Utopi at tro, at I kan skærme jer fuldstændigt mod cyberangreb

Utopi at tro, at I kan skærme jer fuldstændigt mod cyberangreb

Som mange kun er alt for bevidste om, så går der dårligt en uge imellem, at pressen igen kan fortælle om endnu et databrud eller -læk, der påvirker tusindvis af mennesker

Kronik af Maxim Frolov, global salgsdirektør for Kaspersky Lab

Tag blot et kig på statistikken. I forrige uge blev den respekterede hotelkæde Marriot Group hacket og hele 500 millioner gæsters personfølsomme data ramt af datalækket. I oktober 2017 oplevede DNA-testfirmaet MyHeritage et databrud, der ramte 92 millioner mennesker. I marts 2018 blev data fra 87 millioner Facebook-brugere delt. Kort efter, i juni, kunne Ticketmaster afsløre, at loginoplysninger, betalingsdata, adresser, navne og telefonnumre på næsten 40.000 mennesker var blevet kompromitteret. Og i september fik hackere adgang til 380.000 transaktioner hos British Airways.

Databrud af enhver størrelse har brutale konsekvenser. Tag bare detailhandelen. Nyere undersøgelser viser, at hele 19 pct. af kunderne helt ville stoppe med at handle hos en onlineforretning, der var blevet hacket. En tredjedel (33 pct.) var enige om, at de som minimum ville holde en pause fra at handle der. Kan du forestille dig at miste 19% af jeres kundebase?

GDPR bringer ikke just pulsen ned, og mange virksomheder frygter da også de store bøder. Det siges, at Cambridge Analytica-skandalen kostede Facebook en bøde på 4,2 millioner danske kroner. Fire procent af den årlige omsætning er mange penge, for både store og små virksomheder.

Hvad er business casen for et budget?

Konsekvenserne ved et databrud spænder over alt fra farvel til kunder og troværdighed til bøder og økonomiske tab. Et databrud er ødelæggende, frustrerende og farligt for en virksomhed.

Nu skulle man tro, at de it-sikkerhedsansvarlige ude i virksomheden nemt kan retfærdiggøre et højere budget. Sandheden er bare en anden. Vores nye undersøgelse viser, at de it-sikkerhedsansvarlige rent faktisk kæmper for at få godkendt de budgetter, de skal bruge for at kunne bekæmpe de cyberkriminelle. Det er der flere grunde til.

For det første er it-sikkerhedsbudgettet ofte blot en del af det store brede it-budget, hvor der er mere fokus på digital, cloud eller andre it-projekter. For det andet mangler bestyrelsen den viden, der skal til for at forstå it-sikkerhedsproblematikkerne, og hvordan de kan løses. Den mest almindelige årsag til afvisning af en budgetforøgelse, er at de it-sikkerhedsansvarlige ikke kan garantere, at organisation kan undgå et brud.

Fra et forretningsmæssigt synspunkt, virker dette ganske fornuftigt, ikke? Når alt kommer til alt, skal ledelsen koncentrere sig om bundlinjen, og hvorfor poste penge i en kamp, der ikke kan vindes? Fornuftig forretningsledelse dikterer, at man kun skal investere, når der er en fornuftig tilbagebetaling.

Det lyder velsagtens kontroversielt for mange, men hos Kaspersky Lab tænker vi, at spørgsmålet: "Kan du garantere, at der ikke sker flere brud?" er det forkerte spørgsmål at stille.

Databrud er uundgåelige!

Ni ud af ti af de it-sikkerhedsansvarlige, vi har spurgt, fortæller at databrud er uundgåelige.

Forklaringen er, at de fleste virksomheder er i gang med en digital transformation. Flere end halvdelen af vores respondenter (52%) mener, at denne teknologiske trend får den største indvirkning på it-sikkerheden i deres organisation over de næste fem år. Digital transformation udvider nemlig angrebsfladen på en virksomhed og giver de cyberkriminelle flere muligheder for at finde svagheder, snige sig ind i systemerne og lække eller udnytte data. Cloud adoption, arbejdsstyrkens stigende mobilitet og den øgede brug af digitale kanaler bidrager alle til en øget risiko.

Og dette er ikke det eneste, de it-sikkerhedsansvarlige er oppe imod. Hvad hvis en ondsindet insider - måske en medarbejder – selv vil skade virksomheden, f.eks. ved at hjælpe en ekstern angriber ind gennem bagdøren? Denne form for trussel kan være særlig vanskelig at identificere og forhindre på forhånd. Faktisk er det en af de mest frygtede typer af sikkerhedstrusler blandt it-sikkerhedsfolk, og 29 pct. er enige i, at dette er blandt de største it-sikkerhedsrisici for deres organisation.

Spørgsmål, der fører til den rigtige beslutning

Så længe der er tale om økonomisk motivation, vil en hacker altid veje omkostninger ved et angreb op mod den potentielle gevinst. Pengene vinder altid, og en hacker vil hele tiden finde på nye måder at tjene penge på.

Derfor er spørgsmålet “kan vi forhindre et angreb?” det forkerte at stille. I stedet skal du spørge: “Er vi i stand til at opdage et angreb, kan vi reagere på det i tilstrækkelig grad, og kan vi reagere hurtigt nok til at minimere skaderne?”

I dag er tankegangen om helt at kunne forhindre angreb, forældet. Det bedste forsvar i dag er at gøre et angreb så besværligt, at det ikke er tiden værd. Og endnu vigtigere, så handler det om at sikre virksomhedens perimeter og uden ophold kunne reagere på angrebet. Ethvert forsøg på at forstyrre netværket skal kunne lukkes ned så hurtigt som muligt.

Det gennemsnitlige brud koster en stor virksomhed op til 8 millioner kroner. Men hvis du træffer de nødvendige foranstaltninger, vil denne pris falde til et minimum eller endda til nul. Lyder det nu som en fornuftig forretningsbeslutning?