Den här artikeln vänder på perspektivet. I stället för att säga “gör så här för att skydda företaget” säger vi: “gör så här om du vill öka risken för en cyberattack”.
Det låter kanske lite hårt. Men det är ofta just så här cyberrisker växer fram i organisationer. Inte för att någon vill göra fel, utan för att det finns mycket annat som känns viktigare. Försäljning, leverans, budget, kunder, personal, tillväxt och vardagsproblem tar plats. Säkerheten får vänta.
Så vill du göra ditt företag till ett enklare mål för cyberbrottslingar? Då finns det några riktigt “bra” saker du kan göra.
Här är våra sju dödssynder för företag.
1. Det där tar IT hand om
Det första misstaget är att se cybersäkerhet som en ren IT-fråga.
Det låter enkelt. IT-avdelningen sköter datorer, system, mejl, nätverk och support. Då kan de väl också ta hand om cybersäkerheten?
Nja. Så enkelt är det inte.
IT har ofta en viktig roll. De kan sköta tekniska skydd, uppdateringar, konton, system och mycket annat. Men cybersäkerhet handlar inte bara om teknik. Det handlar också om affärsrisk, ekonomi, juridik, kundförtroende, ansvar och prioriteringar.
Om företaget drabbas av en cyberattack är det sällan bara ett IT-problem. Det kan stoppa produktionen. Det kan påverka kunder. Det kan leda till förlorade data, skadat rykte och stora kostnader. Det kan också skapa stress i hela organisationen.
Därför behöver ledningen äga frågan. Det betyder inte att VD ska kunna konfigurera brandväggar eller läsa tekniska loggar. Men VD och ledning behöver förstå riskerna, ställa rätt frågor och se till att cybersäkerhet får tillräckligt med tid, pengar och ansvar.
Annars hamnar företaget lätt i ett läge där alla tror att någon annan har koll.
IT tror att ledningen har accepterat risken. Ledningen tror att IT har löst problemet. Verksamheten tror att systemen är säkra. Och ingen har egentligen tagit ett tydligt ansvar.
Vill du öka risken för en attack ska du alltså fortsätta säga: “Det där tar IT hand om.”
Vill du minska risken behöver cybersäkerhet bli en ledningsfråga. Den ska upp på agendan, följas upp och kopplas till verksamhetens viktigaste mål. Det behöver vara tydligt vem som ansvarar för vad, vilka risker som är accepterade och vilka som måste åtgärdas.
Cybersäkerhet är inte bara teknik. Det är en del av att driva ett modernt företag.
2. Vi märker om någon tar sig in
Den andra synden är att tro att ett intrång alltid syns direkt.
Många tänker att en cyberattack märks tydligt. Skärmar blir svarta. Filer låses. System slutar fungera. Någon skickar ett hotfullt meddelande. Då vet man att något har hänt.
Men många attacker börjar tyst.
En angripare kan ta sig in via ett kapat konto, en sårbar server, en oskyddad molntjänst eller en leverantör. Sedan kan personen röra sig långsamt genom miljön, samla information, skapa nya konton, läsa mejl, förstå hur företaget fungerar och vänta på rätt tillfälle.
Det kan pågå utan att någon märker det.
Om företaget inte har loggning, övervakning och tydliga larm kan angriparen få gott om tid. Och ju längre tid angriparen har, desto större kan skadan bli.
Det här är särskilt viktigt för företag som har mycket i molnet. Microsoft 365, Google Workspace, affärssystem, ekonomisystem, CRM, filytor och andra tjänster innehåller ofta känslig information. Om någon tar sig in där behöver företaget kunna upptäcka det snabbt.
Det räcker inte att hoppas att någon ska se något konstigt.
Du behöver veta vilka varningssignaler som finns. Misslyckade inloggningar. Inloggningar från ovanliga platser. Nya regler i mejlkonton. Ovanliga nedladdningar. Nya administratörskonton. Förändringar i behörigheter. Konstiga vidarebefordringar av mejl.
Allt sådant kan vara tecken på att något är fel.
