Cyberangrep er en stadig økende trussel for bedrifter og organisasjoner over hele verden. Men til tross for økt bevissthet og investeringer i cybersikkerhet, mislykkes mange bedrifter og organisasjoner i å forhindre disse angrepene. I denne artikkelen ser Jan Terje Sæterbø, Sikkerhetsleder i F24 Nordics, nærmere på noen av årsakene til hvorfor de mislykkes.
Et av hovedproblemene når det gjelder cybersikkerhet er manglende forståelse for alvoret av trusselen. Mens mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de undervurdere risikoen eller tro at de ikke vil være et mål for angrep. Dette kan føre til at organisasjoner undervurderer kostnadene ved et vellykket angrep og tar for lett på behovet for å investere i sikkerhet.
Et eksempel på en organisasjon som undervurderte trusselen er det danske transportselskapet Mærsk. I juni 2017 ble Mærsk utsatt for et omfattende cyberangrep som i stor grad lammet selskapets IT-systemer og førte til at selskapet mistet millioner i inntekter. I etterkant av angrepet uttalte selskapets administrerende direktør at Mærsk aldri hadde trodd at de ville være et mål for et slikt angrep, og at selskapet hadde undervurdert risikoen.
(Cyber attack update – A.P. Møller – Mærsk A/S (maersk.com))
(Maersk says NotPetya cyberattack could cost $300 million (cnbc.com))
Det er også flere selskaper som vurderer risikoen som liten, fordi de selv ikke er et stort selskap. Men ifølge en rapport fra Verizon var 43 % av datainnbruddene rettet mot små bedrifter i 2019, mens gjennomsnittskostnaden for et datainnbrudd var 3,92 millioner dollar. Liten størrelse på selskapet eller organisasjonen, er med andre ord ikke noe beskyttelse mot cyberangrep.
(Small Business Cyber Security and Data Breaches | Verizon)
Manglende sikkerhet
En annen årsak til cyberangrep, er manglende investeringer i sikkerhet. Selv om mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de nøle med å investere i sikkerhet på grunn av kostnadene og usikkerheten rundt ROI (avkastning på investering). Dette kan føre til at organisasjoner aksepterer større risiko enn de burde og dermed gjør seg utsatt for angrep.
Et eksempel på en organisasjon som ikke investerte tilstrekkelig i sikkerhet er det finske helsevesenet. I 2020 ble det finske helsevesenet utsatt for et alvorlig cyberangrep som førte til at pasientdata ble stjålet og publisert på nettet. Ifølge rapporter hadde det finske helsevesenet ikke investert tilstrekkelig i IT-sikkerhet før angrepet, og de ble kritisert for å ha tatt for lett på trusselen. Hacker seeks to extort Finnish mental health patients after data breach – POLITICO
Menneskelige faktorer
En viktig årsak til at bedrifter og organisasjoner mislykkes i å forhindre cyberangrep, er manglende fokus på menneskelige faktorer. Selv om organisasjoner kan ha de nyeste sikkerhetsløsningene og teknologiene på plass, kan de fortsatt være sårbare for angrep hvis de ansatte ikke er godt nok opplært i å gjenkjenne og unngå sikkerhetsrisikoer. Menneskelige feil kan utgjøre en stor risiko for organisasjoners cybersikkerhet, og det er viktig å ha en kultur som legger vekt på sikkerhet og å sørge for at de ansatte har tilstrekkelig opplæring og bevissthet om sikkerhet.
Skiftende trusselbilde
Manglende evne til å tilpasse seg den stadig skiftende trusselbildet, er også en faktor. Cyberkriminelle utvikler stadig nye teknikker og taktikker for å omgå sikkerhetssystemer, og organisasjoner som ikke kan tilpasse seg disse endringene, vil være sårbare for angrep.
Et eksempel på en organisasjon som ikke klarte å tilpasse seg trusselbildet er det norske universitetet Norges Handelshøyskole (NHH). I 2018 ble NHH utsatt for et omfattende cyberangrep som førte til at en stor mengde konfidensielle data ble stjålet og publisert på nettet. I etterkant ble det klart at NHH hadde ignorert flere advarsler om sårbarheter i sine systemer og ikke hadde klart å tilpasse seg det stadig skiftende trusselbildet.
