Cybersikkerhet: – Du må vite hvor du er for å komme dit du skal
I en ny rapport kommer det frem at kun et fåtall virksomheter kan betegne seg som modne når det gjelder forsvar mot cyberkriminalitet.
Kombinasjonen teknisk gjeld og økende bruk av skytjenester gir ytterligere kompleksitet. – Bransjen må ha større fokus på ønsket utfall og bevege seg bort fra punktproduktsalg og ulv, ulv-ropingen, sier sikkerhetssjef Leif Sundsbø i Cisco.
Rapporten Cisco Cybersecurity Readiness Index – Resilience in a Hybrid World er utviklet på bakgrunn av en post-COVID og hybrid verden, hvor brukere og data må sikres uansett hvor arbeidet gjøres. Rapporten fremhever hvor bedrifter gjør det bra, og hvor beredskapsgapet innen cybersikkerhet vil øke dersom virksomhetene ikke tar grep.
6700 sikkerhetsledere i 27 globale markeder, inkludert syv i Europa, har deltatt i undersøkelsen med formål om å gi en indikasjon på hvilke løsninger virksomhetene har implementert på hvilke områder. Bedriftene ble deretter klassifisert i fire stadier: nybegynner, formativ, progressiv og moden. Rapporten dekker fem pilarer som danner grunnlaget for forsvarsmekanismene: identitet, enheter, nettverk, applikasjoner og data.
Andelen modne bedrifter er lav. Totalt sett kun 15 prosent av virksomhetene. I Europa er andelen under 10 prosent.
Sikkerhetssjef Leif Sundsbø i Cisco Systems Norway er ikke direkte overrasket av funnene i undersøkelsen – men bekymret over den lave andelen som defineres som modne.
– Jeg skulle ønske andelen var høyere, men vi ser det samme bildet når vi snakker med norske kunder: Det er ofte mangel på helhetlig forståelse og planer for å bringe virksomheten til et bedre sted. Vi kommer nok aldri helt i mål, men jeg skulle gjerne sett at det var en større plan bak virksomhetenes cybersikkerhetsinitiativer. Du må vite hvor du er for å komme dit du skal, fastslår Leif Sundsbø.
Last ned vår guide til IT-sikkerhet.
Ingen «ulv, ulv»-undersøkelse
Det er ikke første gang du leser om en ny cybersikkerhetsrapport. Cybersikkerhetsbransjen har vært flinke til å pøse ut informasjon om farer som lurer rundt et hvert datahjørne.
– Blir mottakerne lei og «blinde» av at bransjen hele tiden roper «ulv, ulv»?
– Ja, det er nok riktig. Ser vi i bakspeilet har det vært mye ulv, ulv – og en orientering rundt punktprodukter som skal løse en aktuell problemstilling for bedriftene, sier Sundsbø.
Han mener bransjen har gjort seg selv en bjørnetjeneste ved å selge punktprodukter, uten å se eller levere på helheten – med det resultat at kundene får en stor og uoversiktlig portefølje av cybersikkerhetsløsninger som kanskje ikke snakker sammen.
Sundsbø understreker at Cybersecurity Readiness Index ikke er en «ulv, ulv-undersøkelse».
– Vi vet ikke hvem som svarer og de som har svart vet heller ikke hvem som spør. Rapporten handler ikke om hvor mange som er angrepet og svaret på hva som er den spesifikke løsningen på en gitt angrepstype. Rapporten er nøytral og gir et oversiktsbilde av hvor virksomhetene står i den verden vi lever i nå, med en befestet hybrid arbeidshverdag, sier han.
Bevisstheten øker
Til tross for at det er en lav andel som kan ansees som svært godt rustet (modne) til å stå imot et cyberangrep, er bedriftslederne godt kjent med farene som lurer. Fire av fem opplyser at de ser det som sannsynlig at en cybersikkerhetshendelse vil forstyrre virksomhetens drift de neste 12 til 24 månedene. Hele 60 prosent sier de har opplevd en cybersikkerhetshendelse det siste året.
71 prosent opplyser at hendelsen kostet anslagsvis en million kroner, mens 41 prosent anslår kostnaden til fem millioner kroner eller mer.
Økt bevissthet gir Ciscos sikkerhetssjef et visst håp og tro.
– Vi merker at det er flere som snakker om cybersikkerhet nå kontra for noen år siden. Om du snakket om cybersikkerhet på en fest den gang, var det ingen som ville sitte ved siden av deg, sier Sundsbø og ler.
Han understreker likevel at det er et godt stykke vei igjen.
– Bransjens utfordring er at vi må selge et utfall og bevege oss bort fra punktproduktsalg og ulv, ulv-ropingen. Vi må sette oss inn i hva bransjene og virksomhetene er opptatt av, hva de ønsker å oppnå og levere enda bedre på det. Vi må se på cybersikkerhet som en del av totalleveransen, ikke som en frittstående del. Dette er et felles ansvar, en dugnad hvor vi samarbeider mer.
Leif Sundsbø - Sikkerhetssjef i Cisco.
Identitetshåndtering aller viktigst
Rapporten peker på fem områder for beskyttelse, og Sundsbø trekker frem identitet som det viktigste. På dette punktet viser rapporten av 20 prosent av virksomhetene er nybegynnere, 38 prosent er formative, 22 prosent er progressive og 20 prosent er modne.
