Cyberangrep er uunngåelig
KRONIKK: Det går knapt en uke uten at media rapporterer om nye it-trusler og alvorlige dataangrep. I året som har gått har vi sett en rekke lekkasjer, sikkerhetsbrudd og dataangrep, som har rammet mennesker verden over.
I oktober i fjor opplevde slektforskningstjenesten MyHeritage at informasjon om 92 millioner mennesker ble stjålet fra selskapet. I mars i år ble informasjon om rundt 87 millioner Facebook-brukere delt. I september kunne British Airways opplyse at hackere hadde kommet seg inn i systemene, noe som påvirket 380 000 transaksjoner. Og ikke minst ble den respekterte hotellkjeden Marriot Group for kort tid siden hacket og 500 millioner besøkende sine sensitive data havnet på avveie.
Uansett størrelsen på databruddene, vil konsekvensene ofte være brutale. Se for eksempel på retailbransjen. Nyere studier viste at 19 prosent av kundene øyeblikkelig ville stoppe å handle i en nettbutikk dersom denne hadde opplevd databrudd. Videre sa 33 prosent at de ville sluttet å handle der en periode.
EUs nye personvernforordning (GDPR) betyr at bedrifter også risikerer store bøter. Rapporter hevder at Cambridge Analytica-skandalen kunne gitt Facebook så mye som 15 milliarder norske kroner i bøter om dette hadde skjedd etter innføringen av GDPR.
Hvor er business caset?
Konsekvensene av databrudd - fra bøter og tap av inntekt til frustrerte eller forsvinnende kunder - er ekstremt skadelig, og kan potensielt sette hele selskapet i fare.
Man skulle derfor tro at it-sikkerhetsansvarlige enkelt kan rettferdiggjøre høyere budsjett. Slik er det ikke. Våre undersøkelser viser at mange sikkerhetsansvarlige strever med å få budsjettene de trenger for å bekjempe de cyberkriminelle.
Det er mange grunner til dette. En av dem er at it-sikkerhet ofte er en del av det totale it-budsjettet, som gjerne fokuserer mer på digitalisering, nettsky eller andre it-prosjekter. En annen grunn er at mange styrer mangler kunnskap om datasikkerhet og nedprioriterer området. Den vanligste årsaken til at sikkerhetsansvarlige ikke får budsjettet de trenger, er at de ikke kan garantere at selskapet kan unngå databrudd.
Fra et forretningsperspektiv gir dette tilsynelatende mening. Som toppleder er man ansvarlig for bunnlinjen, så hvorfor bruke penger på en kamp man ikke kan vinne? All fornuftig forretningsstrategi tilsier at man kun bør investere der man kan forvente avkastning.
Det høres kanskje kontroversielt ut for noen, men i Kaspersky Lab mener vi bestemt at «kan du garantere at vi unngår datainnbrudd?» ikke er det riktige spørsmålet å stille.
Databrudd er uunngåelig
Vår undersøkelse viser at 86 prosent av it-sikkerhetsansvarlige mener at databrudd er uunngåelig.
De fleste selskaper er i full gang med digital transformasjon. Over halvparten av respondentene mener at dette er teknologitrenden som vil ha størst innvirkning på virksomhetens it-sikkerhet de neste fem årene. Digital transformasjon gir kriminelle en større angrepsflate og nye muligheter for å finne svakheter og komme seg inn i virksomheten systemer. Migrasjon til skyen, en stadig mer mobil arbeidsstokk, og økt bruk av digitale kanaler bidrar alle til økt risiko.
Hva om en utro medarbeider i organisasjonen jobber mot selskapet, eller hjelper en ekstern angriper med å få tilgang til nettverket? Denne typen trusler er spesielt vanskelig å indentifisere og forhindre. Det er også en av truslene sikkerhetsansvarlige frykter aller mest. Hele 29 prosent mener dette er den største it-sikkerhetstrusselen for egen organisasjon.
Å stille de rette spørsmålene, vil gi de rette svarene
De fleste datakriminelle er økonomisk motivert. Bruk av ressurser og kostnadene ved et angrep veies opp mot potensiell gevinst.
Derfor vil spørsmålet "kan vi forhindre et datainnbrudd" ikke være det rette spørsmålet å stille seg, men heller «kan vi oppdage et datainnbrudd, og reagere i tilstrekkelig grad og raskt nok for å minimere skadene?».
Tankesettet om at man kan forhindre angrep er utdatert. Det beste forsvar i dag er å gjøre et angrep så krevende og kostbart at det ikke er tiden verdt. Og enda viktigere, så handler det om å gjøre virksomheten i stand til å reagere umiddelbart på et angrep.
Et gjennomsnittlig databrudd koster et stort selskap opp mot 10 millioner kroner. Gjennomfører du nødvendige tiltak vil denne kostnaden falle dramatisk, kanskje helt ned mot null. Det høres vel ut som en klok forretningsstrategi?