(Internasjonalt dataangrep mot Norges Handelshøyskole (universitetsavisa.no))
Informasjonsdeling
Samarbeid og deling av informasjon kan værer med på å redusere risiko for cyberangrep. Men mange organisasjoner nøler med å dele informasjon om sikkerhetsrisikoer, noe som kan begrense mulighetene for samarbeid og samhandling mellom organisasjoner og hindre en helhetlig tilnærming til cybersikkerhet.
De vanligste årsakene
De vanligste årsakene til at bedrifter og organisasjoner utsettes for cyberangrep, synes altså å være:
1. Utilstrekkelig opplæring av ansatte
En av de viktigste årsakene til at bedrifter ikke klarer å forhindre cyberangrep er mangel på opplæring av ansatte. Ansatte er den første forsvarslinjen mot cyberangrep, men de mangler ofte den nødvendige kunnskapen og ferdighetene for å gjenkjenne og rapportere mistenkelig aktivitet. Flere studier, blant annet utført av Stanford Research, viser at så mye som 9 av 10 datainnbrudd er et resultat av menneskelige feil, som for eksempel ansatte som falt for phishing-svindel eller svake passord. Likevel er det mange virksomheter som ikke gir sine ansatte regelmessig sikkerhetsopplæring.
Et eksempel på manglende sikkerhetsopplæring er cyberangrepet mot Capital One i 2019, der personopplysningene til over 100 millioner kunder ble stjålet. Bruddet var forårsaket av en feilkonfigurert brannmur, noe som ble utnyttet av en hacker. Den ansatte hadde ikke fått nødvendig opplæring for å identifisere feilen som førte til bruddet.
(2019 Capital One Cyber Incident | What Happened | Capital One)
2. Svikt i grunnleggende sikkerhetstiltak
En annen vanlig årsak til at virksomheter ikke klarer å forhindre cyberangrep, er manglende implementering av grunnleggende sikkerhetstiltak. Grunnleggende tiltak, som bruk av sterke passord, regelmessig oppdatering av programvare og bruk av tofaktorautentisering, kan bidra langt for å forhindre nettangrep. Imidlertid forsømmer mange virksomheter disse tiltakene, noe som gjør det lettere for hackere å utnytte sårbarheter.
I 2017 ble Equifax utsatt et datainnbrudd som avslørte personopplysningene til over 145 millioner mennesker. Bruddet skjedde fordi Equifax unnlot å rette en kjent sårbarhet i systemene sine, selv om en oppdatering hadde vært tilgjengelig i flere måneder. Bruddet kunne vært forhindret dersom Equifax hadde implementert grunnleggende sikkerhetstiltak og regelmessig oppdatert programvaren.
(2017 Equifax data breach – Wikipedia)
3. Utilstrekkelig investering i cybersikkerhet
En annen grunn til at bedrifter ikke klarer å forhindre cyberangrep er utilstrekkelig investering i cybersikkerhet. Cybersikkerhet er et felt i stadig utvikling, og bedrifter må investere i den nyeste teknologien og ekspertisen for å ligge i forkant av hackere. Imidlertid ser mange virksomheter på cybersikkerhet som en utgift snarere enn en investering, og tildeler utilstrekkelige ressurser til det.
Et eksempel på dette skjedde i 2013, da Target ble utsatt for et datainnbrudd som avslørte kredittkortinformasjonen til over 40 millioner kunder. Innbruddet skjedde fordi Target hadde unnlatt å investere i et inntrengningsdeteksjonssystem som kunne ha varslet selskapet om mistenkelig aktivitet. Target klarte heller ikke å sikre sine salgssteder tilstrekkelig, noe som ble utnyttet av hackerne. Hendelsen er estimert til å ha kostet Target mer enn 200 millioner dollar, noe som understreker viktigheten av å investere i cybersikkerhet.
