Den stigende digitalisering påvirker ikke alene måden, som vi arbejder på, men også måden hvorpå, vi skal tænke it-sikkerhed.
Sikkerhedstruslen har bevæget sig fra at være enkeltstående drengestreger til at være nuanceret og organiseret it-kriminalitet.
De it-kriminelle driver en benhård, professionel forretning, og det stiller krav om en tilsvarende professionel tilgang til håndteringen af datasikkerhed.
Ransomware er big business
Når vi taler om it-sikkerhed i dag, refererer vi til tre begreber: Beskyt, opdag og reagér.
Tidligere har vi primært fokuseret på at beskytte medarbejderne og virksomheden mod udefrakommende trusler.
I overført betydning har vi bygget en høj sikkerhedsmur uden om virksomhedens it-systemer.
Men den seneste rapport fra PwC (PwC Cybercrime Survey 2016) taler sit tydelige sprog og viser, at:
- 7 ud af 10 virksomheder lige nu er under angreb.
- det i gennemsnit tager 230 dage, inden det bliver opdaget, at virksomheden er inficeret.
- det tager tre dage at gribe ind, når det bliver opdaget, at virksomheden er inficeret.
Dertil kommer så den voldsomme vækst i ransomware, hvor it-kriminelle overtager og krypterer virksomhedens computere og systemer, hvis man ikke betaler en løsesum.
Der er sket en tredobling i antallet af sager om ransomware inden for det seneste år, hvilket skaber et behov for at anvende moderne advarselssystemer, så indtrængende hurtigt bliver opdaget og isolereret.
Det kan du læse mere om her: Hackerne i kæmpe-offensiv: Antallet af ransomware-angreb eksploderer
Accepterer virksomheden at betale selv små beløb i løsepenge, er den med til at støtte de it-kriminelles forretningsmodel.
Sikkerhedskulturen skal forankres i bestyrelsen
Vi kan ikke længere forvente, at vi alene kan 'beskytte' os mod udefrakommende trusler. Vi er nødt til at 'opdage' det i tide og 'reagere' på det.
Derfor er vi nødt til at opfordre til en proaktiv tilgang til virksomhedens it-sikkerhed og til at facilitere en sikkerhedskultur, hvor medarbejderne aktivt forholder sig til, hvordan de behandler virksomhedens data.
Sikkerhedskulturen bør omfatte alle i virksomheden og række langt ud over selve it-afdelingen.
Holdningen skal forankres på bestyrelsesniveau, for virksomhedens eksistensgrundlag er forankret i data.
Den fysiske sikkerhedskultur er veletableret, og ingen medarbejdere lader hoved- eller bagdøren stå åben, så fremmede kan gå ind.
Der er behov for, at vi får etableret en digital sikkerhedskultur, der bliver ligeså naturligt integreret i medarbejdernes ageren via online-platforme, og hvad angår databehandling.
Medarbejderne udgør den største trussel for digital sikkerhed, og kommer de uforvarende til at lade døren stå åben for it-kriminelle, går der ikke lang tid, før de har opsnappet personlige adgangskoder til Facebook og netbank - og før medarbejderen ved af det, virksomhedens netværk.
Herfra er alle muligheder til stede for, at de nemt kan trække store mængder af data - direkte ud af virksomhedens hoveddør.
Forbrugerne er bekymrede - og konsekvente ved brud på datasikkerheden
Vi ved fra vores undersøgelser, at de danske forbrugere har høje forventninger til virksomhedernes behandling af datasikkerhed (forbrugerundersøgelse udført i samarbejde med YouGov, 2016.).
Men 69 procent af forbrugerne er bekymrede for, hvordan virksomhederne håndterer deres personlige oplysninger, og hvorvidt de virkelig gør, hvad de kan for at sikre, at deres personlige oplysninger ikke bliver stjålet.
58 procent af forbrugerne forventer, at virksomhederne gør, hvad de kan for at beskytte deres personlige oplysninger, men kun 15 procent tror, at virksomhederne virkelig gør, hvad de kan.
Brud på datasikkerheden kan have meget alvorlige konsekvenser for virksomhederne.
Uanset branche vil mellem 63 procent og 73 procent af danske forbrugerne enten skifte udbyder øjeblikkeligt eller overveje at skifte udbyder, hvis de opdager, at virksomheden har oplevet brud på datasikkerheden.
Er cloud værre?
Øges risikoen ved anvendelse af moderne cloud-baserede løsninger? Nej, naturligvis ikke, men der introduceres andre dimensioner som for eksempel, hvor data geografisk befinder sig.
Men det overskygges klart af en af fordelene ved netop de cloud-baserede løsninger der - i et sikkerhedsperspektiv - reducerer tidsrummet, hvor de it-kriminelle kan arbejde på at finde eventuelle huller i sikkerhedssystemet.
De nye og kontinuerligt tilgængelige opdateringer mindsker risikoen for angreb, fordi opdateringerne sker med markant hyppigere frekvens.
Dertil kommer, at virksomheden ved at vælge en cloud-baseret-tredjepartsleverandør kan få assistance til at leve op til sin rolle som dataansvarlig.
Arbejder man derudover med opbyggelsen af en god data- og sikkerhedskultur vil virksomheden i højere grad være i stand til at leve op til kravene i EU's Persondataforordning, der træder i kraft i maj 2018.
Rationalet er ikke til at tage fejl af.
Hvis virksomhedens toplinje skal sikres, skal hele virksomheden tage datasikkerhed alvorligt, for det har direkte indvirkning på bundlinjen.
Agerer virksomhederne proaktivt og ser det som en mulighed, er der potentiale for at anvende datasikkerhed som et positivt konkurrenceparameter.
Det både kræver og forventer kunderne.
Gode råd før man angribes:
- Sørg for at have en ordentlig backup og test ofte kvaliteten af backup-/restoreløsningen.
- Hold al software opdateret.
- Brug en opdateret anti-malware-/anti-virusløsning.
- Scan alle e-mails for links og vedhæftede filer, inden brugerne modtager dem, og sortér de ondsindede fra (gerne med besked til modtageren, så de oplever, at en fare er blevet afværget.
- Begræns brugen af administratorkonti mest muligt.
- Overvej at anvende ny 'detection' software, som kan spotte unormal adfærd og trafik og sætte inficerede maskiner i karantæne.
Gode råd ved mistanke om angreb:
- Afbryd alt netværk på den potentielt angrebne maskine.
- Forsøg en System Restore.
- Reset maskinen med et rent image og foretag Restore fra din backup, når maskinen er konstateret ren.
- Gennemsøg sideløbende resten af netværket og klienter for eventuel inficering med nyeste signaturer fra anti-malware-leverandør mm.
- Afslutningsvis kan virksomheden overveje at formulere en intern historie om hændelsen med udgangspunkt i risikoen for virksomheden rent økonomisk, brand- og kundeloyalitetsmæssigt.
Det skaber opmærksom om konsekvenserne, og hvordan den enkelte medarbejder kan bidrage, hvilket er med til at skabe og opretholde en god sikkerhedskultur.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.