En viktig årsak til at bedrifter og organisasjoner mislykkes i å forhindre cyberangrep, er manglende fokus på menneskelige faktorer.

Foto

Derfor mislykkes bedrifter og organisasjoner i å forhindre cyberangrep

Publisert: 19. april 2023 kl 09.01
Oppdatert: 19. april 2023 kl 09.29

Sikkerhetsleder i F24 Nordics, Jan Terje Sæterbø, skriver i en pressemelding at et av hovedproblemene når det gjelder cybersikkerhet er manglende forståelse for alvoret av trusselen.

– Mens mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de undervurdere risikoen eller tro at de ikke vil være et mål for angrep. Dette kan føre til at organisasjoner undervurderer kostnadene ved et vellykket angrep og tar for lett på behovet for å investere i sikkerhet, skriver han.

Et eksempel på en organisasjon som undervurderte trusselen er det danske transportselskapet Mærsk. I juni 2017 ble Mærsk utsatt for et omfattende cyberangrep som i stor grad lammet selskapets IT-systemer og førte til at selskapet mistet millioner i inntekter.

I etterkant av angrepet uttalte selskapets administrerende direktør at Mærsk aldri hadde trodd at de ville være et mål for et slikt angrep, og at selskapet hadde undervurdert risikoen.

Rettet mot små bedrifter

Det er også flere selskaper som vurderer risikoen som liten, fordi de selv ikke er et stort selskap. Men ifølge en rapport fra Verizon var 43 prosent av datainnbruddene rettet mot små bedrifter i 2019, mens gjennomsnittskostnaden for et datainnbrudd var 3,92 millioner dollar. Liten størrelse på selskapet eller organisasjonen, er med andre ord ikke noe beskyttelse mot cyberangrep.

En annen årsak til cyberangrep, er manglende investeringer i sikkerhet. Selv om mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de nøle med å investere i sikkerhet på grunn av kostnadene og usikkerheten rundt ROI (avkastning på investering). Dette kan føre til at organisasjoner aksepterer større risiko enn de burde og dermed gjør seg utsatt for angrep.

Saken fortsetter under annonsen

Et eksempel på en organisasjon som ikke investerte tilstrekkelig i sikkerhet er det finske helsevesenet. I 2020 ble det finske helsevesenet utsatt for et alvorlig cyberangrep som førte til at pasientdata ble stjålet og publisert på nettet. Ifølge rapporter hadde det finske helsevesenet ikke investert tilstrekkelig i IT-sikkerhet før angrepet, og de ble kritisert for å ha tatt for lett på trusselen.

Menneskelige feil

En viktig årsak til at bedrifter og organisasjoner mislykkes i å forhindre cyberangrep, er manglende fokus på menneskelige faktorer.

Selv om organisasjoner kan ha de nyeste sikkerhetsløsningene og teknologiene på plass, kan de fortsatt være sårbare for angrep hvis de ansatte ikke er godt nok opplært i å gjenkjenne og unngå sikkerhetsrisikoer.

Menneskelige feil kan utgjøre en stor risiko for organisasjoners cybersikkerhet, og det er viktig å ha en kultur som legger vekt på sikkerhet og å sørge for at de ansatte har tilstrekkelig opplæring og bevissthet om sikkerhet.

Manglende evne til å tilpasse seg den stadig skiftende trusselbildet, er også en faktor. Cyberkriminelle utvikler stadig nye teknikker og taktikker for å omgå sikkerhetssystemer, og organisasjoner som ikke kan tilpasse seg disse endringene, vil være sårbare for angrep.

Et eksempel på en organisasjon som ikke klarte å tilpasse seg trusselbildet er det norske universitetet Norges Handelshøyskole (NHH). I 2018 ble NHH utsatt for et omfattende cyberangrep som førte til at en stor mengde konfidensielle data ble stjålet og publisert på nettet.

Saken fortsetter under annonsen

I etterkant ble det klart at NHH hadde ignorert flere advarsler om sårbarheter i sine systemer og ikke hadde klart å tilpasse seg det stadig skiftende trusselbildet.

Samarbeid og deling av informasjon kan værer med på å redusere risiko for cyberangrep. Men mange organisasjoner nøler med å dele informasjon om sikkerhetsrisikoer, noe som kan begrense mulighetene for samarbeid og samhandling mellom organisasjoner og hindre en helhetlig tilnærming til cybersikkerhet.

De vanligste årsakene til at bedrifter og organisasjoner utsettes for cyberangrep:

1. Utilstrekkelig opplæring av ansatte

En av de viktigste årsakene til at bedrifter ikke klarer å forhindre cyberangrep er mangel på opplæring av ansatte. Ansatte er den første forsvarslinjen mot cyberangrep, men de mangler ofte den nødvendige kunnskapen og ferdighetene for å gjenkjenne og rapportere mistenkelig aktivitet.

Flere studier, blant annet utført av Stanford Research, viser at så mye som 9 av 10 datainnbrudd er et resultat av menneskelige feil, som for eksempel ansatte som falt for phishing-svindel eller svake passord. Likevel er det mange virksomheter som ikke gir sine ansatte regelmessig sikkerhetsopplæring.

