Thierry van Delden har varit Compliance & Privacy Officer på Infoland i mer än tre år. I sin roll kommer han dagligen i kontakt med teknik, integritet och dataskydd. Han vet bättre än någon annan hur viktigt det är att en organisation – oavsett hur liten eller stor – tar cybersäkerhet på allvar. Och det sträcker sig långt utöver att köpa bra programvara, eftersom man vet att 88 % av cybersäkerhetsincidenterna beror på den mänskliga faktorn. Hur säkerställer du ett informationssäkert beteende i din organisation? Och hur är det med leverantörer, vad förväntar du dig av dem när det gäller säkerhet? I den här intervjun tar Thierry upp de fyra viktigaste cybersäkerhetstrenderna i dagsläget och ger tips om hur man som organisation involverar anställda och leverantörer.
“Att skapa säkerhetsmedvetenhet medför utmaningar för chefer. De anställda är redan tillräckligt upptagna med sina egna uppgifter, och de utgår ofta ifrån att säkerhet är något som ”IT-avdelningen ordnar”. Hur ser du till att säkert beteende blir ett standardbeteende? Det är viktigt att du involverar medarbetarna och öppnar upp för dialog.”
– Thierry van Delden, Efterlevnads- och integritetsansvarig på Infoland
I ett angrepp med ransomware (utpressningsprogram) infekteras ett företags eller en persons ICT-system med malware som krypterar data i systemet. Tyvärr hör utpressningsprogram fortfarande till hackarnas favoriter. Varför? Det är relativt enkelt och effektivt. Utpressningsprogram orsakar betydande skador även i Nederländerna. Mellan 2021 och 2022 ökade antalet angrepp med utpressningsprogram med 80 %. Världen över drabbades förra året 37 % av alla företag. Thierry: “Utpressningsprogram är inget nytt, men dessa siffror visar att alla organisationer måste ta det på allvar. Antalet angrepp förväntas öka varje år.”
Om du som organisation blir offer för gisslanprogram kan detta få katastrofala konsekvenser. När allt kommer omkring får du bara dina företagsdata tillbaka om du betalar en lösensumma – men även det ger ingen garanti. För även om 32 % av offren betalar lösen, får de i genomsnitt bara 65 % av sina uppgifter tillbaka. ”Ändå ser vi ofta nyheter i media där stora organisationer betalar lösensummor”, säger Thierry. ”Tänk bara på exemplet med KNVB, (Koninklijke Nederlandse Voetbalbond / Kungliga nederländska fotbollsförbundet) som sägs ha betalat mer än en miljon euro för att förhindra att hackade personuppgifter från bland annat medlemmar offentliggjordes.”
Förutom denna form av utpressning kan man också drabbas av andra höga kostnader om man blir offer för ett angrepp med ransomware, till exempel genom att man blir tvungen att ersätta IKT-systemen eller anlita IKT-specialister för att begränsa skadan. Ett angrepp med ransomware leder också ofta till en förlust av intäkter, eftersom du tillfälligt inte kan arbeta med full kapacitet. Thierry: ”Bättre förekomma än förekommas. 74 % av alla angrepp med utpressningsprogram utlöses av misstag av människor Även om dina säkerhetsåtgärder är bra… “Om du inte skapar medvetenhet bland de anställda kommer saker förr eller senare att gå fel.”
av nederländska försäkrade har någon gång drabbats av utpressningsprogram.
betalade lösen för att återfå åtkomst till företagets data.
angav att, förutom lösen, ledde utpressningsprogrammen till andra extra kostnader.
Detta för oss omedelbart till en annan viktig säkerhetstrend: Medvetenhet. ”Den viktigaste trenden av alla”, säger Thierry. ”Cyberbrottslingar vet att det är människor som utgör den svagaste länken. De använder framgångsrikt tekniker som nätfiske eller social manipulation. Vid social manipulation får du till exempel ett e-postmeddelande från din chef som ber dig att girera ett belopp. Allt kan verka väldigt realistiskt.” Cyberbrottslingar använder sig av alltmer avancerade tekniker.
Många studier visar också att risken ökar på grund av att allt fler människor arbetar hemifrån. Thierry: ”Eftersom många företag var tvungna att vidta förhastade åtgärder för att byta till online verksamhet under pandemin ökade antalet säkerhetsincidenter med 238 %.” Att arbeta på distans är riskabelt på grund av ”korsbefruktning” mellan personliga och yrkesmässiga enheter och vice versa. Särskilt säkerhetsnivån för de slutpunkter som anställda arbetar med är en kritisk faktor – till exempel använder 70 % av de kontorsanställda jobbenheter för personliga uppgifter och 37 % använder sin personliga dator för att komma åt applikationer som har med arbetet att göra.
