Cyberangreb: En meget reel eksistentiel trussel mod organisationer

Vi ved alle, at cybersikkerhed er et kritisk element i forretningsrisici. Men hvor kritisk? Nogle bestyrelseslokaler lader til at betale lidt mere end mundfuldhed til sikkerhed og formår stadig at undgå alvorlige konsekvenser. Derfor en ny rapport fra det globale forsikringsselskab Hiscox giver interessant læsning. Den hævder faktisk, at mange europæiske og amerikanske organisationer er kommet tæt på insolvens efter sikkerhedsbrud. Og mens udgifterne stiger, beskrives færre globale virksomheder end nogensinde som "eksperter" i cyberparathed.

Det er klart, at det aldrig har været vigtigere at vide, hvor man skal rette investeringer i cybersikkerhed. Så hvad gør eksperterne for at undgå konkurs? Ifølge rapporten er det stort set en blanding af bedste praksis grundlæggende og en vilje til at lære af tidligere hændelser.

En eksistentiel trussel

Rapporten er samlet ud fra interviews med 5,000 virksomheder i USA, Storbritannien, Belgien, Frankrig, Tyskland, Spanien, Holland og Irland. Nogle af resultaterne kendte vi allerede. Men der er nogle interessante nuancer. For eksempel:

• Syv ud af otte lande rangerer et cyberangreb som den største trussel mod deres virksomheder
• Halvdelen (48 %) af de adspurgte rapporterede et cyberangreb inden for de seneste 12 måneder, op fra 43 % sidste år
• En femtedel (19 %) af de adspurgte rapporterede et ransomware-angreb, op fra 16 %. To tredjedele af ofrene betalte deres angribere

Indtil videre, så sædvanligt. Men der er en stor kløft i opfattelsen mellem dem, der har lidt et angreb, og dem, der ikke har. Mere end halvdelen (55 %) af ofrene for cyberangreb ser cybersikkerhed som et område med høj risiko, men tallet falder til kun 36 % for dem, der ikke har oplevet et kompromis. Tilsvarende siger 41 % af de angrebne, at deres risikoeksponering er steget, men for den anden gruppe er tallet mindre end en fjerdedel (23 %).

En anden interessant guldklump: cyberkriminelle ser ud til at være det i stigende grad rettet mod mindre virksomheder. Dem med indtægter på US$100,000-$500,000 kan nu forvente lige så mange angreb som dem, der tjener $1m-$9m årligt.

Kære firmaer

Dette er vigtigt, da en femtedel af de reagerende virksomheder, der blev angrebet, siger, at deres solvens var truet, en stigning på 24 % fra sidste år. Selvom det ikke er opdelt i rapporten, kan brudomkostninger omfatte:

• Driftsafbrydelser
• Retsomkostninger
• IT-overarbejde og tredjeparts retsmedicinske omkostninger
• Reguleringsbøder
• Kundekammer
• Tabt produktion og salg
• Langsigtet skade på omdømmet

Dette kan delvist forklare, hvorfor udgifterne er steget. Respondenternes gennemsnitlige cybersikkerhedsudgifter steg 60 % i det seneste år til 5.3 millioner USD og er steget med 250 % siden 2019, ifølge rapporten

Hvordan kompromitterer angribere organisationer?

For bedre at forstå, hvordan din organisation kan undgå konkurs, skal vi først vide, hvordan trusselsaktører gør så meget skade. Ifølge rapporten er de vigtigste vektorer for angreb:

• Skyservere (41 %)
• Virksomheds-e-mail (40 %)
• Virksomhedsservere (37 %)
• Fjernadgangsservere (31 %)
• Medarbejderejede mobile enheder (29 %)
• DDoS (26 %)

Dette hænger sammen med resultaterne af andre rapporter og fortællingen om, at fjernarbejde, pandemi-relaterede investeringer i cloud-infrastruktur og sikkerhedsudfordringer for fjernarbejde er nogle af de største risici, som organisationer står over for i dag. Disse har kombineret med menneskelige fejl skabt en stor angrebsflade, som trusselsaktører kan sigte mod.

Hvad skal jeg gøre næste

Af en vis bekymring er det faktum, at cyberparathedsresultaterne, som estimeret af Hiscox, faldt med 2.6 % år-til-år, hvilket førte til et kraftigt fald i antallet af firmaer rangeret som "eksperter" - fra 20 % til kun 4.5 %. Andelen rangeret som nybegyndere faldt også markant og efterlod de fleste som "mellemprodukter". Cyberberedskab betyder noget, fordi mediane angrebsomkostninger, som en procentdel af indtægterne, er to og en halv gange højere for virksomheder, der er rangeret som "cyber-nybegyndere," hævdede rapporten.

Så hvordan ser en moden cyberklar organisation ud? Heldigvis er det ikke helt afhængigt af, hvor mange penge der er til rådighed. Adskillige bedste praksisser fremhæves, herunder følgende:

• Formaliser cybersikkerhed med klart definerede roller og bestyrelses- eller topledelse-buy-in
• Sørg for, at topchefer har klar synlighed i og engagement i cybersikkerhed
• Følg standarder for bedste praksis som f.eks US National Institute of Standards and Technology (NIST) ramme
• Spred investeringen over NISTs fem nøglefunktioner – identificer, beskyt, detekter, reager og gendan
• Fokus på hændelsesresponsplanlægning og angrebssimuleringer i lyset af den nuværende geopolitiske usikkerhed
• Vurder regelmæssigt virksomhedens data- og teknologiinfrastruktur
• Giv effektive cybersikkerhedsbevidsthedstræning
• Sørg for, at forretningsleverandører og -partnere overholder sikkerhedskravene
• Fokuser på "lavthængende frugt" processer såsom patching, pentesting og regelmæssige sikkerhedskopier

Tilsammen vil disse trin hjælpe med at minimere chancerne for, at et angreb i sidste ende slår organisationen konkurs.