Annonse
Arbeidsliv
Derfor mislykkes bedrifter og organisasjoner i å forhindre cyberangrep
Cyberangrep er en økende trussel for bedrifter og organisasjoner over hele verden. Men til tross for økt bevissthet og investeringer i cybersikkerhet, mislykkes mange bedrifter og organisasjoner i å forhindre disse angrepene.
Annonse
Sikkerhetsleder i F24 Nordics, Jan Terje Sæterbø, skriver i en pressemelding at et av hovedproblemene når det gjelder cybersikkerhet er manglende forståelse for alvoret av trusselen.
– Mens mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de undervurdere risikoen eller tro at de ikke vil være et mål for angrep. Dette kan føre til at organisasjoner undervurderer kostnadene ved et vellykket angrep og tar for lett på behovet for å investere i sikkerhet, skriver han.
Et eksempel på en organisasjon som undervurderte trusselen er det danske transportselskapet Mærsk. I juni 2017 ble Mærsk utsatt for et omfattende cyberangrep som i stor grad lammet selskapets IT-systemer og førte til at selskapet mistet millioner i inntekter.
I etterkant av angrepet uttalte selskapets administrerende direktør at Mærsk aldri hadde trodd at de ville være et mål for et slikt angrep, og at selskapet hadde undervurdert risikoen.
Rettet mot små bedrifter
Det er også flere selskaper som vurderer risikoen som liten, fordi de selv ikke er et stort selskap. Men ifølge en rapport fra Verizon var 43 prosent av datainnbruddene rettet mot små bedrifter i 2019, mens gjennomsnittskostnaden for et datainnbrudd var 3,92 millioner dollar. Liten størrelse på selskapet eller organisasjonen, er med andre ord ikke noe beskyttelse mot cyberangrep.
En annen årsak til cyberangrep, er manglende investeringer i sikkerhet. Selv om mange organisasjoner anerkjenner behovet for å beskytte seg mot cyberangrep, kan de nøle med å investere i sikkerhet på grunn av kostnadene og usikkerheten rundt ROI (avkastning på investering). Dette kan føre til at organisasjoner aksepterer større risiko enn de burde og dermed gjør seg utsatt for angrep.
Et eksempel på en organisasjon som ikke investerte tilstrekkelig i sikkerhet er det finske helsevesenet. I 2020 ble det finske helsevesenet utsatt for et alvorlig cyberangrep som førte til at pasientdata ble stjålet og publisert på nettet. Ifølge rapporter hadde det finske helsevesenet ikke investert tilstrekkelig i IT-sikkerhet før angrepet, og de ble kritisert for å ha tatt for lett på trusselen.
Menneskelige feil
En viktig årsak til at bedrifter og organisasjoner mislykkes i å forhindre cyberangrep, er manglende fokus på menneskelige faktorer.
Selv om organisasjoner kan ha de nyeste sikkerhetsløsningene og teknologiene på plass, kan de fortsatt være sårbare for angrep hvis de ansatte ikke er godt nok opplært i å gjenkjenne og unngå sikkerhetsrisikoer.
Menneskelige feil kan utgjøre en stor risiko for organisasjoners cybersikkerhet, og det er viktig å ha en kultur som legger vekt på sikkerhet og å sørge for at de ansatte har tilstrekkelig opplæring og bevissthet om sikkerhet.
Manglende evne til å tilpasse seg den stadig skiftende trusselbildet, er også en faktor. Cyberkriminelle utvikler stadig nye teknikker og taktikker for å omgå sikkerhetssystemer, og organisasjoner som ikke kan tilpasse seg disse endringene, vil være sårbare for angrep.
Et eksempel på en organisasjon som ikke klarte å tilpasse seg trusselbildet er det norske universitetet Norges Handelshøyskole (NHH). I 2018 ble NHH utsatt for et omfattende cyberangrep som førte til at en stor mengde konfidensielle data ble stjålet og publisert på nettet.
I etterkant ble det klart at NHH hadde ignorert flere advarsler om sårbarheter i sine systemer og ikke hadde klart å tilpasse seg det stadig skiftende trusselbildet.
Samarbeid og deling av informasjon kan værer med på å redusere risiko for cyberangrep. Men mange organisasjoner nøler med å dele informasjon om sikkerhetsrisikoer, noe som kan begrense mulighetene for samarbeid og samhandling mellom organisasjoner og hindre en helhetlig tilnærming til cybersikkerhet.
