Axians är ett internationellt ICT-nätverk och detta innebär att vi får ta del utav spaningar och rapporter även utanför Sveriges gränser. Här delar Axians internationellt med sig utav sin senaste rapport inom cybersäkerhet.
I Frankrike uppgav 55 % av de tillfrågade företagen att de ökat sin cybersäkerhetsbudget inför 2017 (1). Detta kan förklaras av det faktum att antalet incidenter kopplade till datorsäkerhet (inom alla sektorer) ökade med 38 % mellan 2015 och 2016 (2). Man pratar ofta om hur viktigt det är med datasäkerhet men det betyder inte att företag alltid har en tillräckligt framsynt inställning till det. Infrastruktur, flexibilitet, medvetenhet, regelverk och integration på alla nivåer är de fem ledorden vad gäller cybersäkerhet 2017.
#1 Gör din IT-infrastruktur till en tillgång, inte till en sårbarhet
Det är ett misstag att tänka på IT-infrastrukturer som endast ledningar i fråga om cybersäkerhet eftersom allt ansluts via dem, och det är där dataskyddet kan stärkas. Internet of Things framhävde denna trend. Det är viktigt att skydda anslutna objekt, användningen av och de program som hanterar dem.
Den stora attacken i september förra året mot det franska webbhotellet OVH är ett bra exempel på detta. Angriparna hackade sig in i nästan 150 000 IP-kameror och bildade ett nät av ”zombies” som kunde genomföra en stor DDoS (Distributed Denial of Service)-attack med inriktning på webbhotellservrar. Cyberattacken var bland den största som någonsin registrerats i världen och ändå kunde det franska företaget klara av att hantera den. OVH uppgav lugnt efter attacken: ”Vi har en infrastruktur som klarar av det här” (3).
Ett annat anmärkningsvärt exempel på ett stort dataintrång som inträffade nyligen var en massiv attack den 21 oktober mot Dyn, en tjänst som hanterar en väsentlig del av infrastrukturen i många onlinetjänster (4). Denna tjänst, som associerar vissa domännamn (såsom Twitter.com) med värdservrarna för webbplatserna, bombarderades med förfrågningar. Det innebar att stora webbplatser, till exempel Spotify, Twitter och AirBnB, blev långsamma eller inte gick att använda alls för vissa användare. Det som utmärker sig i detta fall, som företaget starkt påpekade, var att: ”Dyn inte drabbades av en krasch i hela systemet”. Attacken iscensattes av ett botnät (ett nätverk av Internetanslutna program) bestående av anslutna objekt infekterade med skadlig kod.
Alla nyanslutna objekt måste då kartläggas och granskas så att de inte förvandlas till zombies. På så sätt kan företaget undvika försumliga tillverkare, uppdatera säkerhetssystemen, dela och skydda nätverk, skydda systemet som hanterar alla anslutna objekt och så vidare. Allt detta är viktiga steg som ofta åsidosätts.
#2 Datasäkerhet i generna på varje företag
Varje år deklarerar chefer på många stora företag att IT-säkerhet är något som behöver prioriteras. Cybersäkerhet får inte längre betraktas som en valfri försäkring. Den ska finnas på varje företag. Begreppet datasäkerhet tas till exempel endast delvis upp i industrisektorn, även inom industriella processer. Alla företag, oavsett bransch, måste fundera på hur stor möjligheten är att en attack inträffar och vilka konsekvenser en attack på systemen får, från konstruktionsfasen till produktion och ända fram till att produkten släpps ut på marknaden. Nya verktyg, såsom maskininlärning, kan göra det möjligt att upptäcka eventuella avvikande händelser i nätverket eller i en produktionskedja.

#3 En flexibel paradox
”Ditt företag måste vara flexibelt men ändå skyddat.” Denna professionella dikotomi är inget nytt men är fortfarande en olöst gåta på många IT-avdelningar. Å ena sidan måste företaget vara uppmärksam på sina nya kunder, kunna påskynda sin egen utveckling, övervaka innovationer inom sektorn och anpassa sig till förändringar. Och allt detta inom en mycket kort framtid. Å andra sidan finns det allt fler kunder och människor att prata med, samt metoder att kommunicera med, vilket innebär att risken för potentiella IT-hot ökar. För att kunna uppfylla dessa krav måste företaget effektivisera utbyte av kunskap mellan affärsgrupper och IT-grupper. Till exempel så finns det numera nya tvärfunktionella roller i organisationer, såsom CDO (Chief Data Officer), vars huvudsakliga uppgift är att garantera skydd av personuppgifter.
