Cybersäkerhet är en bister verklighet för dagens företag. I en rapport från brittiska Department for Digital, Culture, Media and Sport publicerad 2018 visade det sig att 43 procent av företagen i undersökningen hade utsatts för en cyberattack under de senaste 12 månaderna. Enligt Oz Alashe, grundare och CEO för CybSafe samt Achilles cybersäkerhetsambassadör, håller riskerna på att förändras och cyberattacker blir en allt viktigare fråga inom leverantörskedjor.
”När det gäller cyberbrott tror många att det handlar om sofistikerade attacker på FTSE 250-företag, men det är inte hela sanningen”, förklarar Oz. ”I det stora hela tenderar de flesta kriminella att undvika de som är framgångsrika och välbevakade. De ger sig på den som är oförberedd. Det innebär, framför allt för globala företag, att den svaga länken i säkerhetssystemet oftast inte finns i det egna robusta nätverket, utan bland de mindre leverantörerna som de gör affärer med – eller till och med hos en leverantör till en leverantör.”
Det här visade sig i energisektorn 2017 när ryska hackare fick tillgång till det amerikanska elnätet via viktiga leverantörer till kraftbolagen. Till saken hör att många kontroll- och analyssystem som används inom energiproduktion och -distribution, flygväsen, vattenföretag och tillverkning inte har utformats med cyberattacker i åtanke och därför är energiföretag och infrastruktur särskilt sårbara. Företag står nu inför tre stora hot, säger Oz, som alla hör ihop.
Huvudrisker inom cybersäkerhet
1 – Social manipulering
Det här inträffar när en person luras att ge ut information eller till att introducera att hot i systemet hos företaget de arbetar. Nätfiske och nigeriabrev är typiska exempel som de flesta känner till, men mer sofistikerade metoder kan inkludera gåvor, gratisprover och övertalning via sociala medier. ”Det skiljer sig mellan sektorer, men intrång relaterade till människor förekommer överallt”, förklarar Oz. ”Fyra av de fem vanligaste orsakerna till dataintrång är mänskliga fel eller processfel.”
2 – Skadeprogram/utpressningstrojaner
“Varför? Delvis för att det är så lätt. Dessa är ganska lätta att sprida och köra. Färdiga verktyg gör att till och med en amatör kan skapa och skicka ut en utpressningstrojan. Riskerna och kostnaderna förenade med att utföra en attack är minimala”, säger Oz.
3 – Sårbarhet i IoT-enheter
”Den växande användningen av sakernas internet har gett upphov till dramatiska förändringar i cybersäkerhet under de senaste åren. Eftersom antalet uppkopplade enheter ökar varje dag, ökar även möjligheterna för attacker. Sårbarheterna i de här enheterna är nästan oundvikliga. När en kritisk massa enheter väl är komprometterade kan kriminella utföra överbelastningsattacker”, förklarar Oz.
Hur man kan minska cybersäkerhetsrisker
Företag behöver fundera på både tekniska frågor och vilken roll människor spelar i cybersäkerhet för att kunna skydda sig bättre. På den tekniska sidan är det avgörande att ha rätt nivå på företagslösningen. Den bör täcka filkryptering, säkerhetskopiering, räkenskaper, kunduppgifter, internetbaserade betalningssystem, molnsäkerhet, industriella styrsystem och klientsäkerhet, inklusive IoT-enheter. Den bör förenas med IT-metoder som inkluderar nätverksåtkomst, systemadministration, effektiva programfixar och applikationskontroller.
”På den mänskliga sidan innebär det att man introducerar utbildningsprogram som stärker kunskaper, förbättrar beteenden och motiverar personalen till att ha bra cybersäkerhetsrutiner. Inför vettiga säkerhetspolicyer – gör inte livet svårt för personalen. Dessa måste vara användarcentrerade, snarare än bestå av rutinmässig avbockning, samt vetenskapligt bevisade”, fortsätter Oz.
Inkludera cybersäkerhet i CSR-policyn
Eftersom hackare använder leverantörer för att infiltrera större företag är det viktigt att både stora och små företag behandlar cybersäkerhet som en fråga för leverantörskedjan. Det finns till och med de som anser att den borde bli en fullvärdig del i CSR-policyn. Under 2018 trädde den allmänna dataskyddsförordningen (GDPR) i kraft inom hela EU. Den innebär ett starkt skydd av konsumenters personuppgifter – och cyberattacker är ett sätt som dessa kan hotas. Men som visades i den brittiska Cyber Security Breaches Survey, som nämndes ovan, har endast 27 procent av företagen en policy för cybersäkerhet.
”Oavsett regler finns det en klar affärsnytta av att hantera cybersäkerhet som en risk i leverantörskedjan”, säger Oz. ”Som våra läsare vet, leder avbrott i leverantörskedjan till minskade förtjänster. Driftstopp på bara några timmar kan vara förödande. En produktionslinje som stoppas kan ge enorma förluster. I grund och botten är en god cybersäkerhet ekonomiskt motiverad.”
Minska risken i leverantörskedjan
Eftersom cyberattacker utgör ett allt större hot mot leverantörskedjor är det viktigt för både inköpare och leverantörer att se till att deras verksamheter är förberedda. Den brittiska undersökningen visade att 74 procent av företagen ansåg att cybersäkerhet hade hög prioritet – ändå saknade 73 procent av dem en policy. Med Achilles Rewards-program får brittiska leverantörer 20 procent rabatt på utbildningar i cybersäkerhet och efterlevnad av CybSafe och CyberSmart. Hamna inte bland de 43 procent som riskerar ett intrång under 2019.