Vill du göra det enkelt för angriparen ska du tänka: “Vi märker om någon tar sig in.”
Vill du minska risken behöver du bygga för upptäckt. Det betyder att viktiga system ska loggas, att någon ska titta på larmen och att organisationen ska veta vad som händer när något ser misstänkt ut.
För det är stor skillnad på att bli angripen och att upptäcka angreppet i tid.
3. Alla måste ju ha åtkomst till allt
Den tredje synden är att ge för mycket åtkomst.
Det kan kännas smidigt. Om alla kommer åt allt blir det mindre krångel. Ingen behöver vänta på behörighet. Ingen behöver be om åtkomst. Projekt går snabbare. Folk kan hitta dokument själva.
Men ur ett säkerhetsperspektiv är det en ganska dålig idé.
Om en medarbetares konto kapas får angriparen samma åtkomst som medarbetaren. Har personen tillgång till många system, mappar och kunduppgifter får angriparen det också. Har personen administratörsrättigheter blir risken ännu större.
Det är så en liten incident kan bli en stor kris.
Många företag samlar på sig behörigheter över tid. Någon byter roll men behåller gamla rättigheter. Någon slutar men kontot ligger kvar. Konsulter får tillgång som aldrig tas bort. Projektmappar delas med “alla”. Administratörsrättigheter delas ut för att det är enklast just då.
Till slut vet ingen riktigt vem som kommer åt vad.
Det är ett drömläge för en angripare.
Principen borde vara enkel: du ska ha den åtkomst du behöver för att göra ditt jobb, inte mer. Det kallas ofta minsta möjliga behörighet. Det låter kanske lite byråkratiskt, men idén är väldigt praktisk. Om ett konto kapas ska skadan begränsas.
Det gäller särskilt administratörskonton. De ska vara få, skyddade och användas med försiktighet. Ett vanligt användarkonto ska inte ha mer makt än det behöver.
Vill du öka risken för en attack ska du säga: “Alla måste ju ha åtkomst till allt.”
Vill du minska risken behöver du se över behörigheter regelbundet. Vem har tillgång till vad? Behöver personen det fortfarande? Finns det gamla konton? Finns det delade mappar som är öppna för många? Har konsulter och leverantörer fortfarande åtkomst?
Åtkomst är inte bara en praktisk fråga. Det är en säkerhetsfråga.
4. Multifaktor tar tid och känns överdrivet
Den fjärde synden är att hoppa över multifaktorinloggning.
Multifaktor, eller MFA, betyder att det krävs mer än ett lösenord för att logga in. Det kan vara en kod i en app, ett godkännande i mobilen, ett fingeravtryck eller en säkerhetsnyckel.
Många tycker att det känns lite störigt. Det tar några extra sekunder. Någon kanske glömmer mobilen. Någon tycker att det blir krångligt. Och visst, det är inte alltid helt friktionsfritt.
Men jämfört med kostnaden för ett kapat konto är det en väldigt liten insats.
Lösenord läcker. Lösenord återanvänds. Lösenord kan gissas, fiskas fram eller stjälas genom bluffmejl. Om företaget bara skyddar viktiga system med lösenord kan ett enda misstag räcka långt.
Ett kapat mejlkonto kan användas för att skicka trovärdiga bluffmejl internt. Ett kapat administratörskonto kan ge angriparen tillgång till system och data. Ett kapat VPN-konto kan bli en väg in i nätverket.
MFA stoppar inte allt. Men det gör det mycket svårare för angriparen.
Särskilt viktigt är MFA på mejl, molntjänster, VPN, ekonomisystem, administratörskonton och andra system där känslig information finns. Om ni bara inför MFA på några få ställen ska ni börja där risken är störst.
Det är också viktigt att välja rätt typ av MFA. Alla lösningar är inte lika starka. Men nästan all MFA är bättre än ingen alls. För extra viktiga konton kan säkerhetsnycklar vara ett starkt alternativ.
Vill du göra företaget mer sårbart ska du säga: “Multifaktor tar tid och känns överdrivet.”
