I år ökar attackerna mot it-systemen spår den obereoende säkerhetsorganisationen The Information Security Forum, ISF. Och det beror till stor del på fem viktiga faktorer som utmanar säkerheten. Vår systersajt CIO.com går igenom de fem områdena som ISF har pekat ut: 

Brott som en tjänst – nu köps attackerna in

Redan förra året spådde ISF att det som kallas crime as a service, brott som en tjänst, skulle öka enormt och bli ytterligare en del i de kriminella nätverkens komplexa hierarkier, partnerskap och samarbete som är som en efterapning av hur privata företag arbetar.

Och det är en förutsägelse som slog in enligt Steve Durbin, vd på ISF som konstaterar att det under året skett en stor ökning när det gäller cyberbrott, och särskilt när det gäller brott som en tjänst.

Den utvecklingen väntas fortsätta oförtrutet det kommande året och i allt högre grad kommer vi att råka ut för it-brottslingar med mycket lite teknikkunskaper som köper verktyg och tjänster och på så sätt kan genomföra attacker de adrig skulle klara av annars.

Den typ av it-brottslingar som nu släpps in fungerar också på ett nytt sätt. Tidigare har logiken i ransomwareattacker hängt på en perverterad form av tillit. Datorn har låsts av ett utpressarvirus, offret betalar en lösesumma och it-brottslingen har låst upp datorn. Men det framstår nästan gentlemannamässigt jämfört med det som komma skall.

Läs också: Nytt år, nya hot. Här är de största utmaningarna för it-säkerheten.

Enligt Steve Durbin kommer det inte alls vara säkert att din dator blir upplåst bara för att du betalar lösesumman.

Samtidigt så blir också it-brottslingarnas metoder allt mer sofistikerade när det gäller att manipulera människor. Individerna är måltavlor men attackerna slår mot företagen. 

Säkerhetsbrister i internet of things 

Många företag och organisationer börjar använda internet of things, IoT, men de flesta IoT-enheter har ingen inbyggd säkerhet. Dessutom, varnar ISF, är villkoren i det snabbt växande ekosystemet av uppkopplade enheter vaga vilket tillåter att persondata kan användas på sätt som kunderna kanske inte tänkt sig.

Det är också svårt för organisationerna att veta vilken information som lämnar deras nät eller vilken data som i hemlighet överförs från exempelvis smarta mobiler eller smart-tv-apparater.

När något sedan inträffar är det troligt att kunder eller myndigheter håller företaget ansvarigt. I värsta fall kan hackade sensorer i inbäddade kontrollsystem i industrin leda till dödsfall eller olyckor.

– Hur säkrar vi dem så att vi har kontrollen i stället för att IoT-enheten har kontrollen? Säkerhetsmedvetandet på det här området kommer att höjas, säger Steve Durbin.


Svaga länkar i informationskedjan

ISF har i flera år pekat ut företagens supply chain, försörjningskedja, som ett särskilt sårbart område. Här delas en mängd värdefull och känslig information med leverantörerna. Det innebär att sekretessen och tillgängligheten inte längre kan garanteras.

– Det spelar ingen roll vilken bransch du jobbar i – vi har alla försörjningskedjor, säger Steve Durbin.

– Utmaningen är hur vi verkligen ska veta var vår information är under hela livscykeln? Hur skyddar vi informationen när den delas?

2018 måste företagen fokusera på den svagaste länken i försörjningskedjan råder ISF. Du och dina leverantörer måste vara proaktiva och Steve Durbin rekommenderar att man använbder sig av processer som är robusta, skalbara och möjliga att upprepa.

Företagen måste också integrera riskhanteringen av informationskedjan i befintliga upphandlingar och mot leverantörerna.

Läs också: Nytt år, nya hot. Här är de största utmaningarna för it-säkerheten.

GDPR slår till – och tar allt fokus

Regelverken ökar komplexiteten konstaterar Steve Durbin. Nästa år införs en ny dataskyddslag, GDPR, i EU och med den läggs ytterligare ett komplexitetslager.

– Jag har troligen inte haft ett samtal med någon, någonstans i världen där vi inte kommit in på GDPR, säger han.

– Det handlar om att ha förmågan att peka på persondatan och förstå hur den hanteras och skyddas överallt i hela företaget och i hela informationskedjan, vid vilken tidpunkt som helst. Du måste kunna redogöra för det inte bara för myndigheter utan också för varje individ, säger Steve Durbin.

IFS oroar sig för att anpassningen till GDPR kostar företagen stora pengar och att andra områden får stryka på foten både när det gäller investeringar och uppmärksamhet.

Läs också: GDPR: Här är allt du behöver veta om EU:s nya dataskyddsregler

I otakt med styrelsens förväntningar

Om det inte synkar som det ska mellan styrelsens förväntningar och informationssäkerhetsfunktionens möjligheter att leverera resultat så skapas ytterligare ett hot mot säkerheten, enligt ISF.

– Normalt sett förstår styrelsen det här. Den förstår att verksamheten sker i cyberrymden. Men det den inte förstår i många fall är de fulla konsekvenserna av det, säger Steve Durbin.

– De tror att it-säkerhetschefen har allt under kontroll. Ofta vet styrelsen fortfarande inte vilka frågor som ska ställas. Och it-säkerhetschefen vet kanske ännu inte hur man ska tala med styrelsen, eller affärsverksamheten överhuvudtaget för den delen.

Risken är att styrelsen väntar sig att den ökade it-säkerhetsbudgeten under senare år ska ge direkt resultat. Men det går inte att skapa en helt säker verksamhet.

Även om styrelsen inser det så förstår den ändå inte hur lång tid det tar att på allvar förbättra informationssäkerheten – fastän den rätta kompetensen finns på plats.

Steve Durbin tycker att it-säkerhetschefens roll måste utvecklas.

– I dag gäller det att kunna förutse vad som ska hända och inte att hålla koll på att brandväggen är uppe. Förutse vilka utmaningar som kan påverka affärerna och berätta det för styrelsen. En bra it-säkerhetschef måste vara både en försäljare och en konsult. Du måste behärska bägge delarna. Jag kan vara den bästa konsulten i världen men om jag inte kan sälja in mina idéer till dig kommer det inte att hända något i styrelserummet, säger han.