(Warnings (& Lessons) of the 2013 Target Data Breach (redriver.com))
4. For stor tiltro til egne sikkerhetstiltak
Bedrifter kan også mislykkes i å forhindre cyberangrep på grunn av overdreven tillit til egne sikkerhetstiltak. Mange virksomheter antar at deres sikkerhetstiltak er tilstrekkelige, og klarer ikke å forberede seg på muligheten for et datainnbrudd. Denne selvsikkerheten kan føre til unnlatelse av å oppdage og svare på nettangrep i tide, noe som forverrer virkningen.
Et eksempel på dette skjedde i 2018, da Marriott ble utsatt for et datainnbrudd som avslørte personopplysningene til over 500 millioner kunder. Marriott hadde investert i cybersikkerhetstiltak, men disse viste seg å ikke være tilstrekkelige, selv om de selv mente de var det. Cyberangrepet kostet Marriott millioner av dollar, noe som understreker viktigheten av å være årvåken selv med avanserte sikkerhetstiltak på plass.
(Marriott Data Breach FAQ: What Really Happened? (hoteltechreport.com))
(Marriott discloses massive data breach affecting up to 500 million guests – The Washington Post)
Hvordan kan da bedrifter og organisasjoner forbedre sin cybersikkerhet?
For å forbedre cybersikkerheten sin, må organisasjonen ha en helhetlig tilnærming til cybersikkerhet, som tar hensyn til teknologiske, menneskelige og organisatoriske faktorer. Dette kan blant annet bety følgende tiltak:
- Legg vekt på menneskelige faktorer ved å sørge for god sikkerhetskultur, at de ansatte har tilstrekkelig opplæring og bevissthet om cybersikkerhet. Dette kan inkludere opplæring i å gjenkjenne og unngå sikkerhetsrisikoer, og å utvikle en kultur som legger vekt på sikkerhet. Organisasjoner kan også implementere digital sikkerhetskultur gjennom retningslinjer og prosedyrer for å sikre at de ansatte følger beste praksis når det gjelder cybersikkerhet.
- Ha en plan for krisehåndtering i tilfelle av et cyberangrep. Dette kan inkludere å ha en klar kommunikasjonsplan, å sørge for at kritisk data er sikkerhetskopiert og kan gjenopprettes, og å ha en klar plan for å håndtere eventuelle skader på organisasjonens omdømme.
- Tilpasse seg det stadig skiftende trusselbildet ved å sørge for at sikkerhetssystemene og -prosedyrene oppdateres regelmessig. Dette kan inkludere å bruke analytiske verktøy for å identifisere potensielle sikkerhetsrisikoer og å utføre regelmessige risikovurderinger.
- Samarbeide og dele informasjon med andre organisasjoner i bransjen for å bidra til å forbedre cybersikkerheten på tvers av sektorer og landegrenser. Dette kan inkludere å delta i bransjesamarbeid eller å etablere en formell samarbeidsavtale med andre organisasjoner.
LES OGSÅ:
Det nye NIS2-direktivet innebærer blant annet at bedrifter og organisasjoner pålegges å rapportere om cyberangrep rettet mot virksomheten innen 24 timer. Det gir også krav om cybersikkerhet og beredskap for krisehåndtering, samt krav om å håndtere cybersikkerhetsrisiko i forsyningskjeder og hos leverandører. Se vårt webinar med gjennomgang av det nye NIS2-direktivet her.
I samarbeid med Næringslivets Sikkerhetsråd har F24 Nordics satt sammen et forslag til sjekklister ved cyberangrep. Her finner du også forslag til meldingstekster til ansatte og kunder, samt en liste over viktige kontakter. Last ned gratis mal for sjekklister ved cyberangrep her.
Uansett hvilken krisesituasjon du står overfor: Med det riktige digitale verktøyet for varsling og krisehåndtering, kan du bedre takle uønskede hendelser. Vi har utviklet FACT24 for å gjøre det lettere for alle typer virksomheter å sikre liv, verdier og omdømme. Les mer om hvordan FACT24 kan hjelpe deg å håndtere en cyberhendelse.
|