Vill du minska risken ska du införa MFA på viktiga system och göra det till en självklar del av inloggningen. Lite extra friktion är bättre än en stor incident.
5. Uppdateringar kan vi ta sen
Den femte synden är att skjuta upp uppdateringar och sårbarheter.
Det är lätt att förstå varför det händer. Uppdateringar kan störa verksamheten. System kan behöva startas om. Något kan sluta fungera. Det finns alltid annat som känns mer akut.
Så man väntar.
Problemet är att angripare också väntar. De väntar på företag som inte har uppdaterat.
När en sårbarhet blir känd kan angripare snabbt börja leta efter system där hålet fortfarande finns kvar. Det gäller servrar, brandväggar, VPN-lösningar, webbplatser, datorer, appar, tillägg och molntjänster.
Gamla system är extra farliga. Särskilt om de inte längre får säkerhetsuppdateringar. De kan fortsätta fungera i vardagen, men samtidigt vara en öppen dörr för den som vet var man ska leta.
För företag räcker det inte att säga till medarbetarna att klicka på “uppdatera”. Det behövs en rutin.
Vilka system har vi? Vem ansvarar för dem? Hur får vi reda på nya sårbarheter? Hur snabbt ska kritiska uppdateringar installeras? Hur testar vi så att uppdateringar inte stör verksamheten? Vad gör vi med system som inte längre kan uppdateras?
Utan svar på de frågorna blir uppdateringar lätt något som “tas sen”.
Och “sen” kan bli väldigt dyrt.
Vill du öka risken för en cyberattack ska du säga: “Uppdateringar kan vi ta sen.”
Vill du minska risken behöver du ha en tydlig process för uppdateringar och sårbarheter. Kritiska säkerhetsuppdateringar ska prioriteras. System som är exponerade mot internet ska ha extra fokus. Gamla system ska fasas ut eller skyddas bättre.
Det kanske inte är den roligaste delen av cybersäkerhet. Men det är en av de viktigaste.
6. Backupperna fungerar säkert
Den sjätte synden är att anta att backupperna fungerar.
Många företag säger att de har backup. Och det stämmer ofta. Någon lösning finns. Något kopieras. Någon gång. Någonstans.
Men den viktiga frågan är inte bara om ni har backup. Den viktiga frågan är om ni kan återställa verksamheten när det verkligen gäller.
Det är en helt annan sak.
Vid en ransomwareattack kan filer låsas, system stoppas och information stjälas. Om backupen också är åtkomlig för angriparen kan den raderas eller krypteras. Om backupen är för gammal kan viktig data saknas. Om återställningen aldrig har testats kan det visa sig att den tar mycket längre tid än någon trodde.
När krisen väl är igång är det fel tidpunkt att upptäcka sådant.
För ledningen är backup inte bara en teknisk fråga. Det handlar om verksamhetens överlevnad. Hur länge kan företaget stå still? Vilka system måste upp först? Hur mycket data har ni råd att förlora? Vem fattar beslut om återställning? Hur kommunicerar ni med kunder och personal under tiden?
En backup som inte går att återställa är inte mycket värd. En backup som tar två veckor att återställa kanske inte heller räcker, om verksamheten behöver vara igång snabbare än så.
Därför behöver backupper testas. Inte bara finnas.
Vill du göra ransomware riktigt jobbigt för företaget ska du säga: “Backupperna fungerar säkert.”
Vill du minska risken behöver du se till att backupperna är skyddade, separerade och testade. Det ska finnas kopior som angriparen inte enkelt kan komma åt. Ni ska veta hur återställning går till. Ni ska också veta vilka system som är viktigast att få igång först.
När allt fungerar känns backup som en tråkig kostnad. När allt går sönder kan backup vara skillnaden mellan en jobbig vecka och en katastrof.
7. Vi kan ju inte hålla koll på våra leverantörers säkerhet
Den sjunde synden är att blunda för leverantörsrisken.
De flesta företag är beroende av andra. IT-leverantörer, molntjänster, konsulter, systemleverantörer, ekonomitjänster, supportbolag, driftpartners och olika SaaS-tjänster. Det är helt normalt. Men det betyder också att företagets säkerhet inte bara beror på det egna arbetet.
