Antall cyberangrep øker og det samme gjør kostnadene disse medfører. I en fersk rapport fra Enisa kommer det frem at gjennomsnittskostnaden for et løsepenge-angrep nå er over 540 000 euro, over 5,6 millioner norskekroner. Et sterkt argument for økt fokus på informasjonssikkerhet.
Enisa-rapporten viser imidlertid at investeringene i IT-sikkerhet i forhold til andre IT-investeringer går ned, på tross av at trusselen mot sikkerheten øker. Andelen samfunnskritiske virksomheter som har forsikring mot cyberangrep synker også sammenlignet med året før. Sverige nest dårligst i hele EU når det gjelder investeringer i IT-sikkerhet i forhold til IT-investeringer.
Det er med andre ord mye som må gjøres.
Stort gap mellom store og små bedrifter
Det er imidlertid en annen trend i rapporten som er særlig interessant for Sverige og Norge. Nemlig gapet mellom IT-sikkerhet i store og små bedrifter. Store organisasjoner har ressurser til å investere i både teknologi og personell for å øke sikkerheten, det har ikke små og mellomstore bedrifter.
Det gjør SMB spesielt sårbare for cyberangrep, og med næringsliv som i Norge og Sverige, hvor det er en overvekt av små bedrifter, må vi ha et spesielt fokus på dette. Både myndigheter ognærings- og interesseorganisasjoner.
Vi har tidligere fremhevet det finske eksempelet med informasjonssikkerhetssertifikatet. Det er et eksempel til etterfølgelse for andre myndigheter i Norden. Den finske ordningen tar hensyn til både små og store organisasjoner.
Samtidig trenger vi større nettverk og mer samarbeid for å hjelpe små bedrifter med å øke IT-sikkerheten. Enisa-rapporten viser tydelig at selskaper med kapasitet til å bygge opp et internt IT-miljø investerer hele 72 prosent mer i ekstern overvåking, såkalt CTI – Cyber Threat Intelligence, mens de som ikke har det, selvsagt investerer mindre.
Det gir grunn til bekymring. Investeringer i CTI vil bare bli viktigere i et sikkerhetslandskap som stadig endrer karakter. Her mener vi at nærings- og interesseorganisasjoner i Sverige og Norge har et spesielt ansvar for å få til et bedre samarbeid.
Økte investeringer i bred opplæring
Når det gjelder innsatsen for å øke bevisstheten om IT-sikkerhet, viser Enisa-rapporten at hele 40 prosent av samfunnskritiske virksomheter mangler helt opplæring for ansatte som i hovedsak ikke jobber med IT. For de av oss som jobber med ulike typer informasjonssikkerhetsopplæring kommer ikke dette som noen overraskelse, men vel vitende om at 8 av 10 cyberbrudd skyldes menneskelige feil, er det nesten uforståelig at ikke alle organisasjoner prioriterer å få med seg alle ansatte i sikkerhetsarbeidet.
ENISA-rapporten slår også fast at en sentralisert tilnærming til IT-sikkerhet ikke fungerer, i dagens digitaliserte organisasjoner. Ansvaret må rett og slett desentraliseres. Med det følger også et økt behov for opplæring og kompetanseheving av spesialister innen IT-sikkerhet.
Men det er ikke bare mengden opplæring som må økes. ENISA-rapporten slår fast at «initiativ for å tenke nytt og refokusere sikkerhetsbevissthet er nødvendig for å muliggjøre mer sofistikert tenkning rundt sikkerhet og distribuert ansvar for sikkerhet.» Videre påpeker Enisa at «fremsynte ledere og sikkerhetsledere må prioritere innsats for atferds- og kulturendringer, for å skape en forståelse av IT-sikkerhet og sikkerhetsatferd som en naturlig del av organisasjonen».
Junglemap oppfant NanoLearning i 2006 nettopp for å skape bærekraftige og langsiktige atferdsendringer når det gjelder informasjonssikkerhet. Siden den gang har nesten 7 millioner brukere tatt en NanoLearning-leksjon i informasjonssikkerhet – og deres selskaper og organisasjoner har kunnet se de målbare effektene.
Nå tar Junglemap og sikkerhets- og ekspertleverandøren Tagore et nytt steg sammen for å utvikle rollebasert opplæring rettet direkte mot ulike IT- og sikkerhetsspesialister. Det er vanskelig å finne riktig IT-kompetanse, og enda vanskeligere å finne riktig kompetanse for spesifikke roller innen IT-sikkerhet. Enisa påpeker i sin rapport at det er viktig for CISOer å tenke nytt når det gjelder alt fra rekruttering, opplæring og organisatorisk sikkerhetssamarbeid.
Vi har lang erfaring innen både bred og spesialisert opplæring med metoder som gir effekt. Vi bidrar gjerne til å redusere sårbarheten for cyberangrep til alle de små og mellomstore bedriftene i Skandinavia som i dag mangler beskyttelsen de trenger. Gapet i cybersikkerhet i Skandinavia må tettes.
Nils Ivar Skaalerud
COO Junglemap
Eirik Saltkjel
Grunnlegger Tagore
Gustav Berghog
CEO Junglemap
(Denne artikkelen ble opprinnelig publisert i Aktuell Säkerhet)