Sverige halkar efter på många områden jämfört med andra länder i Europa när det gäller digitalisering. It-brotten mot företag ökar också konstateras i en nyligen publicerad rapport från MSB. En av orsakerna till detta är att företag fortfarande i alltför hög grad förlitar sig på lösenord som enda inloggning i sina system. I offentlig förvaltning är varianter på e-legitimation sedan länge det säkra sättet att logga in i verksamhetskritiska system. Privatpersoner har sedan länge kunnat använda BankID. Hos företag är det generellt lösenorden som regerar. Det är inte i närheten av tillräckligt skydd i en tid då angreppen ökar konstant och blivit allt mer sofistikerade
Nätfiske och annat lösenordsslarv är en av de vanligaste attackvägarna idag mot företag. Det blir samtidigt allt svårare att identifiera personerna som begår dessa brott, och var de befinner sig, vilket för med sig helt nya utmaningar.
En starkt bidragande orsak är just lösenordsanvändningen, som trots kända svagheter ändå är den vanligaste inloggningsmetoden på företag. Därför är tvåfaktorsautentisering en av de viktigaste och snabbaste säkerhetsinvesteringarna man kan göra som företag idag. Metoden innebär att det krävs minst två sätt att verifiera sig mot företagets system.
Den ökade digitaliseringen hos företag med satsningar på en ”digitalt först”-strategi i sin kontakt med omvärlden, innebär i hög grad att förtroendet för organisationerna hänger på hur bra de hanterar säkerhetsfrågorna. Förtroendekapitalet för ett varumärke kan gå från hundra till noll på mycket kort tid i samband en incident. Vissa branscher har här kommit längre, som bank- och finans, i att stärka sitt skydd. Generellt är medvetenheten högre inom känsliga branscher just för att man är väldigt medvetna om att man förvaltar ett förtroende, vilket är det som hela säkerhetsproblematiken kokar ner till.
Men informationssäkerhet är enligt vår erfarenhet i hög grad ett underinvesterat område, som borde prioriteras högre utifrån både det ökade antalet hot som betydelsen för varumärket. Parallellt vet vi också att företagen tyngs av ett ökat antal regulatoriska krav, såsom GDPR, NIS, Säkerhetsskyddslagen samt EU Cybersecurity Act. Regulatoriska krav har dock det goda med sig att det driver den här typen av frågor.
Det är också viktigt att komma ihåg att cyberattacker såsom överbelastningsattacker och nätfiske är globala hot. Enskilda organisationer kan inte längre ensamma skydda sig effektivt mot dessa. Skydd måste också införas på nationell och internationell nivå. För det är alltför tids- och resurskrävande, dyrt och osäkert när organisationer var och en försöker uppfinna hjulet och införa egna lösningar på gemensamma problem. Med andra ord – säkerhetsfrågorna borde inte vara ett enskilts företags konkurrensfaktor utan snarare en fråga fler tjänar på att samverka kring. Så sker redan i utsatta branscher som hälso-och sjukvård, bank och finans och i myndigheterna vilket visat sig framgångsrikt.
Vi måste helt enkelt samverka och koordinera aktiviteter tillsammans för att få bukt med problemen. Och en stor andel av problemen i samband med nätfiske skulle kunna lösas om tvåfaktorautentisering i någon form var standard för företag och organisationer. Då kan riskerna med kontokapning minskas väsentligt, som i sin tur innebär en väsentligt minskad risk att företagen ska förlora känsliga data vid ett intrång och därmed riskera att underminera sitt varumärke eller tappa värdefulla immateriella tillgångar.
Niklas Anderson, vd och grundare av SecMaker
Nuförtiden investerar i princip alla företag i utrustning avsedd för att öka säkerheten i sina system, oavsett om det är nästa generations brandväggar, ny nätverksutrustning, eller skydds- och säkerhetsprogramvara. Trots alla dessa försiktighetsåtgärder och investeringar utsätts företag ändå för hot, eftersom de dagligen utgör måltavlor för kontinuerliga attacker. Även om företagens säkerhetssystem, som de under lång tid har investerat stora pengar i, är avgörande för att motverka cyberattacker, så finns ingen garanti för att de är 100 procent säkra.
IoT på arbetsplatsen i våra hem och i samhället förbättrar våra liv. Information i realtid ger möjlighet till snabba justeringar och ökad effektivitet. Nio av tio tillfrågade ledare i stora organisationer svarar i en undersökning tidigare i år genomförd av Wakefield Reseach att de betraktar insamlad data via IoT som en vital del av organisationens arbetsstyrka. Därför måste vi ta säkerhetsdiskussionen på fullaste allvar från första början. Sakernas internet är nämligen för bra för att tacka nej till.
I Sverige finns 290 kommuner. I kommunernas åtagande ligger ansvaret över samhällskritiska funktioner, till exempel distribution av vatten, värme och el till kommunens invånare. Kommunerna är skyldiga att försäkra sig om att distributionen av dessa kritiska funktioner fungerar. Samtidigt ställs väldigt höga sparkrav på kommunerna att välja den billigaste lösningen, vid inköp av utrustning till de driftcentraler som betjänar samhällskritiska funktioner. Detta rimmar illa.
I en tid där Internet, enligt min mening, mer och mer centraliseras blir den geografiska positionen allt mer väsentlig. Men vilka är utmaningarna och möjligheterna? Och på vilket sätt spelar säkerhet och medvetande för roll i sammanhanget?
Under de senaste åren har många oroat sig över att desinformation på sociala media riskerar att inte bara skada företag och dess varumärken – utan också samhället i stort. Ett någorlunda färskt exempel på det är det amerikanska presidentvalet 2016 – som drogs med anklagelser om att ryska hackare infiltrerat det elektroniska röstningssystemet i över tjugo stater. Dessutom satte hackare upp tusentals falska konton på Twitter och Facebook och publicerade negativa poster om Hillary Clinton.
Enligt säkerhetsföretaget McAfee har IoT-skadlig kod ökat med över 200 procent under år 2018 och World Economic forum rankar cyberattacker som den största faran för mänskligheten, efter naturkatastrofer och extremväder, i rapporten Global risk report 2019.