En leverantör kan ha åtkomst till era system. En konsult kan ha adminrättigheter. En molntjänst kan lagra känslig information. Ett supportbolag kan fjärrstyra datorer. Ett integrationstjänst kan flytta data mellan system.
Om leverantören brister i sin säkerhet kan det påverka er.
Det betyder inte att du ska misstänka alla leverantörer. Men du behöver förstå vad de faktiskt har tillgång till och vilka risker det skapar.
Många organisationer har dålig koll på detta. Leverantörer läggs till när behov uppstår. Avtal skrivs. Integrationer kopplas på. Behörigheter ges. Sedan fortsätter allt som vanligt. År efter år.
Till slut kan det vara svårt att svara på enkla frågor.
Vilka leverantörer har åtkomst till våra system? Vilka hanterar känslig data? Vilka har administratörsrättigheter? Hur skyddar de sina konton? Har de MFA? Hur rapporterar de incidenter? Vad händer om de drabbas av en attack? Hur avslutas åtkomst när samarbetet tar slut?
Om ingen vet svaren blir det svårt att styra risken.
Vill du öka risken för en cyberattack ska du säga: “Vi kan ju inte hålla koll på våra leverantörers säkerhet.”
Vill du minska risken behöver du ställa krav och följa upp. Börja med de viktigaste leverantörerna. De som hanterar känslig data, har åtkomst till era system eller är kritiska för verksamheten. Se till att avtal, ansvar, åtkomst och incidentrapportering är tydliga.
Du behöver inte kontrollera allt hos alla. Men du behöver ha koll på de leverantörer som faktiskt kan skapa stor skada om något går fel.
Leverantörssäkerhet handlar inte om misstro. Det handlar om ansvar.
Det handlar om att göra det svårare för angriparen
De flesta företag kommer aldrig att få perfekt säkerhet. Det är inte heller en rimlig målsättning. Verksamheten måste fungera. Människor måste kunna jobba. System måste vara tillgängliga. Kostnader måste vägas mot nytta.
Men det betyder inte att säkerheten kan lämnas åt slumpen.
Cyberbrottslingar letar ofta efter enkla vägar in. Ett konto utan multifaktor. En gammal sårbarhet. En leverantör med för mycket åtkomst. En backup som aldrig testats. En organisation där alla tror att någon annan har ansvar.
Varje sådan svaghet gör jobbet lättare för angriparen.
Därför behöver företaget bygga grundläggande motståndskraft. Inte genom att köpa en enskild produkt och hoppas att allt löser sig, utan genom att arbeta med ansvar, rutiner och prioriteringar.
Ledningen behöver veta vilka risker som är viktigast. IT behöver mandat och resurser. Verksamheten behöver förstå sin roll. Medarbetare behöver kunna rapportera misstänkta saker utan rädsla. Leverantörer behöver hanteras som en del av säkerhetsarbetet.
Cybersäkerhet är inte en engångsinsats. Det är ett löpande arbete.
Gör tvärtom
Vill du drabbas av en cyberattack? Då är receptet ganska enkelt.
Säg att IT tar hand om allt. Utgå från att ni märker om någon tar sig in. Ge alla åtkomst till allt. Skippa multifaktor för att det känns jobbigt. Skjut upp uppdateringar. Lita på att backupperna fungerar. Och tänk att leverantörernas säkerhet inte går att hålla koll på.
Vill du minska risken ska du göra tvärtom.
Gör cybersäkerhet till en ledningsfråga. Se till att ni kan upptäcka misstänkt aktivitet. Begränsa behörigheter. Inför multifaktor på viktiga system. Ha en rutin för uppdateringar och sårbarheter. Testa backupper och återställning. Ställ krav på leverantörer som hanterar era system eller er data.
Det behöver inte vara perfekt från dag ett. Men det behöver börja.
För när en cyberattack väl händer är det för sent att önska att man hade tagit frågan på större allvar.
De bästa säkerhetsbesluten tas innan krisen.