Genom att varna anställda för farorna kan du förhindra incidenter som beror på mänskliga faktorn. Att skapa medvetenhet kan sträcka sig från att förstå vikten av informationssäkerhet till att veta vad man ska göra i misstänkta situationer och vad man inte ska göra. ”Att skapa medvetenhet innebär utmaningar för chefer”, förklarar Thierry. ”De anställda är redan upptagna nog med sina egna uppgifter, och de utgår ofta ifrån att säkerhet är något som ”IT-avdelningen står för”. Hur ser du till att säkert beteende blir ett standardbeteende?”
Det är till exempel viktigt att organisera utbildning i security awareness, men framför allt att se till att människor håller sig engagerade. Hur? Thierry har några tips:
I denna artikel kan du läsa mer om att skapa säkerhetsmedvetenhet och ovanstående tips beskrivs mer i detalj.
Antag att dina anställda nu är välutbildade i säkerhetsmedvetenhet och att säkerheten på företaget är i ordning… men sedan då? Hur är det med de företag du samarbetar med? Du måste också göra cybersäkerhetsåtgärderna i din leveranskedja transparenta. Det är en av de frågor som beskrivs i NIS2-direktivet, som träder i kraft den 17 oktober 2024. Thierry förklarar: ”Den europeiska unionen införde 2016 nätverks- och informationssäkerhetsdirektivet. Nu kommer ett förnyat direktiv – NIS2 – för att skydda och förbättra cybersäkerheten och motståndskraften hos viktiga företag och tjänster inom EU.”
NIS2-direktivet skärper kraven på säkerhet för organisationer som är väsentliga eller viktiga för samhället. ”Medan det gamla direktivet endast fokuserade på viktiga sektorer, såsom hälso- och sjukvård, läggs nu fler sektorer till. Till exempel internetleverantörer och myndigheter”, säger Thierry. Om din organisation faller under kategorin ”väsentlig” eller ”viktig” måste du inte bara följa NIS2-direktivet, du måste också identifiera säkerhetsriskerna för leverantörerna.
Om du till exempel är energiproducent är din organisation viktig för samhället. Om du beställer vindkraftverk från en tredjepartsleverantör och de utsätts för ett cyberangrepp kan du, som väsentlig tjänst, inte utöka din kapacitet. Så du måste också kontrollera vilka säkerhetsåtgärder som leverantören vidtar. Thierry: ”Vad förväntar du dig av leverantörer? Räcker det med att årligen be om deras ISO 27001-certifikat? Eller besöker du årligen företaget för att utföra en granskning? Skickar du två gånger om året ett frågeformulär och kontrollerar säkerhetspolicyn? Med ett smart revisionshanteringssystem, som Zenya CHECK säkerställer du denna process. Med detta revisionshanteringssystem kan du fokusera på en specifik standard – till exempel NIS2-direktivet – och därmed vara optimalt kompatibel.
AI och säkerhet… Vad handlar det om egentligen? Thierry: ”Artificiell intelligens (AI) är ett oundvikligt ämne, även om detta inte är en säkerhetstrend i sig . Om din organisation bara sporadiskt använder AI-verktyg som ChatGPT för att få inspiration, är den inbyggda säkerheten i ett sådant verktyg ofta tillräcklig. Du måste själv bedöma det och avgöra om det är tillräckligt för din organisation. Om AI är ditt företags kärnverksamhet, är det naturligtvis en annan historia. Till exempel, om du själv utvecklar AI och personuppgifter är inblandade, förväntas starka säkerhetsåtgärder från en juridisk synvinkel.”
Om AI blir en viktig del av din affärsverksamhet bör korrekt säkerhet för dina AI-relaterade verktyg också vara en viktig del av din säkerhetsstrategi. Det kommer också en ny europeisk lag om AI: AI-förordningen. Den nya lagen kommer att reglera utveckling och användning av AI. Se till att hålla ett öga på den om din organisation arbetar med AI!
Har du efter att ha läst den här artikeln blivit nyfiken på hur Zenya kan stödja din organisation, till exempel när det gäller säkerhetsriktlinjer som NIS2? Eller vill du veta hur man skapar en effektiv säkerhetsmedvetenhetskampanj med Zenya BOOST?
Begär broschyren och upptäck vad som gör denna svit och kombinationen av de fyra modulerna så kraftfull.
Undrar du vad Zenya kan göra för din organisation? Begär en gratis demo.
Kontakta gärna våra experter. Vi tänker gärna tillsammans med dig.