minska eller hindra skadeverkningarna av cyberangrepp. De senaste åren har statliga cybervapen läckt och finns online att ladda ned, vilket betyder att vilken brottsling som helst kan hämta hem och utföra avancerade attacker. Flera kända case på senare tid – till exempel Maersk vars verksamhet slogs ut av ransomware till en kostnad av 300 miljoner dollar, liksom Norsk Hydro vars slutnota landade på ca 600 miljoner norska kronor – påvisar vikten av att företagsledningar bör prioritera cyberrisker som en av de största företagsriskerna idag. I mångt och mycket nyttjar cyberangripare idag samma brister som vi och våra branschkollegor under en längre tid har varnat för. Till exempel hade skadeverkningarna från både Maersk och Norsk Hydro kunnat minskats avsevärt om dessa brister hade adresserats i tid. I Maersks fall påtalade representanter för IT, redan ett år innan angreppet, risken för att drabbas allvarligt av snabbt spridande skadlig kod som en konsekvens av det osegmenterade nätverket.

Hur orolig bör man vara?

– Ordentligt orolig. Området är så lukrativt att det gått om den globala droghandeln i omfattning. Och det ser inte ut att minska. Alla riskerar att bli hackade förr eller senare, frågan är egentligen bara hur omfattande skadorna blir.

Vems är ansvaret för att förhindra attackerna?

– Ytterst hamnar ansvarsfrågan hos högsta ledningen och behöver därifrån förmedlas ut i verksamheten. I dag finns det ett gap mellan IT och övrig verksamhet på alldeles för många företag. Det är fortfarande vanligt att man så att säga beställer IT istället för att behandla det som vilken affärsprocess som helst. IT är ett nyckelområde, precis som ekonomi eller rekrytering, och borde hanteras på samma sätt. För varje förvaltningssystem behöver det finnas en ägare som ansvarar över det, så att all verksamhet taktar tillsammans. Samarbete ger positiva konnotationer i hela organisationen.

Cyberattacker är ingen direkt nyhet, varför har vi inte kommit längre i det strategiska arbetet?

– Dels uppfattas cyberrisker som abstrakta och är generellt inte föremål för samma typ av strukturerad riskhantering som till exempel den finansiella styrningen av organisationer. Vi ser ofta att det strategiska cyberarbetet påbörjas på allvar först när organisationen eller andra i samma bransch drabbas av ett angrepp. Dels har angreppen på senare tid ändrat karaktär till att bli mer destruktiva – angriparna har blivit mycket mer resursstarka och ligger ofta steget före. Vi ser att uppvaknanden sker på alla håll; såväl på företags ledningsnivå som på politisk nivå i samhället. Till exempel ställer EU-förordningar och direktiv såsom GDPR och NIS krav på organisationer med hot om höga viten om säkerheten inte hanteras på rätt sätt..

Varför ska jag som ledare utbilda mig om cyberrisker och inte skicka någon annan?

– Kunskapen bör finnas där ansvaret sitter. I takt med digitaliseringen och de utmaningar som det innebär för organisationer, såväl ur ett strategiskt och tekniskt som kompetensmässigt perspektiv, behöver personer i ledande befattningar vara insatta i cyberriskerna för att kunna fatta korrekta beslut och navigera rätt.


Mårten och Rehannas tips för att undvika cyberattacker:

    • Riv ned de fiktiva väggarna mellan avdelningarna, öka förståelsen genom att diskutera öppet mellan avdelningarna och var strukturerad. Gör en gemensam riskanalys: hur ser kostnadsbilden ut vid cyberangrepp? ”Hur stor är risken att drabbas av ett angrepp som krypterar våra maskiner och vad blir konsekvenserna av det?”  Varje minut som vi hamnar i stillestånd i verksamheten är en monetär förlust.
    • Satsa budgeten på det som ger mest effekt. Genom att prioritera rätt och arbeta strategiskt kan ni göra mycket för att höja motståndskraften. Det är bättre att ha en plan än att arbeta akut och släcka bränder när attacken är ett faktum. Ta reda på vad som är rätt för just er.
    • Lär er vilka typer av angripare ni förväntas drabbas av och skydda er mot dessa. Att förstå hur cyberangrepp går till och att arbeta med scenarier kring var i infrastrukturen ett angrepp kommer ske är två strategiska tillvägagångssätt. Jobba med exempel ur verkligheten för att öka relevansen. Hur ska vi undvika att hamna i knipa? Ni behöver fundera över vilka mål, såväl personal som tillgångar, som är särskilt skyddsvärda, samt hur er befintliga riskexponering ser ut.
    • Workshoppa tillsammans. Samla olika personer i rummet som inte träffas så ofta – CIO och CISO, verksamhetschef, representanter för HR, juridik och teknikområden som till exempel arbetsplats, serverplattform och utveckling – och diskutera. Detta möte är väldigt intressant eftersom många uppvaknanden sker här.

 


 

 

Mårten Thomasson, grundare och VD på Addlevel, har jobbat med säkerhet mot stora organisationer inom bank, finans och svensk industri i snart 20 år. Han är en ledande expert inom informationssäkerhet, med uppdrag som sträcker sig från etablering av säkerhetsstrategier, säkerhetsdesign och arkitektur och agerar som säkerhetsrådgivare för internationella företag och ledningsgrupper.

 


Rehanna Gerleman är jurist och informationssäkerhetskonsult med erfarenhet från såväl kommunal och statlig som privat sektor. Tillsammans med Mårten utbildar hon dataskyddsombud samt agerar som rådgivare för banker och försäkringsbolag, bland annat inom GDPR och informationssäkerhet.

 

 

Fler relaterade utbildningar: