TA TEMPEN PÅ DITT FÖRETAG

Är min verksamhet utsatt?

Ingen kedja starkare än sin svagaste länk och det räcker att vara beroende av en sårbar tjänst för att drabbas. I exemplet Kaseya drabbades verksamheter i stort sett alla sektorer, inklusive detaljhandel, turism, sjukvård, kommunikation och transport, i allt från ett fåtal timmar till över en vecka innan de var tillbaka i full drift igen.

Så i någon mån är i stort sett alla företag i riskzonen för attacker, av olika anledningar. Förutom de företag som handhar känslig information, vilket medför en risk för direkta attacker, har alla företag de tre olika komponenter som idag betraktas som hårdvaluta av cyberkriminella: datorkapacitet, lagringsutrymme och bandbredd.

Ta reda på var ni befinner er idag

Tele2 Företags säkerhetsexpert Magnus Gränström framhåller att det är viktigt att "sätta fingret på kartan" och med hjälp av en analys och ta reda på var man befinner sig ur ett informationssäkerhetsperspektiv.

– Med den informationen blir det lättare att fatta intelligenta beslut kring vad man bör göra, och vilka lösningar man bör investera i för att få största möjliga resultat, säger Magnus Gränström.

– Dessutom får man bra indikationer på vad som behövs för att säkerställa efterlevnad av olika standarder, regelverk, direktiv och lagar. Exempelvis har vi GDPR, NIS och NIS2, samt olika ISO-standarder där krav ställs på löpande kontroll av företagens informationssäkerhet.

Magnus Gränström framhåller att man inte bör överlåta en revision av företagets säkerhetssituation åt sin leverantör, utan istället vända sig till en oberoende tredje part. Detta för att försäkra sig om att man satsar sina begränsade resurser där de gör mest nytta.

Vad kan hända om mitt företag drabbas?

– I många fall kan informationsförluster och det jobb som krävs för att återställa informationen vara väldigt kostsamt. Än mer besvärligt än informationsförlust kan dock imageförlust vara. Om ett företag råkar ut för ett intrång och sedan förlorar förtroende från kunder och användare kan detta i många fall bli betydligt mer kostsamt och tar oftast mycket längre tid att hämta sig ifrån, berättar Magnus Gränström.

– Det dyraste är ofta när ett intrång sker och man inte vet exakt vad som har skett eller hur det har gått till. För att göra rätt förändringar och förhindra upprepade intrång måste man då låta utföra en forensisk analys, vilket kräver expertkompetens och kan ta mycket tid i anspråk. Har man däremot lösningar som ger kontroll över miljön så kan man minska tiden som krävs för återställning samt alla kostnader förenade med detta så mycket det går.

– Vi rekommenderar ett antal olika analyser och samtliga baseras på erkända ramverk som rekommenderas av bland annat EU för arbete inom kartläggning för exempelvis GDPR samt NIS/NIS2. Dessa har vi anpassat i olika nivåer för att kunna användas mot stora, medelstora och små företag. Vi har tagit fram anpassningarna för att undvika risken att mindre företag väljer bort denna typ av analys på grund av omfattningen, berättar Mats Breslin.

När man har en förståelse för hur företaget ligger till i arbetet med informationsäkerhet kan arbetet påbörjas med att förbättra nivån i den mån man vill eller måste. I vissa fall kan förstärkningar vara ett krav för att leva upp till GDPR och NIS/NIS2.

– Det enklaste sättet, och vad vi rekommenderar för att lösa alla kravställningar, är att använda sig av en lösning som automatiskt utför månadsvisa analyser av kundens hela servermiljö och infrastruktur. Lösningen är klientlös, samtidigt som all insamling av information, hantering av analyser, bearbetning och rapportering utifrån denna information sköts internt och inte lämnar kundens nätverk.

Mats Breslin förklarar att det är viktigt att behålla känslig information hos företaget och inte låta den komma i kontakt med molnlösningar, eftersom man då utsätts för säkerhetsrisker från tredje part. Och genom automatiserade analyser möter man inte bara kraven på återkommande informationssäkerhetsanalyser, utan agerar också proaktivt istället för reaktivt, som är fallet med andra lösningar.

– Vi anser att alla företag skall kunna göra detta för att skaffa sig en överblick och få förståelse för hur de ligger till i sitt arbete med informationssäkerhet. Du behöver inte nödvändigtvis åtgärda allt, men behöver känna till eventuella konsekvenser. Många är till exempel inte fullt medvetna om att ansvaret för att leva upp till säkerhetsföreskrifter alltid ligger på företaget och är alltså inte något som kan avtalas bort.

Identifiera riskbeteenden hos medarbetare, leverantörer och kunder

Ur ett informationssäkerhetsperspektiv kan man heller aldrig bortse från den mänskliga faktorn. Det är viktigt att underhålla och uppdatera företagets rutiner och policys för användning av information, nätverk och utrustning – något som gäller såväl anställda som leverantörer och kunder.

– I många fall så har vi sett exempel på att policys har skapats, men sedan inte uppdaterats under lång tid för att inkludera nya sätt att exempelvis lagra och använda information, säger Mats Breslin.

– Informationssäkerhetspolicys skall behandlas som levande dokument och måste uppdateras löpande. Vår rekommendation är att man har en policy för Acceptable Use, där det klart definieras hur en anställd får utnyttja företagets nätverk, hårdvara samt information. Man bör även ha policys som styr hur kontakten med leverantörer och kunder samt deras information skall hanteras.

Vidare berättar Mats Breslin att man ofta så stöter på tillfällen där företag inte lägger tillräckligt stor vikt vid alla olika aspekter av informationssäkerhet. I många fall fokuserar man all sin uppmärksamhet på en eller några få aspekter, medan man har liten eller obefintlig koll på resten, vilket skapar flera risker än det hanterar.

Ett vanligt förekommande riskbeteende är att använda sig av tjänster som kräver mycket underhåll av företagets IT-miljö i form av klientbaserade verktyg istället för klientlösa verktyg. Detta kan resultera i att ett antal klienter kanske glöms bort, vilket introducerar ytterligare problem. Även lösningar som skickar upp information kring interna risker och sårbarheter till molnlösningar för analys och bearbetning bör undvikas eftersom dessa molnlösningar skulle kunna utnyttjas, som i fallet Kaseya.

– Här anser vi att det är viktigt att på ett snabbt och enkelt sätt skapa sig en översikt av hur allting ligger till så att man sedan kan planera och prioritera inför en känd verklighet istället för en upplevd verklighet, där man inte har någon egentlig översikt.