Weekly News

Låg kunskap om cyberhot i svenska företag

Glappet växer mellan cyberhot som blir allt mer sofistikerade och svårupptäckta och säkerhetsnivån i svenska organisationer, menar Richard Oehme på PwC Sweden.


– Attackerna blir mer sofistikerade, mer svårupptäckta och konsekvenserna av en attack potentiellt större.

Bakgrunden till det så kallade NIS-direktivets tillkomst är att man på EU-nivå konstaterat att säkerheten för samhällsviktig och kritisk infrastruktur inte är i nivå med hur hot- och riskbilden har förändrats. Cyberattacken på Ukrainas energisystem är en tydlig illustration på vad som kan hota.
– Styrningen av i princip all kritisk infrastruktur sker via it-system som under senaste åren även fjärrstyrs. En huvudförklaring är kostnadsbesparingar genom att man över Internet kan fjärrstyra och övervaka utrustning från ett kontor långt ifrån själva anläggningen, säger Richard Oehme, Director Cyber Security and Critical Infrastructure på PwC.

I denna iver att rationalisera och spara har informationssäkerheten inte varit i första rummet, vilket har skapat en stor riskexponering. 
– När industriella informations- och styrsystem kopplas samman med kontors-it så överförs i samma sekund 2018 års cyberrisker till system som i många fall skapades flera decennier tidigare. System som från början var byggda för att fungera i slutna miljöer utan koppling till Internet och som till stor del saknar all form av stöd för it-säkerhet.

Det krävs både tid och kompetens för att bygga en it-infrastruktur för samhällsviktig verksamhet som kan kombinera moderna verksamhetskrav med en hot- och riskbild bild som konstant förändras.
– Attackerna blir mer sofistikerade, mer svårupptäckta och konsekvenserna av en attack potentiellt större. Information samlas sannolikt in av såväl nationalstater som organiserad brottslighet för att kunna användas vid behov.

Richard Oehme uppskattar att ett tiotal nationalstater hade denna kapacitet för 15-tal år sedan.
– Idag är siffran betydligt större. Det finns sannolikt ett antal kriminella organisationer som har större kapacitet än flera nationalstater. Det är ingen slump att amerikanska VD:ar i PwC:s årliga undersökning anger att de är mer rädda för cyberangrepp än för terrorhot.

Han är klar över vad som behöver göras i varje organisation. 
– Alla behöver göra en risk- och sårbarhetsanalys, alternativt en säkerhetsskyddsanalys. Här identifierar man kritiska verksamheter eller tjänster som måste fungera. Utifrån detta prioriteras sedan organisationens arbete. Ett idogt systematiskt informationssäkerhetsarbete över tiden är det som leder till resultat. En annan central del är att ha en kontinuitetsplan, vad gör vi när våra viktigaste tjänster inte fungerar? Vilka reservförvarande har jag etablerat? Och så avslutningsvis, se till att öva detta!

Det behöver finnas en beställarkompetens i organisationen för att förstå vad man kan göra själv och vilken kompetens man behöver ta in. 


Dela artikeln

Journalist

Fler artiklar

European Media Partner

Om oss

European Media Partner är en ledande content marketing byrå som producerar nischade cross media-kampanjer på sex olika marknader i Europa. Kampanjerna, producerade under namnet “Analys”, distribueras tillsammans med ledande dagstidningar såväl som på våra kampanjsidor och samarbetspartners olika plattformar.

www.europeanmediapartner.com

European Media Partner

Våra kampanjsidor