– Det er jo der angriperne kommer seg inn og jobber seg innover i systemene. De kan operere ganske lenge i systemene uten å bli oppdaget, og når de slår til vet ikke virksomhetene hvor lenge de har vært inne og hva de har fått tilgang til, sier han.
Identitetshåndtering omhandler oversikt over hvem som har tilgang til hva og mekanismer for å sikre at den som vil inn, virkelig er den hen sier hen er – iverksatt med for eksempel multifaktorautentisering.
For enkle og moderne applikasjoner eller i ferske virksomheter er dette en relativt enkel materie. Bildet blir mer komplisert med den kjensgjerning at mange virksomheter har betydelig teknisk gjeld (legacy) og kombinerer den med en stadig større tilstedeværelse i skyen.
– Kombinasjonen sky og teknisk gjeld skaper kompleksitet, og de som befinner seg i begge verdener er kanskje de som sliter mest med dette, fastslår Sundsbø.
Ressursmangel er en utfordring
Veien ut av uføret og inn på den smale sti, går via governance: Oversikt over applikasjoner og en definisjon av hvem som skal ha tilgang til hva, på hvilke nivåer – når og hvor.
– For mange vil det handle om å strupe inn på tilgangsnivåene. Det er for mange som har for mye tilganger, påpeker Sundsbø – og legger til at han opplever at virksomhetene ofte synes det er vanskelig å vite hvor de skal begynne i et forbedret cybersikkerhetsløp: Elefanten blir for stor.
– Den må deles opp, og da er grunnprinsippene til Nasjonal Sikkerhetsmyndighet (NSM) viktige. Du kan ikke gå løs på gjenoppretting etter en hendelse om du ikke vet hva du har – og har definert dine mest kritiske applikasjoner og hva du skal beskytte.
– Når rapporten peker på at bevisstheten er økende og at bedriftslederne vet at en cybersikkerhetshendelse koster dyrt, hvorfor er det da ikke flere som skynder seg mot mål? Er det penger, tid eller kompetanse det skorter på?
– Jeg tror det er en kombinasjon, men det tydeligste bildet er ressurser. Virksomhetene har ikke nok folk internt til å håndtere dette skikkelig. Ofte blir man overlatt til seg selv og da blir svaret fort Google. Og med en fragmentert tilbyderside hvor alle har sine svar på utfordringen, blir det fort ad hoc-arbeid om virksomheten ikke har en governance-plan.
Analyser hvor din virksomhet står
Det som kjennetegner de virksomhetene som er kategorisert som modne i undersøkelsen er først og fremst at de har cybersikkerhet på agendaen og at de tar dette på ramme alvor.
– De har kompetanse i ledelsen som kan artikulere hva dette handler om: Hvor vi er og hvor vi står, jevnlige statusrapporter som er forståelig for ledelsen, hvor alt stammespråk er skrellet bort, sier Sundsbø.
Han trekker frem at når et større angrep blir kjent, vil en leder ofte spørre hva som skjer hos dem.
– Da har de modne en oversikt og kan gi en statusrapport oversatt fra IT-språk til ledelsesspråk, selv om det kan være en krevende øvelse.
– Hvordan kan en leder vite hvor bedriften ligger? Hen kan spørre IT, men vil de få gode, riktige og ærlige svar?
– Vi anerkjenner at det er vanskelig å vite hvor du skal begynne. Atea har for eksempel sin modenhetsanalyse som er et godt sted å begynne. Da får du en ekstern revisjon oppsummert i en rapport som gir deg et bilde av hvor virksomheten står. Den har også en relativt lav inngangsterskel med tanke på både tid og ressurser. Deretter kan du se på hvilke tiltak du bør begynne med, sier Sundsbø.
Cybersikkerhet som en standard
Norske virksomheter er ikke inkludert i den europeiske kontingenten som er dekket i undersøkelsen, men Sundsbø mener at bildet er det samme her hjemme – i tillegg til det særpreget at det i Norge er ekstremt mange små virksomheter som er overlatt til seg selv.
De har ikke dedikerte ressurser til cybersikkerhet. IT-avdelingen er en driftsorganisasjon som skal sørge for veldig mye annet, i tillegg til cybersikkerhet. De aller største bedriftene har ofte governance på plass og mange omfattes også av sikkerhetsloven for nasjonal kritisk infrastruktur.
– Men mange av de mindre bedriftene er en del av et økosystem, og er du en underleverandør til en større virksomhet kan du brukes av angriperne til å komme seg inn dit de egentlig vil. Vi har en høy grad av tillit i Norge, men i en digital verden er ikke det alltid like bra. Zero Trust er bedre.
– Hvor mange norske bedrifter tror du har cybersikkerhet fast på styreagendaen?
– Dessverre er det nok ganske få. De aller største har det nok, og en del har det oppe på ad hoc-basis, men det er nok ikke mange som har det som en fast del av agendaen, sier Sundsbø.
Han tror likevel at vi kan komme dit, men at det kanskje må reguleres på en eller annen måte, på linje med revisjon av regnskapet.
– Du vil jo ikke handle med noen som har dårlige økonomiske tall om det finnes alternativer. På lik linje kan vi løfte cybersikkerhet: Du vil holde deg unna virksomheter som kommer dårlig ut. Cybersikkerhet bør bli en viktig parameter for hvem du ønsker å handle med, konkluderer Leif Sundsbø.