De vanligste årsakene til at bedrifter og organisasjoner utsettes for cyberangrep:
1. Utilstrekkelig opplæring av ansatte
En av de viktigste årsakene til at bedrifter ikke klarer å forhindre cyberangrep er mangel på opplæring av ansatte. Ansatte er den første forsvarslinjen mot cyberangrep, men de mangler ofte den nødvendige kunnskapen og ferdighetene for å gjenkjenne og rapportere mistenkelig aktivitet.
Flere studier, blant annet utført av Stanford Research, viser at så mye som 9 av 10 datainnbrudd er et resultat av menneskelige feil, som for eksempel ansatte som falt for phishing-svindel eller svake passord. Likevel er det mange virksomheter som ikke gir sine ansatte regelmessig sikkerhetsopplæring.
Et eksempel på manglende sikkerhetsopplæring er cyberangrepet mot Capital One i 2019, der personopplysningene til over 100 millioner kunder ble stjålet. Bruddet var forårsaket av en feilkonfigurert brannmur, noe som ble utnyttet av en hacker. Den ansatte hadde ikke fått nødvendig opplæring for å identifisere feilen som førte til bruddet.
(2019 Capital One Cyber Incident | What Happened | Capital One)
2. Svikt i grunnleggende sikkerhetstiltak
En annen vanlig årsak til at virksomheter ikke klarer å forhindre cyberangrep, er manglende implementering av grunnleggende sikkerhetstiltak. Grunnleggende tiltak, som bruk av sterke passord, regelmessig oppdatering av programvare og bruk av tofaktorautentisering, kan bidra langt for å forhindre nettangrep. Imidlertid forsømmer mange virksomheter disse tiltakene, noe som gjør det lettere for hackere å utnytte sårbarheter.
I 2017 ble Equifax utsatt et datainnbrudd som avslørte personopplysningene til over 145 millioner mennesker. Bruddet skjedde fordi Equifax unnlot å rette en kjent sårbarhet i systemene sine, selv om en oppdatering hadde vært tilgjengelig i flere måneder. Bruddet kunne vært forhindret dersom Equifax hadde implementert grunnleggende sikkerhetstiltak og regelmessig oppdatert programvaren.
3. Utilstrekkelig investering i cybersikkerhet
En annen grunn til at bedrifter ikke klarer å forhindre cyberangrep er utilstrekkelig investering i cybersikkerhet. Cybersikkerhet er et felt i stadig utvikling, og bedrifter må investere i den nyeste teknologien og ekspertisen for å ligge i forkant av hackere. Imidlertid ser mange virksomheter på cybersikkerhet som en utgift snarere enn en investering, og tildeler utilstrekkelige ressurser til det.
Et eksempel på dette skjedde i 2013, da Target ble utsatt for et datainnbrudd som avslørte kredittkortinformasjonen til over 40 millioner kunder. Innbruddet skjedde fordi Target hadde unnlatt å investere i et inntrengningsdeteksjonssystem som kunne ha varslet selskapet om mistenkelig aktivitet. Target klarte heller ikke å sikre sine salgssteder tilstrekkelig, noe som ble utnyttet av hackerne. Hendelsen er estimert til å ha kostet Target mer enn 200 millioner dollar, noe som understreker viktigheten av å investere i cybersikkerhet.
4. For stor tiltro til egne sikkerhetstiltak
Bedrifter kan også mislykkes i å forhindre cyberangrep på grunn av overdreven tillit til egne sikkerhetstiltak. Mange virksomheter antar at deres sikkerhetstiltak er tilstrekkelige, og klarer ikke å forberede seg på muligheten for et datainnbrudd. Denne selvsikkerheten kan føre til unnlatelse av å oppdage og svare på nettangrep i tide, noe som forverrer virkningen.
Et eksempel på dette skjedde i 2018, da Marriott ble utsatt for et datainnbrudd som avslørte personopplysningene til over 500 millioner kunder. Marriott hadde investert i cybersikkerhetstiltak, men disse viste seg å ikke være tilstrekkelige, selv om de selv mente de var det. Cyberangrepet kostet Marriott millioner av dollar, noe som understreker viktigheten av å være årvåken selv med avanserte sikkerhetstiltak på plass.
