Han listar en rad mer eller mindre kända hot som varje vd måste vara medveten om:
- Att skadlig kod som låser alla it-system planteras in av kriminella som sedan utpressar företaget i fråga och kräver pengar för att ta bort låsningarna. Tidigare var det vanligare att de utsatta betalade även om det inte var någon garanti för att allt skulle återställas. Nu anmäls detta oftare och det betalas mer sällan. Ett problem är att uppfinningsrikedomen hos de kriminella har ökat och att man i stället utpressar företagens kunder genom att de kommit in i olika kundregister.
- Stölder av inloggningsuppgifter för att komma åt känslig information. Det kan handla om personuppgifter som gör att de kriminella kan göra legala banktransaktioner. Den finansiella sektorn är särskilt utsatt.
- Att man utsätts för påverkanskampanjer i politiska syften. Vi såg det tydligt när Sverige gjorde sin Natoansökan.
- Att olika former av bokningssystem blockeras så att kunder inte kan betala, vilket får förödande konsekvenser.
- Att e-postmeddelanden kan innehålla korrupta länkar som hjälper kriminella att komma in i IT-systemen.
Fakta
Mats Ekdahls tips för att öka cybersäkerheten
- Köp hanteringen av IT-säkerhet som en tjänst av en duktig leverantör.
- Ta fram en plan för hur ni ska stärka er cybersäkerhet framöver.
- Låt något utomstående företag som inte är er IT-leverantör revidera och testa er cybersäkerhet.
- Utbilda er personal så att de har rätt beteende och minskar risken för intrång.
Mats Ekdahl lyfter också fram den ökande trenden att de kriminella söker sårbarheter i exempelvis system för distansarbete eller annan nätutrustning och utnyttjar dessa för att komma åt känslig information. Detta är extra känsligt då kriminella utnyttjar sårbarheter snabbare än att alla hinner uppdatera sina system för att motverka en svaghet. Det saknas en beredskap att snabbt hantera sårbarheter för fram för allt mindre och medelstora företag.
Behöver testas
– Den största utmaningen för små och medelstora företag är bristen på resurser och på kompetens, säger Mats Ekdahl. Frågan är exempelvis hur många som testat sin motståndskraft?
Hans råd är att fundera på vilken säkerhetsnivå man vill ligga på framåt och vilken kompetens det krävs. Det är svårt att få tag i sådan kompetens att anställa och då är det kanske bättre att köpa cybersäkerhetstjänster av någon extern leverantör.
I och med att utvecklingen på området går så fort liknar han det hela vid en katt och råtta-lek där de kriminella ofta sitter i förarsätet. Han rekommenderar därför en tjänstefiering av säkerhetstjänsterna man nyttjar och att det tas fram någon typ av plan.
– Man bör också ha någon form av extern revision och då inte använda sin egen IT-leverantör, betonar Mats Ekdahl. Och det är bra om man då strävar mot någon form av mätvärde.
Öka medvetenheten
Ett råd från honom när resurserna är knappa är att satsa på att säkra det viktigaste. Ofta handlar det om kommunikationsvägarna som brukar vara den svagaste länken. Kanske är de anställda slappa med sina mobiler för det räcker med att en telefon blir smittad för att ett helt register ska kunna öppnas för stöld.
Här gäller det, enligt honom, att öka medvetenheten bland personalen så att de agerar rätt i vardagen. Enkla kontrollfrågor kan exempelvis tas fram för verifiering av att det är rätt person som ringer eller per mejl vill att en viss utbetalning ska ske.
– Vi har ofta brandövningar, men sällan övningar kring cybersäkerheten med personalen. Ett gott råd är att öva. För till slut spelar det inte någon roll hur mycket skyddande teknik vi har installerat om inte användarna beter sig rätt.
Tips: Mats Ekdahl är en av talarna på VD-dagen på Grand Hotel i Stockholm den 2 oktober. Läs mer och anmäl dig här!
publicerad 17 september 2024