Et eksempel på manglende sikkerhetsopplæring er cyberangrepet mot Capital One i 2019, der personopplysningene til over 100 millioner kunder ble stjålet. Bruddet var forårsaket av en feilkonfigurert brannmur, noe som ble utnyttet av en hacker. Den ansatte hadde ikke fått nødvendig opplæring for å identifisere feilen som førte til bruddet.

Saken fortsetter under annonsen

(2019 Capital One Cyber Incident | What Happened | Capital One)

2. Svikt i grunnleggende sikkerhetstiltak

En annen vanlig årsak til at virksomheter ikke klarer å forhindre cyberangrep, er manglende implementering av grunnleggende sikkerhetstiltak. Grunnleggende tiltak, som bruk av sterke passord, regelmessig oppdatering av programvare og bruk av tofaktorautentisering, kan bidra langt for å forhindre nettangrep. Imidlertid forsømmer mange virksomheter disse tiltakene, noe som gjør det lettere for hackere å utnytte sårbarheter.

I 2017 ble Equifax utsatt et datainnbrudd som avslørte personopplysningene til over 145 millioner mennesker. Bruddet skjedde fordi Equifax unnlot å rette en kjent sårbarhet i systemene sine, selv om en oppdatering hadde vært tilgjengelig i flere måneder. Bruddet kunne vært forhindret dersom Equifax hadde implementert grunnleggende sikkerhetstiltak og regelmessig oppdatert programvaren.

3. Utilstrekkelig investering i cybersikkerhet

En annen grunn til at bedrifter ikke klarer å forhindre cyberangrep er utilstrekkelig investering i cybersikkerhet. Cybersikkerhet er et felt i stadig utvikling, og bedrifter må investere i den nyeste teknologien og ekspertisen for å ligge i forkant av hackere. Imidlertid ser mange virksomheter på cybersikkerhet som en utgift snarere enn en investering, og tildeler utilstrekkelige ressurser til det.

Et eksempel på dette skjedde i 2013, da Target ble utsatt for et datainnbrudd som avslørte kredittkortinformasjonen til over 40 millioner kunder. Innbruddet skjedde fordi Target hadde unnlatt å investere i et inntrengningsdeteksjonssystem som kunne ha varslet selskapet om mistenkelig aktivitet. Target klarte heller ikke å sikre sine salgssteder tilstrekkelig, noe som ble utnyttet av hackerne. Hendelsen er estimert til å ha kostet Target mer enn 200 millioner dollar, noe som understreker viktigheten av å investere i cybersikkerhet.

Saken fortsetter under annonsen

4. For stor tiltro til egne sikkerhetstiltak

Bedrifter kan også mislykkes i å forhindre cyberangrep på grunn av overdreven tillit til egne sikkerhetstiltak. Mange virksomheter antar at deres sikkerhetstiltak er tilstrekkelige, og klarer ikke å forberede seg på muligheten for et datainnbrudd. Denne selvsikkerheten kan føre til unnlatelse av å oppdage og svare på nettangrep i tide, noe som forverrer virkningen.

Et eksempel på dette skjedde i 2018, da Marriott ble utsatt for et datainnbrudd som avslørte personopplysningene til over 500 millioner kunder. Marriott hadde investert i cybersikkerhetstiltak, men disse viste seg å ikke være tilstrekkelige, selv om de selv mente de var det. Cyberangrepet kostet Marriott millioner av dollar, noe som understreker viktigheten av å være årvåken selv med avanserte sikkerhetstiltak på plass.

Slik forbedrer du cybersikkerhet i bedriften din:

  • For å forbedre cybersikkerheten sin, må organisasjonen ha en helhetlig tilnærming til cybersikkerhet, som tar hensyn til teknologiske, menneskelige og organisatoriske faktorer. Dette kan blant annet bety følgende tiltak:
  • Legg vekt på menneskelige faktorer ved å sørge for god sikkerhetskultur, at de ansatte har tilstrekkelig opplæring og bevissthet om cybersikkerhet. Dette kan inkludere opplæring i å gjenkjenne og unngå sikkerhetsrisikoer, og å utvikle en kultur som legger vekt på sikkerhet. Organisasjoner kan også implementere digital sikkerhetskultur gjennom retningslinjer og prosedyrer for å sikre at de ansatte følger beste praksis når det gjelder cybersikkerhet.

  • Ha en plan for krisehåndtering i tilfelle av et cyberangrep. Dette kan inkludere å ha en klar kommunikasjonsplan, å sørge for at kritisk data er sikkerhetskopiert og kan gjenopprettes, og å ha en klar plan for å håndtere eventuelle skader på organisasjonens omdømme.

  • Tilpasse seg det stadig skiftende trusselbildet ved å sørge for at sikkerhetssystemene og -prosedyrene oppdateres regelmessig. Dette kan inkludere å bruke analytiske verktøy for å identifisere potensielle sikkerhetsrisikoer og å utføre regelmessige risikovurderinger.

  • Samarbeide og dele informasjon med andre organisasjoner i bransjen for å bidra til å forbedre cybersikkerheten på tvers av sektorer og landegrenser. Dette kan inkludere å delta i bransjesamarbeid eller å etablere en formell samarbeidsavtale med andre organisasjoner.