#4 Anpassning till regelverk
Den reglerande aspekten av cybersäkerhet blir allt mer besvärlig för alla företag, inom alla sektorer. Dagarna då företag bara försökte förbättra sin IT-säkerhet efter en attack hör numera nästan till det förflutna. IT-avdelningar måste idag anpassa sig efter reglerna. För att hitta lösningar som går mot strömmen vänder man sig oftare till tjänstleverantörer som känner till reglerna utan och innan. Då krävs det att företaget kan anpassa sina tjänster, samt dess produkter och deras applikationer, till en ny lagstiftning.
I Europa är dataskyddskulturen mycket mer etablerad än i resten av världen och företagen måste anpassa sig till dessa skillnader. Men även inom Europa finns det skillnader mellan olika länder när det gäller datasäkerhetslagstiftning. I Tyskland och Schweiz skyddar man till exempel personuppgifter extra mycket, vilket man däremot inte gör i Frankrike, Nederländerna och några av de nordiska länderna. Stora multinationella företag är införstådda med detta och har börjat anpassa sig till den europeiska marknaden. Ta till exempel Microsoft som i september förra året tog ett beslut om att inrätta två infrastrukturer i Tyskland tillägnad Azure, dess plattform för molnbaserad databearbetning. Detta i sin tur uppmuntrade de europeiska tillsynsmyndigheterna att placera uppgifter som tillhör amerikanska Behemoth.
#5 Sprida kunskap – ett långsiktigt åtagande
Efter 25 år av cybersäkerhet är högsta prioritet fortfarande att göra användarna och företagen medvetna om vilka risker de tar. Det finns ett ständigt växande antal svaga punkter och hackarna blir bara listigare och listigare. Att sprida kunskap om dessa hot måste prioriteras. Nya cracks sprids hela tiden och att hålla koll på dessa måste vara en av de grundläggande uppgifterna för den säkerhetsansvarige på ett företag. Det innebär att det är viktigt att användarna tillhandahålls med: utbildning, informativa meddelanden, förklaringar om olika åtkomstsätt och lösenordsskydd . För att säkerställa företagets cybersäkerhet måste alla dessa punkter tas hänsyn till. Den mänskliga faktorn måste räknas in som en av de svagare punkterna. Även om vissa framsteg har gjorts när det gäller användarmetoder är det ännu inte tillräckligt för att begränsa riskerna.
Trots alla säkerhetsexperter och certifieringar som har utvecklats för att skydda företag och de lösningar som har gjorts på plats så har problemet med datasäkerhet aldrig varit mer relevant än idag. Men sårbarheten kommer alltid från människor. Av den anledningen är det viktigt att ta med användarkompetens och mänskligt beteende i beräkningen när det gäller företagets säkerhetsfrågor. Då kommer vi kunna se ett strategiskt skifte i kampen för datasäkerhet. Och vem vet, det kanske vänder 2017?
Vincent BAZILLIO, Technologies Marketing Manager Data Center & Cloud / Cybersecurity, Axians
(1) http://www.ecommercemag.fr/thematique/solutions-1011/diaporamas/cybersecurite-quels-enjeux-entreprises-2016-309509/les-cyberattaques-consequences-pas-sous-evaluer-309510.htm#1kvHFJzhoDY27Dkk.97
(2) http://www.frenchweb.fr/pwc-luxembourg-repousse-les-frontieres-au-service-de-la-cyber-securite/257694#
(3) http://www.lavoixdunord.fr/51589/article/2016-09-29/l-hebergeur-internet-ovh-victime-d-une-attaque-massive
(4) http://www.lefigaro.fr/secteur/high-tech/2016/10/21/32001-20161021ARTFIG00343-des-grands-sites-web-perturbes-par-une-immense-cyberattaque.php